Begin van deze maand heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) een rapport bekend gemaakt over ‘OSINT’, dat wil zeggen geautomatiseerd openbronnenonderzoek, door de AIVD en MIVD. In de aankondiging van het rapport schrijft de CTIVD onder meer:

De CTIVD heeft onderzoek verricht naar ‘automated OSINT’ door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Automated OSINT betreft het geautomatiseerd verzamelen van gegevens uit voor een ieder toegankelijke informatiebronnen met behulp van specialistische software of webapplicaties (‘tools’). Deze tools bevatten zoekfuncties en netwerkanalysefuncties, waarbij een grote diversiteit aan bronnen op een gebruikersvriendelijke manier kan worden geraadpleegd. Het uit het onderzoek voortvloeiende toezichtsrapport nr. 74 is gepubliceerd op 8 februari 2022. Bij het rapport is een persbericht opgesteld.
In één zoekslag zijn tot wel honderden bronnen tegelijkertijd te raadplegen, waaronder locatiegegevens van de mobiele apparaten waar personen en gelekte gegevens van gebruikers van sociale mediadiensten. De resultaten kunnen vervolgens door de tools worden gevisualiseerd. Private bedrijven kunnen de datasets samenvoegen als één raadpleegbare bron (een ‘samengestelde dataset’) met soms wel miljarden gegevens. 
OSINT is nadrukkelijk niet meer alleen het ‘naslaan’ van telefoonboeken of zoeken van gegevens op internet via een zoekmachine. De huidige praktijk van automated OSINT brengt een ernstiger privacy-inbreuk met zich mee dan is voorzien bij de totstandkoming van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Daarom beveelt de CTIVD de wetgever aan een meer voorzienbare wettelijke grondslag met voldoende waarborgen te creëren ten aanzien van automated OSINT, zowel voor wat betreft de tools als de via deze tools te raadplegen bronnen.

Interessant is dat er zowel sprake is van de bekende ‘openbare bronnen’ (zoals Facebook en Twitter) als van commercieel vergaarde datasets, bijvoorbeeld met illegaal van burgers verkregen persoonsgegevens. Hoewel de commerciële partijen geacht worden zich aan de AVG te houden voor zover zij gegevens van Europese burgers verzamelen, is het de vraag of zij zich daar aan houden. Zo heb ik maar één keer gezien dat een advertentiebedrijf de betrokkene informeerde. Mensen zitten in duizenden gegevensverzamelingen, zonder dat zij daarvan op de hoogte zijn en zonder dat de gegevensbeschermingsautoriteiten optreden.

In de samenvatting van het rapport wordt als voorbeeld van gegevens die geheime diensten kunnen kopen onder meer het volgende genoemd:

Het tweede grote voordeel dat het gebruik van de tools voor de diensten oplevert is dat bronnen kunnen worden geraadpleegd die op commerciële basis op een gebruikersvriendelijke manier door de leverancier worden aangeboden. Een voorbeeld daarvan betreffen gelekte gegevens van gebruikers van sociale mediadiensten. Leveranciers kunnen deze datasets samenvoegen als één raadpleegbare bron (een ‘samengestelde dataset’) met soms wel miljarden gegevens.

Een voorbeeld van commerciële gegevens die via deze tools kunnen worden geraadpleegd, betreffen locatiegegevens die worden gegenereerd door advertenties die worden getoond aan gebruikers van applicaties. De aanbieders van commerciële tools voor OSINT kunnen advertentiegegevens afnemen bij datahandelaren (‘data brokers’) en deze via hun tool beschikbaar stellen aan klanten, waaronder inlichtingen- en veiligheidsdiensten.

Het gebruik van deze gegevens door AIVD/MIVD is illegaal zonder wettelijke grondslag (dus die zal wel snel gemaakt worden).

Dat de databrokers waarvan de geheime diensten de datasets betrekken zelf illegaal handelen (bijvoorbeeld door de locatiegegevens bij advertenties te oogsten) staat er niet bij. Nog erger is dat er advertentiebedrijven zijn die nog veel meer gegevens over mensen verzamelen, bijvoorbeeld de patronen die kunnen worden vastgesteld als een programma de bewegingen van een computermuis kan volgen, of de bewegingen van handen over een smartphone of tablet. Dit maakt persoonlijke identificatie van mensen, in combinatie met hun IP-adres, heel eenvoudig. In de VS wordt het verwerven van ‘intelligence’ door middel van advertentiebedrijven wel ‘ADINT’ genoemd.

De geheime diensten van de VS gaan nog veel verder als het gaat om het gebruik van illegaal verkregen informatie, veronderstellen sommigen (uiteraard voor mij niet verifieerbaar). Lees bijvoorbeeld het artikel Was the hacking of Ottawa trucker convoy donors a US-Canadian intelligence operation?, waarin onder meer wordt gezegd “CIA hack-and-leak operations are an increasingly common information warfare tactic“.

Ik ben nieuwsgierig naar alle gebruikers van OSINT, dus niet alleen geheime diensten maar ook rijke private organisaties, advertentiebedrijven en criminelen. Wat kopen ze en wat doen ze er mee? Welke risico’s levert dit voor burgers op? Voorlopig is dit nog geheim en onbekend.

Meer informatie:

CTIVD-rapport over OSINT:

• CTIVD nieuwsbericht Publicatie rapport 74 over automated OSINT door de AIVD en de MIVD, 8 februari 2022.
• CTIVD Rapport; bijlage I toetsingskader; bijlage II begrippenlijst. (Ook op de site van de rijksoverheid en op tweedekamer.nl te vinden.)
• De ministers van BZK en Defensie stuurden een brief aan de Tweede Kamer met een beleidsreactie.

Ook bij de opsporing is interesse voor OSINT, zie deze brief waarin onder meer staat: “De formatie van verschillende bestaande functies van het TIM is uitgebreid met (…) mensen met expertise die nodig is voor goede zaaksvoorbereiding zoals OSINT (open source intelligence) en internationaal strafrecht.”

ADINT:

• • Een ADINT aanbieder vat zijn product als volgt samen: “A unique Ad-Tech based technology that enables law enforcement and intelligence agencies to gather deep intelligence from thousands of different data points, observe and analyze digital users’ breadcrumb trails across the ecosystem and convert them to actionable insights.“.
  • Aan een Amerikaanse universiteit werd onderzoek gedaan naar ADINT, door hen op een site beschreven als “intelligence gathering through the purchasing of ads“, het artikel staat hier (pdf).
  • Een artikel uit 2017 over het digitaal volgen door advertentiebedrijven, ‘Mobile Ads Can Be Weaponized to Track Desired Users for Less Than $1,000‘.

Aanvulling 15 maart 2022
Lees over overheids-OSINT ook deze twitter draad:

#WOB – Militaire inzet tegen NL burgers en politici, buiten de wet, zonder mandaat

Landmacht + RIVM + Politie + NCTV + MIVD + KNAW + Meertens Instituut#OSINT -> #Psyops -> #BDM -> Geestesweten-schappelijke analyse

Lange draad. Zie ook: https://t.co/O01Nx5EseG

1/n pic.twitter.com/GWekUdcESM

— Wouter Aukema (@waukema) March 14, 2022