Seorang anggota kunci dari komite yang mengawasi badan-badan intelijen Belanda telah mengundurkan diri untuk membunyikan alarm atas undang-undang yang akan datang yang dia katakan akan memungkinkan layanan keamanan untuk meretas dan menyadap tanpa pengawasan yang tepat.
Bert Hubert, seorang insinyur IT Belanda yang terkenal dan mantan pejabat intelijen, menjabat sebagai salah satu dari tiga pejabat kunci yang mengawasi permintaan badan intelijen untuk menggunakan alat peretasan, pengawasan, penyadapan, dan “kekuatan khusus” lainnya.
Dia meninggalkan jabatannya sebagai protes terhadap rancangan undang-undang yang akan menghapus beberapa pemeriksaan yang harus dipatuhi oleh petugas intelijen sebelum melakukan operasi siber canggih di negara-negara dengan “program siber ofensif” terhadap Belanda – terutama China dan Rusia.
Badan-badan “meminta pengawasan yang lebih sedikit sehingga mereka dapat menggunakan kekuatan mereka lebih cepat dan dengan pengawasan yang lebih sedikit,” kata Hubert kepada POLITICO, menyebutnya “langkah mundur.”
Pengunduran diri Hubert menjelaskan bagaimana intelijen mengadopsi kekuatan digital baru. Itu terjadi ketika skandal spyware and adware Pegasus terus bergejolak di seluruh UE, menimbulkan pertanyaan tentang bagaimana layanan keamanan telah mengerahkan operasi intrusif terhadap oposisi domestik dan tokoh masyarakat sipil tanpa pemeriksaan yang tepat apakah mereka dibenarkan.
“Kita harus sangat berhati-hati dengan lereng licin ini karena tidak berjalan dengan baik, untuk demokrasi di seluruh dunia. Dan setiap langkah mundur, Anda harus sangat vokal dan berisik,” kata Hubert.
Seorang “kutu buku” yang memproklamirkan diri, Hubert bergabung dengan komite tiga orang Belanda yang menilai permintaan pengawasan dan peretasan badan intelijen AIVD dan MIVD — disebut TIB — pada tahun 2020, sebagai ahli teknis komite. Dia meninggalkan perannya awal bulan ini untuk berbicara bebas tentang ancaman undang-undang yang akan datang, katanya dalam pernyataan publik sebelumnya. Hubert sebelumnya bekerja di berbagai peran untuk intelijen Belanda, termasuk sebagai pengembang perangkat lunak dan peretas, serta sebagai pakar teknologi, penasihat dan konsultan, dan mendirikan perusahaan web PowerDNS pada 1999.
‘Kabel apa saja di mana saja’
Undang-undang Belanda, yang masih dalam rancangan dan diperkirakan akan mendapat persetujuan parlemen pada kuartal keempat tahun ini, akan memungkinkan dinas intelijen dan keamanan untuk mencegat komunikasi tanpa meminta persetujuan peraturan jika menyangkut goal dan knowledge yang melibatkan negara-negara dengan program siber ofensif seperti China. dan Rusia.
Tiga pasal hukum Belanda menyangkut mantan pengawas. Untuk intelijen sinyal, atau penyadapan kabel web besar, Hubert mengatakan undang-undang mengizinkan layanan keamanan Belanda untuk mencegat “kabel apa pun di mana saja, selama satu tahun, dan menyimpan konten selama satu tahun juga” tanpa memberikan pembenaran sebelumnya untuk pengawasan.
“Mereka secara eksplisit menyatakan pandangan itu, kita tidak perlu memberikan alasan untuk itu. Kami hanya harus mengatakan, kami tertarik dengan kabel itu,” kata Hubert.
Undang-undang baru, kata Hubert, juga menghapus perlindungan untuk “non-target” jika mereka melibatkan negara-negara dengan program siber ofensif. Non-target adalah orang atau organisasi yang bukan merupakan fokus penyelidikan, tetapi dapat memberikan informasi tentang goal aktual karena mereka berbagi komputer atau menyediakan layanan TI kepada mereka. Non-target juga bisa individu atau UKM yang menjadi korban hacker.
Belanda saat ini membutuhkan standar tinggi untuk mengawasi non-target. “Anda harus berargumen bahwa tidak ada cara lain untuk mendapatkan informasi ini,” kata Hubert. Dia percaya undang-undang baru akan mengubah ini, memperluas kekuatan badan intelijen untuk mengawasi korban peretas juga: “Jika Anda memiliki surat perintah pada sekelompok peretas, Anda sekarang secara administratif juga memiliki surat perintah atas semua korban mereka dan semua komputer yang digunakan oleh peretas. korbannya, dan itu aneh,” katanya.
