Joint Sigint Cyber Unit

Joint Sigint Cyber Unit
Geschiedenis
Opgericht	2013
Voorganger(s)	Nationale Sigint Organisatie (NSO)
Geschiedenis
Type	Afluisterdienst
Directeur	Patricia Damen
Verantwoordelijke minister	Hanke Bruins Slot (BZK) & Kajsa Ollongren (Defensie)
Valt onder	AIVD en MIVD
Jurisdictie	Nederland
Hoofdkantoor	Zoetermeer

De Joint Sigint Cyber Unit (JSCU) is een gezamenlijk onderdeel van de Nederlandse geheime diensten AIVD en MIVD en is gericht op het afluisteren van radio- en satellietverkeer (SIGINT) en het verkrijgen van inlichtingen via cyberoperaties. De JSCU is begin 2013 opgericht en per 15 juni 2014 operationeel geworden.^[1]^[2]

Voorgeschiedenis[bewerken | brontekst bewerken]

De oprichting van de JSCU werd sinds 2012 voorbereid door een gezamenlijk team van Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) onder de naam Project Symbolon. De JSCU is gericht op het afweren van zogeheten cyberaanvallen en het afluisteren van radio- en satellietverkeer. Hierbij zal nauw worden samengewerkt met de afluisterdiensten van buitenlandse bondgenoten.^[3]

Met betrekking tot de wettelijke basis van de nieuwe organisatie werd door de commissie Dessens onderzocht of en in hoeverre de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv) diende te worden gewijzigd. Hierin werd namelijk in principe alleen het afluisteren van niet-kabelgebonden communicatie toegestaan, aangezien ten tijde van het opstellen van deze wet al het internationaal verkeer op zeker moment via draadloze verbindingen verliep.^[3]

Tegenwoordig verloopt dit nagenoeg volledig via ondergrondse en onderzeese glasvezelkabels, die veel moeilijker zijn af te tappen. Om die reden adviseerde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in december 2011 om onderzoek te doen naar of en onder welke voorwaarden ook het aftappen van kabelgebonden communicatie kan worden toegestaan.^[4]

Organisatie[bewerken | brontekst bewerken]

De Joint Sigint Cyber Unit wordt geleid door een Management Board, waarvan ten minste de directeur-generaal van de AIVD, de directeur van de MIVD en het hoofd van de JSCU lid zijn. Voor aangelegenheden die de unit overstijgen is er de Bestuursraad JSCU, waartoe de secretarissen-generaal van de ministeries van Algemene Zaken, Binnenlandse Zaken en Defensie behoren. Intern wordt de JSCU geleid door het hoofd van deze unit.^[5]

Het hoofdkantoor van de JSCU is gevestigd in het pand van de AIVD in Zoetermeer, waar naar verwachting 350 mensen zouden komen te werken. Andere onderdelen kwamen bij de MIVD in Den Haag.^[6] Voor de 100 tot 150 personen van de MIVD die voor de JSCU in het AIVD-gebouw kwamen te werken, eiste de AIVD opnieuw een veiligheidsonderzoek. De MIVD accepteerde dat, maar de betreffende militairen, die vaak al toegang tot de hoogste geheimhoudingsniveaus hadden, voelden zich door het wantrouwen van de AIVD dermate geschoffeerd dat zij juridische stappen eisten.^[7]

Afdelingen[bewerken | brontekst bewerken]

De JSCU beschikt over een bureau Computer Network Operations (CNO) dat uit drie afdelingen bestaat:^[8]

Computer Network Defense (CND)
Computer Network Investigation (CNI)
Computer Network Exploitation (CNE)

De afdeling Computer Network Investigation (CNI) houdt zich met name bezig met malware-analyse, netwerkanalyse, forensische analyse, incident response en het automatiseren van deze activiteiten (DevOps). CNI doet dit ter ondersteuning van de inlichtingenteams van AIVD en MIVD die het eigenlijke onderzoek doen, bijvoorbeeld naar Advanced Persistent Threats (APTs).^[9]

