‘Gevoelige data sla je niet op in je computer’

Peter Swire, professor aan het Georgia Institute of Technology, heeft drukke maanden achter de rug. In augustus 2013 werd hij lid van de Review Group on Intelligence and Communications Technologies. Die was opgericht door president Barack Obama om de massasurveillance-programma’s van de NSA te auditen na er wereldwijde kritiek op was gekomen. De andere leden van de auditgroep zijn Michael Morell (de voormalige nummer twee van de CIA), Richard Clarke (hoofdadviseur contraterrorisme onder president Bush), Cas Sunstein (een toonaangevende jurist) en Geoffrey Stone (academicus gespecialiseerd in burgerlijke vrijheden).

Swire, die in 1980-1981 nog aan de Brusselse ULB heeft gestudeerd, schreef tien jaar geleden een uitgebreid artikel over de Foreign Surveillance Act, de wet die aan de grondslag ligt van verschillende NSA-programma’s. Ook de Europese databeschermingswetgeving volgt hij al geruime tijd op. ‘Ik werd als privacy-expert aangetrokken in de auditgroep, en omwille van mijn kennis over economisch beleid’, zegt Swire. ‘In 2009 en 2010 heb ik in het Witte Huis gewerkt voor de directeur van de Economische Raad, Larry Summers.’

Het auditrapport van Swire’s groep werd midden december vrijgegeven. Een maand later reageerde Obama erop in een lange speech. Hij vaardigde ook een nieuwe presidentiële richtlijn over de NSA uit, die ook –en dat is vrij uitzonderlijk– publiek is gemaakt.

Wat verwachtte Obama van jullie audit?

Peter Swire: We moesten onderzoeken hoe we de nationale veiligheid konden versterken op het vlak van inlichtingenwerk en surveillance. Daarbij moesten we rekening houden met de relaties met onze bondgenoten –ook op commercieel vlak– en ook oog hebben voor privacy en burgerlijke vrijheden. Verder moesten we ons ook buigen over de dreiging van binnenuit –die door Snowden zo duidelijk is aangetoond– en over de vraag hoe we publieke steun [voor de NSA] konden winnen –zowel thuis in de VS als in het buitenland.

Kreeg u een magische sleutel die toegang gaf tot alle NSA-geheimen?

Peter Swire: NSA-hoofd generaal Alexander gaf ons uitgebreide briefings, en ook andere hooggeplaatsten uit de inlichtingenwereld antwoordden op onze vragen. Voor bijkomende antwoorden hadden we een contactpersoon van onder meer de FBI, CIA en NSA ter beschikking.

U kreeg heel wat staatsgeheimen onder ogen tijdens uw audit. Waar viel u het meest van achterover?

Peter Swire: Ik ga hier geen geheime dingen op tafel gooien. Wat me positief verbaasde, is hoe omzichtig de NSA en andere diensten wel met de regelgeving omspringen. Ze hebben zeer performante controlesystemen. Wanneer een analist bepaalde telefoonnummers onderzoekt die hij niet hoort te bekijken, dan zal het systeem dat opmerken.

Heeft u alle documenten gezien die Edward Snowden in handen heeft gekregen?

Peter Swire: We hadden toegang tot alle informatie die we wilden.

Over hoeveel documenten Snowden precies kon buitmaken, bestaat onduidelijkheid. De cijfers lopen uiteen van 58.000 documenten tot –aldus de NSA zelf– 1,7 miljoen. Hoe zit het nu?

Peter Swire: De NSA heeft een uitgebreide damage assessment gedaan. Ik weet dat het gaat om véél documenten.

Professor grondwettelijk recht 

U heeft Obama ontmoet bij de start van de audit en nadat het rapport klaar was. Welke indruk maakte hij op u?

Peter Swire: Hij kende het thema heel goed.Vaak krijgen drukbezette toppolitici briefings van hun staff om de details te leren, maar Obama was daar al van op de hoogte. Vergeet niet dat hij op de Universiteit van Chicago professor grondwettelijk recht was. Hij was ook een briljant rechtenstudent. Obama kent de wettelijke context dus maar al te goed. Bovendien weet hij wel wat af van het internet –denk maar aan zijn eerste kiescampagne, waarin online heel belangrijk was. Ten slotte is hij ook al vijf jaar commander in chief, tijdens de oorlog in Irak en Afghanistan. Samengevat: Obama kent nationale veiligheid én het internet én fundamentele vrijheden.

De twee keer dat ik Obama heb ontmoet, was hij zelf nog aan het uitzoeken hoe zijn kijk op het thema was. Onze ontmoetingen hielpen hem om beslissingen te nemen.

De man heeft zo veel aan zijn hoofd. Is de hervorming van de NSA überhaupt een prioriteit voor Obama?