Hubert mengatakan undang-undang Belanda yang baru memungkinkan layanan keamanan Belanda menggunakan komputer untuk mempelajari knowledge yang dicegat tanpa persetujuan sebelumnya. Saat ini ada batasan berapa banyak knowledge yang dapat dilihat dan dianalisis oleh layanan. Ini juga tidak lagi memerlukan pengungkapan di muka tentang risiko teknis. “Selalu ada kemungkinan Anda merusak sesuatu, ketika Anda meretasnya, menciptakan pintu belakang ke perusahaan,” jelasnya.
Kekuatan untuk meretas kembali
Pendukung kekuatan investigasi dan intelijen yang lebih kuat mengatakan persyaratan untuk pra-persetujuan peraturan telah menghalangi upaya untuk melindungi keamanan nasional.
Mantan Menteri Pertahanan Belanda Henk Kamp mengatakan kepada surat kabar lokal NRC pada bulan Januari bahwa pemerintah telah menunggu untuk mencegat kabel sejak 2017 karena komite pengatur tempat Hubert menjabat terus menolak aplikasi. “Secara efektif kami dilumpuhkan dalam apa yang dapat kami lakukan. Negara-negara seperti Rusia dan China dapat melakukan apa yang mereka inginkan, tetapi kami memiliki etika dan aturan,” kata Kamp saat itu.
Pemerintah Belanda sekarang sedang menunggu pemeriksaan hukum dan proses parlemen untuk melihat bagaimana RUU itu terbentuk. Seorang juru bicara Kementerian Pertahanan mengatakan “saat ini sedang memproses nasihat tertulis dari Dewan Negara. Waktu debat dan pembahasan RUU yang sudah diadaptasi itu adalah saat sudah diserahkan ke DPR,” menambahkan pihaknya tidak akan mengomentari isi RUU sebelumnya.
Tidak semua rekan Hubert setuju dengan kritiknya terhadap undang-undang baru tersebut. Ronald Prins, pendahulu Hubert sebagai ahli teknis di komite pengatur TIB, berpendapat bahwa undang-undang sebelumnya tidak cukup permisif karena memberikan terlalu sedikit ruang untuk pekerjaan intelijen yang diperlukan.
“Anda ingin benar-benar berada di jaringan penyerang Anda sebelumnya,” kata Prins tentang pelonggaran batas peretasan bagi petugas intelijen. “Beberapa orang menyebut peretasan ini kembali … Kami ingin berada di komputer mereka.”
“Dengan undang-undang lama, tidak mungkin untuk mengikuti langkah yang sama seperti peretas Rusia dan China,” katanya.
Prins dan Hubert memiliki pemahaman yang berbeda tentang hukum baru. Prins mengatakan itu memudahkan proses persetujuan untuk “eksplorasi” kabel untuk mengumpulkan informasi teknis, membuatnya kurang ketat dari sebelumnya. Layanan keamanan memerlukan knowledge tersebut untuk menentukan komunikasi mana yang harus dipantau lebih dalam, dan membuat permintaan terperinci dari pemerintah untuk mendapatkan persetujuan.
Prins mengatakan juga tidak mungkin bagi layanan keamanan untuk mengetahui, dan dengan demikian mengungkapkan, risiko teknis dari operasi mereka sebelumnya. Adapun pengawasan, dia mengatakan bahwa kekuasaan telah dialihkan ke komite lain yang dapat memantau dan menghentikan operasi siber Belanda.
Tetapi pada saat layanan keamanan Eropa meningkatkan kekuatan mereka sendiri untuk mendekripsi, menyadap, dan meretas, Hubert berpendapat bahwa Belanda seharusnya tidak menghapus rezim pengawasan ketatnya. Negara-negara UE perlu mengembangkan undang-undang yang lebih kuat dan lebih rinci seputar intelijen yang membutuhkan pembentukan komite, pengadilan, atau hakim independen untuk menyetujui operasi siber sebelumnya, katanya.
“Saya sangat mendukung badan intelijen yang kuat, karena Anda juga membutuhkan itu,” katanya, “tetapi sulit untuk menyeimbangkan untuk mengatakan berapa banyak pengawasan yang cukup baik, dan di situlah saya merasa keseimbangannya bergeser. sekarang juga.”