Alle cyberoperaties van de JSCU worden uitgevoerd door een business unit die uit ca. 80 tot 100 personen bestaat. Deze unit omvat teams voor onder meer aftapactiviteiten, Computer Network Defence (CND) en Computer Network Exploitation (CNE). Het CNE-team bestaat uit hackers (binnen de dienst operators genoemd) die vijandige computernetwerken mogen binnendringen.^[10] Het aantal hackers groeide van vijf in 2014 naar vijftig in 2019, terwijl het totaal aantal medewerkers van de JSCU in dat jaar naar 700 groeide. Qua vaardigheden op het gebied van hacken zouden zij tot de top-5 van de wereld behoren.^[11]

Een aparte afdeling binnen de JSCU zorgt voor de coördinatie van de hackoperaties, die voor meerdere teams van AIVD en MIVD van interesse kunnen zijn, met name als het gaat om het verwerven van bulkdata. Het is ook deze afdeling die, in overleg met het CNE team, de aanvragen tot toestemming voor hackoperaties opstelt, die eerst intern en vervolgens door de minister en de TIB beoordeeld worden.^[10]

Voor het onderscheppen van dataverkeer dat via glasvezelkabels verloopt is er het Bureau Kabel. Dit bestaat uit meerdere onderdelen ("clusters") die de verschillende fases van het kabeltappen verzorgen, van het installeren van de tappunten tot het verwerken van de onderschepte data. Samen vormen zij de zogeheten interceptieketen die wordt aangestuurd door de procescoördinator kabelinterceptie.^[12]

Wettelijk kader[bewerken | brontekst bewerken]

Als gezamenlijk onderdeel van de AIVD en MIVD vallen de werkzaamheden van de JSCU onder de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv). Beide diensten zijn in het convenant inzake de Joint Sigint Cyber Unit van 3 juli 2014 overeengekomen welke taken en bevoegdheden door de JSCU uitgevoerd mogen worden.^[5]

Taken[bewerken | brontekst bewerken]

Op basis van het convenant heeft de JSCU de volgende taken:^[13]

Verwerven van elektronische data, waaronder het met technische middelen afluisteren van communicatie
Deze gegevens toegankelijk en doorzoekbaar maken en er onderlinge verbanden in leggen
(Ondersteuning bij de) analyse van data en onderzoek naar cyberdreigingen en 'taalcapaciteit'
Capaciteit voor afluisteren en cyberoperaties leveren, zo nodig op locatie in of nabij missiegebieden
Innovatie en kennisontwikkeling op deze gebieden om tijdig te kunnen inspelen op technologische ontwikkelingen

Bevoegdheden[bewerken | brontekst bewerken]

Op basis van het convenant mag de JSCU voor het vervullen van zijn taken de feitelijke uitvoering verzorgen van de volgende bijzondere bevoegdheden:^[5]

Observeren en volgen van personen (art. 20 Wiv 2002; art. 40 Wiv 2017)
Onder een dekmantel verzamelen van informatie (art. 21 Wiv 2002; art. 41 Wiv 2017)
Computers binnendringen door middel van hacken (art. 24 Wiv 2002; art. 45 Wiv 2017)
Door middel van een telefoontap of internettap gericht communicatie onderscheppen (art. 25 Wiv 2002; art. 47 Wiv 2017)
Ongericht elektronisch communicatieverkeer onderscheppen en analyseren (onder art. 26 & 27 Wiv 2002 mocht dit alleen voor draadloze signalen, onder art. 48 t/m 50 Wiv 2017 ook voor kabelgebonden verkeer)
Gebruikersgegevens opvragen bij telecommunicatiebedrijven (art. 28 & 29 Wiv 2002; art. 54 & 55 Wiv 2017)

Voor het uitoefenen van deze bevoegdheden hebben medewerkers toegang tot alle plaatsen die nodig zijn om bijvoorbeeld 'observatie- en registratiemiddelen' aan te brengen (art. 30 Wiv 2002).

