CSIS en RCMP staan voor 'aanzienlijke uitdagingen' bij het verkrijgen van privégegevens: inlichtingendienst

Een van de Canadese inlichtingendiensten waarschuwt dat Canadese veiligheids- en inlichtingendiensten te maken hebben met "aanzienlijke uitdagingen" bij het detecteren en aanpakken van veiligheidsdreigingen. De reden hiervoor zijn hiaten in de wetgeving en verouderde middelen die beperkingen opleggen aan wanneer en hoe zij toegang hebben tot privéberichten.

In een onlangs ingediend rapport van het National Security and Intelligence Committee of Parliamentarians (NSICOP) werd de fel betwiste kwestie van rechtmatige toegang onderzocht: door de rechtbank goedgekeurde onderschepping van elektronische communicatie.

Hoewel er terechte zorgen over de privacy worden genoemd, concludeert het rapport dat organisaties als de Canadian Security Intelligence Service (CSIS) en de RCMP worden gehinderd doordat ze niet over de hulpmiddelen, beleidsregels en bevoegdheden beschikken om tijdens onderzoeken legaal toegang te krijgen tot communicatie.

"De commissie is bezorgd over de uitdagingen op het gebied van rechtmatige toegang die de veiligheids- en inlichtingendiensten beschrijven en over het langdurige onvermogen van opeenvolgende regeringen om deze aan te pakken", aldus het rapport.

"Zij stellen dat encryptie en de toenemende omvang, verscheidenheid en snelheid van digitaal gegenereerde gegevens het moeilijk en soms onmogelijk maken om de informatie te verzamelen die nodig is om effectief onderzoek uit te voeren."

Het comité waarschuwde dat als deze uitdagingen niet worden aangepakt, "de nationale veiligheid van Canada op de lange termijn zal ondermijnen" en "Canada's blijvende vermogen om te profiteren van de inspanningen van Five Eyes kan belemmeren ... als het geen betekenisvolle bijdrage kan leveren aan dit partnerschap."

Het rapport verschijnt terwijl het Lagerhuis debatteert over een wetsvoorstel dat de wetshandhaving vergaande nieuwe bevoegdheden zou geven, waaronder rechtmatige toegang.

Recht op privacy versus openbare veiligheid

Een vertrouwelijke versie van het rapport werd op 4 maart aan de premier overhandigd en een geredigeerde, openbare versie werd vorige week aan het Lagerhuis voorgelegd.

Het gaat in op een van de meest controversiële kwesties op het gebied van nationale veiligheid: het vinden van een evenwicht tussen het individuele recht op privacy en het waarborgen van de openbare veiligheid.

Een bord voor het gebouw van de Canadian Security Intelligence Service in Ottawa op 14 mei 2013. — CSIS vertelde de commissie dat het gebrek aan wetgeving over de mogelijkheid om afluisterapparatuur te gebruiken 'het grootste verschil maakt met onze [Five Eyes]-partners, die allemaal succesvoller zijn dan wij.' (Sean Kilpatrick/The Canadian Press)

De toegang van veiligheidsorganisaties tot persoonlijke informatie, zoals privéberichten, is "een van de meest indringende bevoegdheden van de staat" en Canadezen verwachten dat deze alleen wordt gebruikt als dat "door de wet is voorgeschreven, een legitiem doel dient en noodzakelijk en proportioneel is", aldus het rapport.

Er werd gesteld dat Canadezen ook van hen verwachten dat ze over "de middelen, het beleid en de wettelijke bevoegdheden" beschikken voor dergelijke toegang.

"Canadezen zouden verbaasd zijn als ze erachter kwamen hoe moeilijk het voor veiligheids- en inlichtingendiensten eigenlijk is om dat te doen", aldus het rapport.

De commissie concludeerde dat dit land, in tegenstelling tot een aantal bondgenoten van Canada, geen wetgeving heeft die dienstverleners verplicht om systemen te ontwikkelen, implementeren of onderhouden die die informatie snel kunnen verstrekken als de CSIS en de RCMP met een rechterlijke machtiging aankloppen.

Volgens NSICOP creëert de kloof risico's, zoals vertragingen, juridische onduidelijkheid en financiële inefficiëntie. Bovendien "zorgt het voor verwarring en frustratie bij alle partijen."

CSIS vertelde de commissie dat het gebrek aan wetgeving over de mogelijkheid tot afluisteren "het grootste verschil maakt met onze [Five Eyes]-partners, die allemaal succesvoller zijn dan wij."