Peter Swire: In de maanden voorafgaand aan zijn speech over NSA-hervormingen van 17 januari, was dit voor hem een van dé belangrijkste thema’s. Hij en zijn topadviseurs inzake nationale veiligheid hebben er heel veel tijd aan besteed. En Obama was nauw betrokken bij de voorbereiding van zijn toespraak en het opstellen van de nieuwe presidentiële richtlijn. Als je die twee teksten leest, moet je ze zien als het resultaat van een weloverwogen proces van zelfreflectie door de Amerikaanse overheid en Obama zelf. Ik zie het als een teken van democratie in actie. Moest je denken dat het gewoon maar wat mooie woorden zijn in een slecht bedoelde poging om de kritiek om te buigen, dan raad ik je toch aan om het te zien als de historische kans van een prof grondwettelijk recht om een stempel te drukken op hoe intelligence werkt.

Welke stempel heeft Obama dan gedrukt? Wat gaat er nu echt veranderen?

Peter Swire: Twee zaken zou ik willen benadrukken. Ten eerste zal het surveillancesysteem voor binnenlands telefoonverkeer aangepast worden. Het programma waarmee de overheid toezicht houdt op een groot deel van het Amerikaanse telefoonverkeer, dat wordt stopgezet.

De tweede grote verandering is de presidentiële richtlijn dat Europeanen voor een groot stuk hetzelfde zullen behandeld worden als Amerikanen wanneer ze in de surveillance-databank belanden. In het verleden was het zo dat wanneer e-mails of telefoongesprekken onderschept werden, er strikte regels golden voor Amerikaanse burgers: hun naam werd gemaskeerd en er waren limieten met betrekking tot hoeveel info over die persoon gedeeld mocht worden met andere agentschappen. De president stelde dat die regels voortaan ook voor Europeanen en andere buitenlanders zullen gelden –wat een grote verandering betekent in vergelijking met praktijken uit het verleden.

Dubbele standaarden

Volgens de onafhankelijke privacy-expert Caspar Bowden blijft een systeem van dubbele standaarden bestaan. Enerzijds heb je de Amerikanen en niet-Amerikanen op VS-grondgebied, anderzijds niet-Amerikaanse burgers buiten de VS. Klopt?

Peter Swire: De systemen zullen niet identiek zijn, maar de basisaanpak komt erop neer dat Amerikanen en Europeanen hetzelfde behandeld zullen worden onder de surveillance-wetgeving.

Waarom kunnen buitenlanders niet dezelfde privacy-garanties genieten als Amerikaanse burgers?

Peter Swire: De grondwettelijke bescherming geldt enkel op het grondgebied van de Verenigde Staten, voor Amerikaanse en niet-Amerikaanse burgers. Ben je als Europeaan op bezoek in de VS, dan geniet jij wel dezelfde grondwettelijke bescherming. Maar bevind je je in Brussel, dan heb je die grondwettelijke bescherming niet.

Daarnaast is er de Amerikaanse privacy-wetgeving. Het gaat om een nogal specifieke wet die slaat op de systemen van dataverzameling van de Amerikaanse overheid. Het ministerie van Binnenlandse Zaken, onder meer verantwoordelijk voor passagiersgegevens en migratie, heeft al enkele jaren een beleid voor databanken met info over Amerkanen en niet-Amerikanen: beide groepen genieten hetzelfde toegangsrecht en recht om informatie te laten corrigeren.

De wetgeving uitgevaardigd door het parlement echter slaat enkel op Amerikaanse burgers. Daarom hebben we een aanbeveling geschreven om de bepalingen van het ministerie van Binnenlandse Zaken over te laten nemen door andere agentschappen. Maar dat, zo werd mij verteld, wordt nog verder onderzocht.

In uw audit doet uw 46 aanbevelingen om de NSA te hervormen. Hoeveel heeft Obama er overgenomen?

Peter Swire: 70 procent is aanvaard naar de letter of naar de geest.

Wat die andere 30 procent betreft: van welke aanbeveling betreur je het meest dat Obama ze niet heeft opgepikt?

 Peter Swire: Ik hoop dat  in de toekomst de NSA en het militaire Cyber Command uit mekaar worden gehaald [vandaag vallen beide diensten onder generaal Alexander, kc]. Het US Cyber Command bestaat nog maar enkele jaren als een aparte combateenheid binnen het Amerikaanse leger. Het gaat om een militaire functie die efficiënte oorlogstechnieken benadrukt. Inlichtingenwerk is volgens mij heel wat anders dan oorlogsvoering. Maar de president vond dat het Cyber Command nog te vroeg stond in zijn ontwikkeling, en dat een nauwe coördinatie met de NSA nog nodig bleef. Ik denk echter dat er wat voor te zeggen valt om die twee op te splitsen in aparte eenheden, gezien de militaire kant van het cybergebeuren aan belang toeneemt.