De bijzondere bevoegdheden tot het doorzoeken van besloten plaatsen of gesloten voorwerpen, de identiteit van personen vaststellen door voorwerpen te onderzoeken, het openen van brieven en andere postzendingen zijn niet aan de JSCU toegekend.^[5]

Activiteiten[bewerken | brontekst bewerken]

Het afluisteren van radio- en satellietverkeer werd voorheen gedaan door de Nationale Sigint Organisatie (NSO), die eveneens in opdracht en onder verantwoordelijkheid van zowel de AIVD als de MIVD werkte en die op 15 juni 2014 in de JSCU opging.

De activiteiten van de JSCU zijn tweeledig:^[14]

Offensieve verwerving, waarmee informatie wordt verzameld over landen, organisaties en bedrijven die mogelijk een bedreiging voor Nederland kunnen zijn;
Defensieve verwerving, waarmee digitale dreigingen richting Nederland worden onderzocht en technisch worden geanalyseerd.

De 'cybertaak' van de JSCU zal onder meer het vergaren van inlichtingen via cyberoperaties omvatten, evenals het onderzoeken en voorkomen van dreigingen, aanvallen en spionage gericht tegen Nederlandse computernetwerken. Offensieve cyberoperaties zijn echter voorbehouden aan het Defensie Cyber Commando (DCC). De JSCU zal nauw samenwerken met de afluisterdiensten van buitenlandse bondgenoten, onder meer voor het analyseren van SIGINT.^[15]

In januari 2018 werd onthuld dat het Computer Network Attack (CNA)-team van de JSCU sinds de zomer van 2014 was geïnfiltreerd in het netwerk van de Russische hackersgroep Cozy Bear, ook wel aangeduid als APT29, en zodoende kon waarnemen hoe deze groep bij de Amerikaanse Democratische Partij, het ministerie van Buitenlandse Zaken en het Witte Huis probeerde binnen te dringen. Deze informatie werd vervolgens aan de Amerikaanse geheime diensten CIA en NSA doorgegeven, die daarmee bewijs in handen kregen voor de Russische beïnvloeding van de Amerikaanse presidentsverkiezingen 2016.^[16]

In april 2021 opende de JSCU een openbaar account op het internationale programmeursplatform GitHub.^[17]

Afluisterstations[bewerken | brontekst bewerken]

Voor het onderscheppen van draadloze communicatie beschikt de JSCU over afluisterstations, die voorheen door de Nationale Sigint Organisatie (NSO) bediend werden. Het betreft:

Burum[bewerken | brontekst bewerken]

Dit is een interceptie faciliteit voor satellietverkeer in Burum (gemeente Kollumerland c.a.) in Friesland en is vanaf 2006 operationeel. De bouw van dit Satelliet Grondstation Burum begon in 2005 ter vervanging van het voormalige grondstation in Zoutkamp in Noord-Groningen.

Op de zuidoosthoek van het Stratos-terrein, bijgenaamd It Grutte Ear, staan twee schotelantennes van 18 meter doorsnee, wat kleinere schotels van 11 meter doorsnee en vier met een doorsnee van 4 meter.^[18] Deze onderscheppen spraak en datacommunicatie van Intelsat en van Inmarsat satellieten.

Eibergen[bewerken | brontekst bewerken]

Bij Eibergen bevindt zich Kamp Holterhoek in de Achterhoek. Hier werd sinds 1966 door het 898e Verbindingsbataljon radioverkeer uit het voormalige Oostblok afgeluisterd. In 1998 ging dit bataljon samen met de 1e Luchtmacht Verbindingsgroep uit Alphen en een deel van de Marine Inlichtingendienst (het Technisch Informatie Verwerkings Centrum, TIVC) op in het Operationeel Verbindings-Inlichtingen Centrum (OVIC) te Eibergen.^[19]

