Wachten op een Europese Snowden

‘De Europese instellingen geven meer geld uit aan toiletpapier dan aan de beveiliging van hun IT-infrastructuur.’ Florian Walter weet hoe hij een punt moet maken. De Duitse hacker –penetration tester in het jargon– spreekt op 5 december 2013 het Europees parlement toe tijdens een hoorzitting over NSA-surveillance. Hij is uitgenodigd door het LIBE-comité, voluit het Comité  voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken.

Kern van Walters betoog: verspil geen budgetten aan antivirussoftware of intrusiedetectiesystemen –‘die maken je systeem toch niet veiliger’– maar haal goed opgeleid personeel in huis dat je IT-systeem door en door kent.

En hij heeft nog een suggestie voor het Europees parlement: stel wetgeving op die de producenten van software aansprakelijk maakt voor hun product. ‘Als de remmen van een auto niet werken, dan is de autoconstructeur toch ook aansprakelijk? Net daarom zal hij er alles aan doen om ervoor te zorgen dat de remmen wél werken. Hetzelfde met IT. Zolang producenten software mogen verkopen die niet per definitie veilig is, krijg je bananensoftware.’

Openheid van zaken

Walter is maar een van de vele experts die de voorbije vier maanden door het LIBE-comité zijn uitgenodigd om tekst en uitleg te geven tijdens het ‘onderzoek naar de elektronische massa-surveillance van EU-burgers’. Vijftien hoorzittingen hebben intussen plaatsgevonden, al heeft u daar waarschijnlijk maar weinig over gelezen in de Vlaamse media. Hoewel de meeste redacties op een steenworp van het Europees parlement liggen en de NSA-saga zowat het belangrijktse nieuwsfeit van het voorbije jaar is, kon enkel de zitting over het cyberincident bij Belgacom op wat persaandacht rekenen.

Nochtans valt er in het LIBE-comité heel wat interessants te horen. Passeerden de revu: Europees commissarissen, Europol, het EU Intelligence Analysis Centre, Swift, NSA-klokkenluider Thomas Drake, de Privacycommissie, voormalig Guardian-journalist Glenn Greenwald, het EU-Agentschap voor Netwerk- en Informatieveiligheid (Enisa), en ga zo maar door. Al heeft LIBE ook wel zijn grenzen. Zo stuurde onder meer Iain Lobban, directeur van de Britse afluisterdienst GCHQ (volgens Snowden verantwoordelijk voor de spionage bij Belgacom), zijn kat.

‘Regeringen en geheime diensten hebben stelstelmatig onze uitnodigingen afgewezen’, zegt het Nederlandse Europarlementslid Sophie in ’t Veld (Alliance of Liberals and Democrats for Europe), ondervoorzitter van het LIBE-comité. ‘Dat vind ik zorgelijk: ook Europese regeringen –of ze nu van linkse of rechtse signatuur zijn– weigeren openheid van zaken te geven. Er is zo langzamerhand geen enkele democratische controle meer op geheime diensten. We moeten onszelf als samenleving eens vragen gaan stellen. Waarom gebeuren dit soort dingen? U en ik kunnen daarover verontwaardigd zijn, maar waarom pikken mensen dat onze rechtstaat en democratie op zo grove wijze worden aangetast?’

‘Ik ben wel trots dat het Europees parlement als enige tegen de stroom in hier iets aan doet’, zegt in ’t Veld. ‘Maar we hebben natuurlijk ontzettend beperkte middelen. Het is frustrerend dat we geen bevoegdheden hebben om een volwaardig parlementair onderzoek te doen waarbij mensen onder ede kunnen worden gehoord. Nu zijn we afhankelijk van hun goodwill.’

Hoe de NSA Europa bespioneert

Aan argumenten om de Amerikaanse massa-surveillance tot op het bot te onderzoeken ontbreekt het Europa alvast niet. Heel wat Snowden-onthullingen sloegen immers op NSA-spionage in de EU zelf. Er waren de schandalen rond Belgacom, Swift, de gsm van Angela Merkel en afluisterpraktijken in Italië, Duitsland, Frankrijk, Spanje en Nederland.

Zelfs de EU-vertegenwoordigingen in Washington en New York prijkten op het NSA-doelwittenlijstje, net als –een van de recentste onthullingen– Europees Commissaris Joaquin Almunia. Tussen haakjes: hoewel die laatste in Brussel kantoor houdt, loopt er bij het federaal parket ‘geen onderzoek noch klacht’ terzake. Verder hield het GCHQ liefst 350 internationale hotels in de gaten waar (ook Europese) diplomaten inchecken en luisterde de dienst meerdere G20-bijeenkomsten af.

En dan hebben we het nog niet over de NSA-programma’s die rechtstreeks Europese burgers treffen, zoals Prism (waarbij de NSA samenwerkt met grote Amerikaanse internetbedrijven om allerhande data in te zamelen), Upstream (het aftappen van data via glasvezelkabels) of Co-traveler (de inzameling van locatiedata van gsm-gebruikers).

Onder het mom van veiligheid lijkt alles te kunnen. ‘Discipline, friendship and dedication, maar safety first’, lijkt wel het adagium.