Bedrijven bespioneren 

‘Bedrijven die de sancties tegen Iran niet respecteren of massavernietitingswapens produceren, maken zeker het voorwerp uit van spionage.’

Surveillance data worden niet gebruikt voor economische spionage en worden niet gedeeld met Amerikaanse bedrijven, benadrukte u op een persbriefing in Brussel. Een Belgisch parlementair onderzoek naar Echelon kwam echter tot een andere conclusie: ‘Amerikaanse inlichtingendiensten winnen systematisch economische inlichtingen in en dit zowel op macro-economisch vlak als op het niveau van individuele bedrijven. De informatie wordt doorgegeven aan overheidsinstellingen met het doel om Amerikaanse bedrijven te bevoordelen bij het inwinnen van buitenlandse contracten.’

 

Peter Swire: Ik ga geen commentaar geven op een rapport van 13 jaar oud. Het beleid sluit geen spionage uit rond economische thema’s. Bedrijven die de sancties tegen Iran niet respecteren bijvoorbeeld, of die massavernietitingswapens maken, maken zeker het voorwerp uit van spionage. Het beleid stelt dat de spionageresultaten niet worden overgemaakt aan Amerikaanse bedrijven voor hun commercieel voordeel.

De presidentiële richtlijn die Obama recent uitvaardigde inzake NSA-hervormingen kan door de volgende president, en zelfs door Obama zelf, terug ingetrokken worden, zelfs stiekem. Kan het Amerikaanse parlement die wetgeving niet solider maken?

Peter Swire: Een wet die door het parlement wordt uitgevaardigd, heeft inderdaad een meer permanent karakter. Maar indien de president deze richtlijn in het geheim zou herroepen, dan zou de kans op lekken heel erg groot zijn, gezien de regels gelden voor tienduizenden werknemers. Het zou ’n heel gewaagde strategie zijn van de president om te werken met een geheime wet die ingaat tegen de gepubliceerde wet. Ik denk dat de kans klein is dat dat zal gebeuren.

En toch. Zal het Amerikaanse parlement initiatief nemen om de presidentiële richtlijn een meer permanent karakter te geven?

Peter Swire: Het Amerikaanse parlement is in het algemeen meer bezorgd om Amerikaanse kiezers dan om buitenlanders. Zo gaat dat met politici –misschien is dat in België wel niet anders. Een van de redenen waarom de president actie heeft ondernomen, is net om bondgenoten en vrienden elders in de wereld gerust te stellen dat we waarborgen zullen hebben die voor iederéén gelden.

‘Miljarden euro’s staan op het spel’

Volstaat de presidentiële richtlijn om het vertrouwen van de EU te herwinnen?

Peter Swire: Een aantal mensen zijn boos over het gespioneer van de Verenigde Staten. In Duitsland is die boosheid het duidelijkst zichtbaar, maar ook in de VS horen we soortgelijke kritiek van sommige activisten. Ik denk dat de president in zijn toespraak over NSA-hervormingen heel wat dingen heeft gezegd over Amerikaans beleid en hoe dat voorzichtig en gepast zal gevoerd worden ten aanzien van Europeanen en andere bondgenoten. Ik denk dat het publiek verheugd was dat te vernemen.

Paul Nemitz, directeur Fundamentele Rechten en Burgerschap in het directoraat Justitie van de Europese Commissie, gaf op een recente privacy-conferentie in Brussel commentaar over EU-VS-relaties. Hij verwees expliciet naar ‘miljarden dollars’ die op het spel stonden. Leest u dat als een dreiging?

Peter Swire: Ik hoop dat de onenigheid over databescherming de onderhandelingen over een EU-VS-vrijhandelsakkoord niet in de weg staat. Daarbij gaat het inderdaad om miljarden euro’s. Ik hoop dat dat vrijhandelsakkoord er komt om economische groei voor iedereen te creëren, zonder dat databescherming de boel blokkeert.

Vrezen de VS ervoor dat een EU-lidstaat rond de surveillance-affaire een interstatelijke klacht zou indienen?

Peter Swire: De EU en de VS voeren heel wat diplomatieke gesprekken. Bij mijn weten is er geen concrete klacht voor een rechtbank ingediend.

De ethiek van Washington 

Uit onderzoek van professor Martin Scheinin van het European University Institute blijkt dat de effectiviteit van surveillance heel lag is. Waarom dan nog iedereens data blijven onderscheppen?