Kamp Holterhoek heeft diverse antennecomplexen om hoogfrequent radioverkeer te onderscheppen. In 2015 werd dit bemoeilijkt door de plaatsing van windmolens in de Duitse buurgemeente Vreden, iets waar Defensie om die reden invloed op probeerde uit te oefenen.^[20] In hetzelfde jaar werd bekend dat een nieuw 'Breedband Interceptie Systeem' werd ingevoerd. Dit is inmiddels operationeel.^[21]

Verwerkingssystemen[bewerken | brontekst bewerken]

Over de systemen waarmee de JSCU de uit radio- en satellietverkeer onderschepte data vervolgens verwerkt is in de loop der tijd de volgende informatie naar buiten gekomen:

De MIVD nam in 2009 een eerste versie van een nieuw informatieverwerkingssysteem in gebruik, waarmee onder meer binnen dertig milliseconden informatie uit miljoenen documenten kon worden gevonden. Later zouden onder andere ook 'expertmeetings, samenwerkingsvormen, ketenbenadering, koppeling van gestructureerde en ongestructureerde informatie' mogelijk moeten worden.^[22] Blijkens de jaarverslagen was de dienst in 2010 en 2011 bezig met de aanschaf van een nieuw 'SIGINT-productie-ondersteuningssysteem', waarvan in 2013 de eerste versie en in 2014 verdere versies beschikbaar zouden komen.^[23]

In november 2013 werd bekend dat het ministerie van Defensie onder de naam project Argo II voor 17 miljoen euro apparatuur van het Israëlische bedrijf NICE Systems had besteld om grootschalig ook kabelgebonden telefoon- en internetverkeer te kunnen opvangen en verwerken. Onder de naam project Argo II zou deze apparatuur vanaf 2014 worden ingezet om "informatie uit communicatiemiddelen te verwerken tot inlichtingen" aldus minister Plasterk van Binnenlandse Zaken.^[24] Het systeem zou zowel door de AIVD als MIVD gebruikt gaan worden en is vooral bedoeld om SIGINT bruikbaar te houden voor 'de wereld van het internetprotocol', aldus het Rijks ICT-dashboard, dat ook vermeldde dat het contract met de leverancier tot en met 2018 loopt.^[25]

In de media werd vermoed dat de Nederlandse diensten met de aanschaf van Argo II vooruitliepen op de ongerichte toegang tot kabelcommunicatie, iets wat onder Wiv 2002 niet was toegestaan.^[26] Het ministerie van Defensie liet vervolgens op zijn website weten dat Argo II zelf geen data kan onderscheppen of verzamelen en dat het systeem vooralsnog alleen werd gebruikt om internetverkeer te verwerken dat uit de ether werd opgevangen.^[27]

In het jaarverslag over 2012 liet de AIVD weten dat zij, ogenschijnlijk parallel aan het project van de MIVD, een systeem hebben ontwikkeld waarmee zeer snel grote hoeveelheden data uit SIGINT en andere bronnen kan worden opgeslagen en doorzocht. Ook heeft de AIVD applicaties ontwikkeld om deze 'bulk data' te analyseren en specifieke trends daarin in statistieken en rapportages weer te geven.^[15]

Problematiek met uitrol 5G netwerk[bewerken | brontekst bewerken]

5G is de opvolger van 4G, de technologie die op dit moment wordt gebruikt voor mobiel internet. Nieuwe technologie in telecommasten moet razendsnel verbinding gaan maken met apparaten die hier ondersteuning voor hebben. Op smartphones zorgt dat er bijvoorbeeld voor dat video’s sneller streamen en foto’s sneller worden gedownload. Het geplande 5G-netwerk krijgt een veel grotere capaciteit en bandbreedte. Dit moet ervoor zorgen dat er meer apparaten tegelijkertijd kunnen verbinden met dezelfde antenne, waardoor o.a. de verbinding van smartphones stabiel blijft op drukke plaatsen zoals luchthavens of bij evenementen.