Toegang tot Amerikaanse gegevens zorgt voor vertragingen

Een ander onderwerp dat in het rapport aan bod kwam, was de toegang tot informatie die buiten Canada is opgeslagen.

Privacyactivisten vertelden de commissieleden dat de enorme hoeveelheid persoonlijke gegevens die door de private sector zijn verzameld, een onbenutte kans is voor veiligheids- en inlichtingendiensten.

CSIS wierp tegen dat het soms geen toegang heeft tot die informatie omdat de bedrijven zich voornamelijk buiten Canada bevinden.

KIJK | De Strong Borders Act roept zorgen op over privacy:

Groeperingen voor burgerrechten maken zich zorgen dat het wetsvoorstel C-2 van de federale overheid, de Strong Borders Act, wetshandhavingsinstanties verregaande nieuwe bevoegdheden zal geven. Zo wordt het voor de politie bijvoorbeeld makkelijker om uw internetactiviteiten en -gegevens te doorzoeken zonder uw medeweten of bevel.

Veel van 's werelds grootste techbedrijven zijn in de VS gevestigd. Zoals het rapport stelt, is het volgens de Amerikaanse Stored Communications Act illegaal voor Amerikaanse bedrijven om de inhoud van communicatie aan buitenlandse autoriteiten te verstrekken, tenzij ze daartoe via de Amerikaanse rechtbank een bevel hebben ontvangen.

De RCMP kan die gegevens opvragen via een wederzijds rechtshulpverdrag. Als de Mounties informatie van Facebook of Apple nodig hebben, sturen ze een verzoek naar het Canadese ministerie van Justitie, dat het vervolgens doorstuurt naar het Amerikaanse ministerie van Justitie. Als het verzoek wordt geaccepteerd, dient een assistent-officier van justitie een verzoek in bij een Amerikaanse rechter om een bevel te verkrijgen. De FBI kan het bevel ten uitvoer leggen nadat het door de Amerikaanse rechter is uitgevaardigd.

Zodra het bedrijf de informatie aan de FBI overhandigt, komt deze via de twee ministeries van Justitie terug bij de RCMP. Volgens de RCMP kan dit proces drie tot zes maanden duren en kan die vertraging gevolgen hebben voor het onderzoek.

NSICOP merkte op dat zelfs als de juridische procedure succesvol is, de gegevens mogelijk al zijn verwijderd voordat het bevelschrift arriveert.

Omzeilen van encryptie

In het rapport werd gekeken naar de manieren waarop CSIS en de RCMP 'dark' omzeilen. Dit gebeurt wanneer doelwitten gecodeerde communicatie en het dark web gebruiken om hun activiteiten te maskeren.

De RCMP maakt gebruik van een 'on-device investigative tool' (ODIT), software die op een smartphone of computer wordt geïnstalleerd en waarmee de politie rechtstreeks toegang krijgt tot informatie voordat deze wordt versleuteld of nadat deze is ontsleuteld.

De RCMP beschrijft het als 'een van de meest complexe en dure technische inningsprogramma's die wij beheren'.

Volgens een succesvolle casestudy die in het rapport wordt aangehaald, waarschuwde de Amerikaanse Federal Bureau of Investigation (FBI) in 2018 de RCMP voor een Canadees die naar verluidt een bom aan het bouwen was en een aanslag plande tijdens een nieuwjaarsviering. De RCMP zette een ODIT in, die berichten en schema's van een snelkookpanbom opleverde.

De Canadees werd uiteindelijk aangeklaagd en bekende schuldig te zijn aan vier terroristische misdrijven.

De commissieleden zeiden dat ze zich zorgen maken "over de mate waarin deze succesvolle beperking op dit moment afhankelijk is van de vindingrijkheid van CSIS en de RCMP in plaats van de juiste configuratie van hulpmiddelen, wettige autoriteiten en bronnen."

Voor ODIT's zijn verschillende vergunningen nodig, waaronder het afluisteren van privécommunicatie, maar ook een algemeen bevel en een bevel tot het gebruiken van een transmissiedatarecorder, zo staat in het rapport.

De techniek is ook afhankelijk van het succesvol uitbuiten van kwetsbaarheden, wat niet altijd een garantie is.