Peter Swire: The NSA heeft de militaire bondgenoten in Irak en Afghanistan ondersteund. De afgelopen tien jaar hebben ze enorm veel ervaring opgebouwd rond het in real time aanpakken van dreigingen –denk aan bermbommen tegen geallieerde soldaten. Op tien jaar leer je wel wat. Dit redt mensenlevens en voorkomt aanslagen. Na die intense periode heeft de NSA sterke capaciteiten opgebouwd. Dat lees je ook in de documenten die in de pers zijn opgedoken.

Zbigniew Brzezinski, voormalig Adviseur Nationale Veiligheid van president Carter, deed in 1998 in een interview met Le Nouvel Observateur de volgende opmerkelijke uitspraak: ‘Volgens mij is er slechts sprake van een ethisch debat over het inlichtingenwezen in het geval van de klassieke spionage. Men kan zich inderdaad afvragen of het in dienst nemen van geheim agenten een gepaste vorm is om in Bonn of in Parijs inlichtingen te verzamelen. Is er echter sprake van een ethisch probleem wanneer men gesprekken afluistert of foto’s maakt?’ Is dat nog altijd de ethische kijk van de VS op inlichtingenwerk?

Peter Swire: Doorheen de geschiedenis hebben landen mekaar bespioneerd. De kunst van het oorlogsvoeren [een referentie naar het bekende boek van Sun Tzu] zet leiders ertoe aan om de hele tijd buitenlandse ontwikkelingen te bespioneren. Wat ik opmerkelijk vind, is dat de nieuwe presidentiële richtlijn heel wat wettelijke grenzen stelt aan het bespioneren van burgers die niet eens Amerikaan zijn. Dat is in het verleden wel ooit anders geweest. Dit toont dat de president beseft hoe belangrijk privacy is. Het is een presidentiële richtlijn over spionage-activiteiten  die stelt dat de vrijheden van burgers van andere landen beschermd moeten worden.

Hoe beschermt u zelf uw gegevens? Encryptie? Surfen via Tor? Mailen met PGP?

Peter Swire: Je begrijpt dat dat top secret is, en dat je een veiligheidsmachtiging moet hebben vooraleer ik daarop kan antwoorden (lacht).

De eerste stap voor veel mensen is om off site (op een computer die niet met het internet verbonden is, kc) een goeie back up van je gegevens te hebben. Je kan je data immers ook verliezen. Wat bescherming tegen vijanden betreft dan: gevoelige data niet in je computer opslaan, is een heel effectieve aanpak. Toen ik lid werd van de auditgroep, dacht ik “Het zou best kunnen dat buitenlandse geheime diensten zich voor mijn computer gaan interesseren.” Een deel van mijn werk heb ik dan ook niet op mijn computer opgeslagen. Er was veel interesse voor ons auditrapport, en sommigen wilde de antwoorden kennen nog voor het rapport publiek werd gemaakt. Voor alle duidelijkheid: ik vreesde niet voor spionage door Amerikaanse diensten maar wel door buitenlandse.

In de pers zijn artikels verschenen –die ik bevestig noch ontken– over de capaciteiten om zelfs computers te penetreren die niet met het internet verbonden zijn. Vroeger volstond het om ervoor te zorgen dat je een computer had die fysiek niet aan het wereldwijde web gelinkt was. Dat is, aldus de pers, niet langer voldoende om je beveiliging te verzekeren. De meest paranoïde mensen zullen dan ook een aantal dingen niet meer op computer opslaan.

De Belgische militaire inlichtingendienst ADIV vond eind 2012 malware op zijn eigen systemen en vroeg het US Cyber Command om hulp. Kende u dat verhaal?

Peter Swire: Het is de eerste keer dat ik die anekdote over België hoor. Maar er zijn soortgelijke gevallen in bijvoorbeeld de Amerikaanse industrie en elders. De NSA heeft heel wat technische expertise rond cyberverdediging. Cyberaanval en –verdediging hangen nauw samen. Voor ingenieurs zijn de beste aanvallers vaak degene die ook weten waar de gaten zitten. Het is dan ook een belangrijke rol voor de NSA vandaag om cyberverdediging waar te nemen voor de Amerikaanse overheid en om vrienden te helpen.

Tijdens  zo’n verdedigingsoperatie zijn er misschien ook wel kansen om aan te vallen?

Peter Swire:  Dat zou een risico zijn. Ze zullen er wel zijn vanuitgegaan dat de Belgen op dat moment de boel maximaal in de gaten hielden. Als het licht aan is en ze houden je aandachtig in de mot, dan is het heel moeilijk om een bug in je systeem te planten.

Bedankt voor het gesprek.

MO* sprak op 25 januari met Peter Swire, die in Brussel was voor het internationaal congres ‘Computers, Privacy and Data Protection’.