Eén van de frequentiebanden benodigd voor 5G in Nederland is de 3400-3800 GHz band. Deze ligt echter in de 3400-4200 GHz C-band die is toegewezen aan internationale satellietcommunicatie. Deze band wordt al jaren door diverse inlichtingendiensten afgeluisterd waaronder ook door de JSCU faciliteit in Burum. Uit diverse studies is echter gebleken dat gebruik door 5G netwerken ernstige interferentie veroorzaakt op de gebruikte interceptie apparatuur.^[28]

Trivia[bewerken | brontekst bewerken]

De roman In het hol van de Cozy Bear, die tot nu toe alleen gepubliceerd is in een Engelse vertaling als In the Lair of the Cozy Bear gaat over de infiltratie in het netwerk van de Russische hackersgroep Cozy Bear door het Computer Network Attack (CNA)-team van de JSCU. Het is geschreven met een Amerikaanse verbindingsofficier bij de JSCU als de ik-persoon.

Externe links[bewerken | brontekst bewerken]

AIVD en MIVD slaan handen ineen tegen cyberdreigingen, ministerie van Defensie
Samenwerking inlichtingendiensten, ministerie van Defensie
Podcast over de oprichting van de JSCU

Bronnen, noten en/of referenties

↑ NRC Handelsblad, NSA infected 50,000 computer networks with malicious software; en papieren editie van 23 november 2013, p. 12
↑ Rijksoverheid.nl: Kamerbrief en convenant Joint Sigint Cyber Unit (JSCU), 3 juli 2014
↑ ^a ^b Project Symbolon completed: the Dutch Joint SIGINT Cyber Unit (JSCU) is born, 24 september 2013
↑ Regering onderzoekt internettap voor veiligheidsdiensten, 29 december 2011. Gearchiveerd op 1 september 2018.
↑ ^a ^b ^c ^d Kamerbrief met convenant Joint Sigint Cyber Unit, 3 juli 2014. Gearchiveerd op 1 augustus 2022.
↑ Project Symbolon completed: the Dutch Joint SIGINT Cyber Unit (JSCU) is born, 24 september 2013
↑ Telegraaf.nl: Spionnen onder één dak: ruzie, 28 februari 2014
↑ Toelichting bij een vacature van de AIVD, november 2019.
↑ Cyber Espionage: Good guys tooling: hoe de geheime dienst onzichtbare dreigingen onderzoekt, 5 mei 2021. Gearchiveerd op 3 april 2023.
↑ ^a ^b CTIVD rapport nr. 70: er het verzamelen van bulkdatasets met de hackbevoegdheid en de verdere verwerking daarvan door de AIVD en de MIVD, 22 september 2020, p. 13.
↑ Huib Modderkolk, "Het is oorlog, maar niemand die het ziet", uitg. Podium, Amsterdam 2019, p. 242.
↑ Werken voor Nederland: Vacature procescoördinator kabelinterceptie^{[dode link]}, september 2020.
↑ Zie ook de vacaturetekst IT-specialisten voor de Joint Sigint Cyber Unit, 29 juli 2015
↑ AIVD.nl: Wat is de Joint Sigint Cyber Unit?
↑ ^a ^b AIVD: Jaarverslag 2012, p. 62
↑ Volkskrant.nl: Hackers AIVD leverden cruciaal bewijs over Russische inmenging in Amerikaanse verkiezingen, 25 januari 2018. Gearchiveerd op 16 april 2018.
↑ AIVD.nl: Joint Sigint Cyber Unit vanaf nu actief op GitHub, 22 april 2021
↑ It Greate Ear in Burum, Noorderbreedte, nr. 6, 2006
↑ 898e Verbindingsbataljon en haar voorgangers
↑ De Gelderlander: Afluisteren in Achterhoek bemoeilijkt door Duitse windmolens, 25 maart 2015
↑ VBM: Zorgen over personeel Joint Sigint Cyber Unit, 12 augustus 2015
↑ MIVD: Jaarverslag 2009
↑ Zie de jaarverslagen van de MIVD over 2010, 2011 en 2012
↑ Nederland bestelt een nog verboden spionagesysteem, 9 november 2013.
↑ Rijks ICT-dashboard: ARGO II. Gearchiveerd op 27 augustus 2023.
↑ DeMorgen.be: Nederland bestelt een nog verboden spionagesysteem, 9 november 2013.
↑ Defensie.nl: Gegevens verwerken met ARGO II. Gearchiveerd op 21 augustus 2016.
↑ https://www.tweedekamer.nl/kamerstukken/detail?id=2018D61788&did=2018D61788

