In cyberspace nemen inlichtingendiensten een belangrijke rol in. Iedere inlichtingendienst is verbonden aan een territoriale eenheid in de fysieke ruimte (een land) en heeft als hoofdtaak het voorkomen van terroristische aanslagen op het eigen grondgebied of het ondersteunen van militaire operaties van de landelijke krijgsmacht. Teneinde deze taken uit te voeren eisen inlichtingendiensten inzage in zoveel mogelijk systemen. Dit doen ze deels via de voordeur en deels via de achterdeur. Waar bedrijven de voordeur binnenkomen door users te verleiden van hun dienst gebruik te maken komen inlichtingendiensten de voordeur binnen door monsterpacten te sluiten met bedrijven, zoals PRISM.

Er moeten twee zaken over de aard van inlichtingendiensten duidelijk worden gemaakt voordat we verdergaan. Ten eerste hebben de diensten van vandaag niets gemeen met de diensten uit het pre-digitale tijdperk. Waar spionnen vroeger één telefoonlijn konden aftappen of één verdachte konden schaduwen kunnen de inlichtingendiensten vandaag alle telefoons tappen en alle telefoongebruikers schaduwen en deze informatie voor altijd opslaan en doorzoeken. Ten tweede moeten inlichtingendiensten gezien worden als een op zichzelf staande macht, met slechts een dun lijntje naar de democratisch gekozen overheid. De inlichtingenindustrie en de diplomatieke overheid hebben bovendien conflicterende belangen, die op dit moment steeds meer naar de oppervlakte komen. Dat wil zeggen: politici ontdekken steeds meer dat ze met hun ‘eigen’ inlichtingendienst een monster hebben gecreëerd dat een bedreiging vormt voor hun politieke en hun persoonlijke leven.

Zo zit Angela Merkel momenteel in een lastig parket. ‘Haar’ BND blijkt intensief samen te werken met de NSA, die vorig jaar haar mobieltje heeft afgeluisterd. De BND blijkt nu een klusje te hebben gedaan voor de NSA. De Duitse spionagedienst heeft namelijk ingebroken bij de Franse vliegtuigbouwer Airbus, waarschijnlijk omwille van bedrijfsinformatie die bedoeld is voor het Amerikaanse Boeing. De Nederlandse minister Plasterk heeft in een soortgelijk parket gezeten: hij moest uitleggen dat de AIVD grootvisser is van telefoongegevens voor de internationale inlichtingenindustrie, terwijl hij zelf niet wist wat er allemaal boven zijn hoofd gebeurde.* De Belgische overheid moest onlangs uitleggen dat het Engelse GCHQ telecombedrijf Belgacom had gehackt en jarenlang bespioneerd met hoogstaande malware. De Belgische DVS is namelijk slechts in de derde graad vriendjes met de NSA/GCHQ, zodat Belgacom bruut via de achterdeur is veroverd.

Door hun sterke alliantie hebben de Westerse inlichtingendiensten flinke lappen cyberspace veroverd. Dit geldt echter evenzeer voor de inlichtingendiensten van Rusland, China en Iran. Zij hebben ieder hun eigen easynet (equivalenten van Facebook, Google en Amazon) en zij hebben daarnaast flink wat Westerse grond veroverd in de loop der jaren. Telkens wanneer er in de media wordt gesproken van een ‘hack’ of ‘cyberaanval’ kun je er vanuit gaan dat het van één van deze schurkenstaten afkomstig is. Omdat het niet met zekerheid te bewijzen is en om geen paniek te zaaien wordt het beestje zelden bij het naampje genoemd. Dat IP-adressen terug te voeren zijn op China of Rusland hoeft niet te betekenen dat we in militaire termen over cyberspace kunnen spreken, blijkbaar. Ondertussen heeft China een gevechtsvliegtuig gebouwd dat als twee druppels lijkt op onze zéér duurbetaalde Joint Strike Fighter, en niemand weet hoe.

Het kan dus helpen om hackactiviteiten in cyberspace toe te schrijven aan de diverse inlichtingendiensten die complexe allianties aangaan met elkaar en met de grote data-bedrijven. Daarbij moet wel verstaan worden dat bedrijven en inlichtingendiensten op gelijke voet staan. Beiden maken gebruik van de voordeur en de achterdeur om systemen te annexeren en beiden verspreiden hun activiteiten over verschillende jurisdicties om geen last te krijgen van territoriale wetgeving. De allianties met de bedrijven zijn dan ook fragiel en kunnen gebroken worden wanneer bedrijven de inlichtingendienst niet meer nodig hebben, iets waar Zuckerberg vorig jaar schijnheilig mee dreigde. Het enige verschil tussen bedrijven en inlichtingendiensten is hun bestaansreden. De bestaansreden van bedrijven is het verdienen van geld, die van inlichtingendiensten is het opsporen van terroristen. Daarover kunnen twee dingen gezegd worden: het eerste is dat het niet zo goed lijkt te werken, het tweede is dat de bedrijven ook zelf voor internet-politie kunnen spelen. Zo heeft de Rabobank op grond van haar eigen gebruiksvoorwaarden de bankrekening van een bekende radicale moslim geblokkeerd en een aanvraag van een bekende pedofiel geweigerd. De grote partijen in cyberspace kunnen dus prima zelf hun users monitoren en straffen bij ongewenst gedrag, daar is geen inlichtingendienst voor nodig.

* Over het dunne lijntje tussen de Nederlandse overheid en de AIVD heb ik voor de Piratenpartij verschillende blogs geschreven. Deze zijn in de in de erwt-cloud terug te vinden onder NEDERLANDS/Opdrachten/Piratenpartij/Nederlandse Inlichtingendiensten.