"De commissie heeft geleerd dat deze tools duur en vaak onbetrouwbaar zijn, omdat doelwitten steeds bewuster omgaan met cyberbeveiliging en bedrijven werken aan het identificeren en aanpakken van kwetsbaarheden in besturingssystemen en encryptieplatforms", aldus het rapport.

Voorstanders van privacy waarschuwden de commissie dat elke stap die de politie en inlichtingendiensten de macht geeft om versleutelde communicatie of gegevens te omzeilen, "de cyberveiligheid in het algemeen fundamenteel zou verzwakken, het publieke vertrouwen zou ondermijnen en fundamentele democratische waarden in gevaar zou brengen."

KIJK | De infiltratie van een groot gecodeerd netwerk:

Sky ECC in Vancouver beloofde klanten vertrouwelijkheid met zijn versleutelde mobiele telefoons, die een hit waren bij criminelen, maar ook het doelwit waren van een internationale politieoperatie. Het onderzoek bracht duizenden criminelen, en daarmee ook Sky, ten val.

De CSIS en de RCMP houden niet systematisch bij hoe vaak ze technologische uitdagingen zoals encryptie tegenkomen in hun onderzoeken naar de nationale veiligheid. Volgens het rapport is dat een "belangrijke omissie", aangezien ze "de overheid adviseren en proberen Canadezen ervan te overtuigen ... dat er nieuwe wetgeving en middelen nodig zijn."

In het rapport staat dat de instanties "alleen anekdotes kunnen bieden en geen concrete cijfers."

Toch zijn leden van NSICOP van mening dat er "aanzienlijke uitdagingen" zijn voor CSIS en de RCMP wat betreft het verkrijgen van relevant en tijdig digitaal bewijsmateriaal en inlichtingen.

"Deze uitdagingen zijn niet nieuw. Opeenvolgende regeringen zijn zich er al enige tijd van bewust", concludeerde het rapport.

"Het is tijd dat de overheid in actie komt en de veiligheids- en inlichtingendiensten voorziet van de hulpmiddelen, beleidslijnen en wettelijke bevoegdheden die ze nodig hebben ... die rekening houden met hun privacy en deze beschermen."

In het rapport worden zeven aanbevelingen gedaan, waaronder dat de overheid een allesomvattende strategie moet ontwikkelen en implementeren om de uitdagingen van Canada op het gebied van rechtmatige toegang aan te pakken en prioriteit moet geven aan de ondertekening en implementatie van de Canada-VS-overeenkomst voor toegang tot gegevens. Volgens het rapport zou deze overeenkomst "lang bestaande jurisdictiebarrières" die door de Amerikaanse wetgeving zijn opgeworpen, wegnemen.

Tevens werd de regering opgeroepen om haar standpunt inzake uitzonderlijke toegang tot communicatie die door middel van encryptie is beschermd, publiekelijk toe te lichten.

CSIS zegt in een verklaring dat het met de meeste aanbevelingen van NSICOP instemt.

De RCMP verwees naar de afdeling Openbare Veiligheid, die zei dat ze de reactie van de CSIS hadden gezien en er verder niets meer over te zeggen hadden.

Controversieel grenswetsvoorstel bevat bepalingen over rechtmatige toegang

Het wetsvoorstel C-2 van de liberalen, dat wijzigingen bevat over de rechtmatige toegang, zal naar verwachting dit najaar een zware behandeling door het parlement krijgen.

Het zou dienstverleners verplichten om basisinformatie aan de politie en CSIS te overhandigen zonder rechterlijke goedkeuring. Het zou ook een nieuwe verordening creëren die de overlegging van meer gedetailleerde abonnementsinformatie met rechterlijke toestemming tijdens een strafrechtelijk onderzoek verplicht stelt.

Het wetsvoorstel kreeg veel kritiek van burgerrechtengroeperingen, academici en enkele oppositiepartijen. Zij stellen dat het nieuwe bevoegdheden tot toezicht creëert die inbreuk maken op de persoonlijke privacy en het Handvest van Rechten en Vrijheden.

NSICOP bestaat uit parlementsleden en senatoren die een hoge mate van toestemming nodig hebben om topgeheime informatie te mogen inzien en horen.

Sinds het rapport over de rechtmatige toegang is geschreven, heeft de commissie haar stem als NDP verloren, aangezien de partij geen erkende status meer heeft in het Huis van Afgevaardigden.

cbc.ca

CSIS en RCMP staan voor 'aanzienlijke uitdagingen' bij het verkrijgen van privégegevens: inlichtingendienst