De AIVD mag een computer, smartphone of ander digitaal apparaat binnendringen om daar informatie te verzamelen die van belang is voor ons onderzoek. Dit noemen wij de hackbevoegdheid.

Computers en servers belangrijke informatiebron

Met de digitalisering van de samenleving zijn digitale apparaten ook voor de AIVD een steeds belangrijker informatiebron geworden. Onze targets maken gebruik van smartphones en computers om te communiceren en om afbeeldingen, video's en teksten op te slaan. Hier is vaak voor ons relevantere informatie te vinden dan wanneer wij iemands huis binnengaan of iemands gesprekken afluisteren.

Om een goede informatiepositie te verkrijgen, is het voor ons dus nodig om toegang tot die apparaten te krijgen, ofwel: te hacken. Hacken kan betrekking hebben op allerlei soorten apparaten die automatisch gegevens verwerken. Omdat de technologische ontwikkelingen zo snel gaan en steeds nieuwe apparaten met internettoepassingen op de markt komen, heet het in de wet daarom 'toegang krijgen tot een geautomatiseerd werk'.

Via iemand anders hacken

Bij het hacken zullen wij in eerste instantie altijd proberen om direct binnen te dringen in het apparaat van de persoon die wij onderzoeken. Omdat targets hun computers vaak goed beveiligd hebben, zoeken wij naar andere ingangen om toch bij de gegevens te komen. Van de wet mogen wij daarbij gebruik maken van een geautomatiseerd werk van een ander. Vaak zal dit een server van een provider of een telecomleverancier zijn. In zeer uitzonderlijke gevallen kan het gebeuren dat we toegang willen krijgen via een apparaat van een individuele burger.

Wij zijn bij het 'hacken via een derde' niet geïnteresseerd in de gegevens op dat bewuste apparaat, maar gebruiken dit puur om toegang te krijgen tot het apparaat van de persoon naar wie wij onderzoek doen. Dit mag ook alleen als dat niet op een andere manier lukt. Hiervoor vragen wij eerst toestemming aan de minister, waarna de Toetsingscommissie Inzet Bevoegdheden (TIB) ook nog haar oordeel daarover moet geven.

Omgeving van apparaat verkennen

,Om te weten hoe wij het beste een digitaal apparaat kunnen binnendringen, mogen wij de digitale omgeving verkennen. Wij zetten dan bijvoorbeeld IP- of poortscansoftware in om kenmerken van apparaten in een bepaald netwerk te achterhalen. Daarbij kijken wij bijvoorbeeld hoe het apparaat is verbonden met internet.

Dit verkennen doen wij om zo gericht mogelijk te werk te kunnen gaan met het apparaat dat wij op het oog op hebben, en niet zomaar eerst van alles te proberen. We brengen op deze manier de digitale infrastructuur in kaart. Ook voor deze verkenning is toestemming van de minister nodig en instemming van de TIB.

Afluisteren of meekijken via apparaat

Vrijwel alle digitale apparaten zijn tegenwoordig uitgerust met een microfoon en/of camera. Met de hackbevoegdheid mogen wij ook aanpassingen doorvoeren aan het apparaat, waardoor wij gesprekken zouden kunnen afluisteren of mee kunnen kijken. 

Voor het afluisteren van gesprekken of het observeren van mensen via een camera moeten wij wel weer apart toestemmig vragen aan de minister. Ook dan geeft de TIB een bindend oordeel over de toestemming van de minister.

Onbekende kwetsbaarheid

In onze zoektocht naar een ingang tot een computer of server, kunnen wij stuiten op een kwetsbaarheid in de beveiliging van de hardware of software die bij de maker van het product nog niet bekend is. Als dat onze enige ingang is, kunnen wij ervoor kiezen om  deze kwetsbaarheid nog niet te melden aan het Nationaal Cyber Security Centrum. Het (tijdelijk) achterhouden van deze kennis moet wel altijd in verhouding staan tot het doel dat wij ermee willen bereiken, namelijk het tegengaan van dreiging voor de nationale veiligheid.

Lees meer over het beleid ten aanzien van onbekende kwetsbaarheden.