Safety first

De reactie van Europa op dat alles? Bijzonder mak. Onder het mom van veiligheid lijkt alles te kunnen. ‘Discipline, friendship and dedication, maar safety first’, lijkt wel het adagium. Ter illustratie: De onderhandelingen met de VS over een vrijhandelsverdrag liepen gewoon door. Op vraag van Washington lieten vier Europese lidstaten zelfs het vliegtuig van Boliviaans president Evo Morales niet overvliegen –Snowden moest maar eens aan boord zijn.

Ja, er volgden wel wat straffe uitspraken van Europese toppolitici. Een gemengde EU-VS-werkgroep is opgericht om wat duidelijkheid te verschaffen. De gesprekken over de herziening van de Europese databeschermingsrichtlijn kwamen in een stroomversnelling –de richtlijn is intussen door de Commissie en het Parlement behandeld, nu de Europese Raad nog.

Hier en daar werd ook een gerechtelijk onderzoek opgestart. Maar hoe groot is de kans dat het federaal parket in de Belgacom-affaire ooit iemand op het beklaagdenbankje brengt? ‘Dat soort zaken wordt uiteindelijk diplomatiek uitgeklaard’, verzekerde een hooggeplaatste bron mij in de wandelgangen.

Hopelijk kunnen onderzoeken door pakweg het Belgische Comité I, dat in opdracht van het parlement de geheime diensten controleert en zich momenteel over de NSA-affaire buigt, of door de Belgische Privacycommissie (dat de Swift-zaak onder de loep neemt), nieuwe feiten boven tafel brengen.

Hand in eigen boezem

‘Europa moet niet te hard roepen op de NSA’, zegt professor Bart Preneel (KU Leuven en iMinds), wereldwijd gerespecteerd encryptie-expert. ‘Vergeet niet dat Europa in 2006 de dataretentie-richtlijn heeft gestemd. Die legt operatoren in alle EU-lidstaten op om metadata bij te houden: wie praat met wie, wie mailt naar wie, welke websites bezoek je, wanneer log je in op welke server?’ De dataretentie gebeurt met het oog op mogelijke strafrechtelijke onderzoeken. Preneel: ‘Maar worden de data ook niet op andere manieren opgevraagd? Dat weten we niet. We hebben geen Europese Snowden.’

Preneel, voorzitter van de International Association for Cryptologic Research, gaf op 18 december een voordracht voor het LIBE-comité. Hij lichtte de technische oplossingen toe die voorhanden zijn om elektronische data te beschermen. ‘Ik vind het Europees Parlement wel de juiste plaats om de discussie over massa-surveillance te voeren’, zegt Preneel. ‘Probleem is dat de meeste Europese overheden er alle belang bij hebben om te zwijgen over de NSA.’

‘De reactie van premier Eio Di Rupo op het nieuws over zijn hacking was vrij gematigd. Hij krijgt waarschijnlijk van de NSA ook informatie terug, dus zwijgt hij gewoon. Hij heeft er geen enkel belang bij om op hun tenen te trappen. Alle Europese regeringen zitten eigenlijk mee in die aanpak en willen er ook niets aan doen. Het ondermijnt onze democratie. Daarom is het essentieel dat het Europees parlement daarin tussenkomt.’

Echelon revisited

Het LIBE-comité bereidt een rapport voor met concrete aanbevelingen. Eind januari-begin februari 2014 wordt het document aan het Europees Parlement voorgelegd. Enkele aanbevelingen uit de draftversie: databescherming moet uit het EU-VS-handelsverdrag worden gehouden; er moeten Europese cloud-diensten worden opgezet; EU-burgers moeten juridische instrumenten krijgen om hun data in de VS te kunnen beschermen; de Amerikaanse overheid moet in een gedragscode garanderen de EU-instellingen niet langer te bespioneren; enzovoort.

‘We zullen veel aanbevelingen doen waarmee we in een volgend mandaat aan de slag gaan’, zegt Sophie in ’t Veld. ‘Er zullen ook vragen in staan die bij de Europese verkiezingen een rol gaan spelen. En het rapport zal ook een rol spelen bij de hoorzittingen van de nieuwe kandiaat-Eurocommissarissen volgend jaar.’

‘De grote vraag is wat er echt met dat document zal gebeuren’, werpt professor Bart Preneel op. ‘In 2001 maakte het Europees Parlement al eens een rapport over Echelon (wereldwijde interceptienetwerk van satellietcommunicatie door de NSA, GCHQ en drie partnerdiensten, kc). Er zijn rapporten gemaakt over het feit dat Europa meer encryptie moet gebruiken. Daar is niets mee gebeurd, dat is allemaal in de schuif blijven liggen. Ook toen wist men dat alles werd afgeluisterd. De storm is dan overgewaaid.’

‘Het verschil nu is dat Snowden en de journalisten waarmee hij werkt de informatie op een heel slimme manier vrijgeven. Ze proberen de aandacht van het grote publiek over een lange termijn vast te houden. Maar uiteindelijk gaat die aandacht verslappen. Hoe lang kan de pers nog volhouden om erover te berichten en erover verontwaardigd te zijn?’

Eigenlijk is het al zo ver. Toen de Zweedse televisie midden december nieuwe Snowden-documenten vrijgaf waaruit blijkt dat België deel uitmaakt van de SIGINT Seniors Europe (SSEU) –bevoorrechte NSA-partners zeg maar– hebben de Belgische media dat nieuws gewoon links laten liggen.

Voor wie de aandacht niet wil laten verslappen: de volgende LIBE-hoorzitting vindt plaats op 13 januari 2014.