[1] NRC Handelsblad, NSA infected 50,000 computer networks with malicious software; en papieren editie van 23 november 2013, p. 12

[2] Rijksoverheid.nl: Kamerbrief en convenant Joint Sigint Cyber Unit (JSCU), 3 juli 2014

[cyberwar-3] Project Symbolon completed: the Dutch Joint SIGINT Cyber Unit (JSCU) is born, 24 september 2013

[4] Regering onderzoekt internettap voor veiligheidsdiensten, 29 december 2011. Gearchiveerd op 1 september 2018.

[convenant-5] Kamerbrief met convenant Joint Sigint Cyber Unit, 3 juli 2014. Gearchiveerd op 1 augustus 2022.

[6] Project Symbolon completed: the Dutch Joint SIGINT Cyber Unit (JSCU) is born, 24 september 2013

[7] Telegraaf.nl: Spionnen onder één dak: ruzie, 28 februari 2014

[8] Toelichting bij een vacature van de AIVD, november 2019.

[9] Cyber Espionage: Good guys tooling: hoe de geheime dienst onzichtbare dreigingen onderzoekt, 5 mei 2021. Gearchiveerd op 3 april 2023.

[ctivd70-10] CTIVD rapport nr. 70: er het verzamelen van bulkdatasets met de hackbevoegdheid en de verdere verwerking daarvan door de AIVD en de MIVD, 22 september 2020, p. 13.

[11] Huib Modderkolk, "Het is oorlog, maar niemand die het ziet", uitg. Podium, Amsterdam 2019, p. 242.

[12] Werken voor Nederland: Vacature procescoördinator kabelinterceptie^{[dode link]}, september 2020.

[13] Zie ook de vacaturetekst IT-specialisten voor de Joint Sigint Cyber Unit, 29 juli 2015

[14] AIVD.nl: Wat is de Joint Sigint Cyber Unit?

[aivd2012-15] AIVD: Jaarverslag 2012, p. 62

[vk2018-16] Volkskrant.nl: Hackers AIVD leverden cruciaal bewijs over Russische inmenging in Amerikaanse verkiezingen, 25 januari 2018. Gearchiveerd op 16 april 2018.

[17] AIVD.nl: Joint Sigint Cyber Unit vanaf nu actief op GitHub, 22 april 2021

[18] It Greate Ear in Burum, Noorderbreedte, nr. 6, 2006

[19] 898e Verbindingsbataljon en haar voorgangers

[20] De Gelderlander: Afluisteren in Achterhoek bemoeilijkt door Duitse windmolens, 25 maart 2015

[21] VBM: Zorgen over personeel Joint Sigint Cyber Unit, 12 augustus 2015

[22] MIVD: Jaarverslag 2009

[23] Zie de jaarverslagen van de MIVD over 2010, 2011 en 2012

[24] Nederland bestelt een nog verboden spionagesysteem, 9 november 2013.

[25] Rijks ICT-dashboard: ARGO II. Gearchiveerd op 27 augustus 2023.

[demorgen-26] DeMorgen.be: Nederland bestelt een nog verboden spionagesysteem, 9 november 2013.

[27] Defensie.nl: Gegevens verwerken met ARGO II. Gearchiveerd op 21 augustus 2016.

[28] ttps://www.tweedekamer.nl/kamerstukken/detail?id=2018D61788&did=2018D61788

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]