De Stuxnet-operatie: waarom het niet aannemelijk is dat de Nederlandse inlichtingen- en veiligheidsdiensten op eigen houtje hebben gehandeld

Stuxnet

Uit het artikel van Modderkolk blijkt dat de Iraanse infrastructuur rondom het atoomprogramma werd aangetast met behulp van een digitaal ‘virus’. Specifieker werden centrifuges die nodig waren om uranium te verrijken met behulp van schadelijke software (malware) onbruikbaar gemaakt. Deze Stuxnet-malware, die door de inlichtingendiensten – het artikel noemt de CIA en de Mossad – op een bepaalde manier werd gepland in de digitale systemen van het atoomcomplex, zorgde ervoor dat bepaalde kleppen van de centrifuges zich sloten op een verkeerd moment. Het ophopende gas veroorzaakte telkens opnieuw schade aan de centrifuges. Naar schatting zijn er zo’n duizend van deze centrifuges gesneuveld en liep het Iraanse atoomprogramma enkele jaren vertraging op.

Verder staat in het artikel van Modderkolk beschreven dat de malware waarschijnlijk door een Nederlandse AIVD-agent is gepland in de digitale systemen van het Iraanse complex. Scherpenisse vertelt: “Een ‘AIVD-agent’ is ingevolge de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv 2017) een natuurlijk persoon die onder instructie van de AIVD bepaalde taken verricht. Dit kan gaan om het verzamelen van inlichtingen, waar de diensten zelf bijvoorbeeld lastig aan kunnen komen, of het verrichten van bepaalde handelingen. Onder dat laatste zouden ook de in het Volkskrant-artikel beschreven handelingen gedurende de Stuxnet-operatie kunnen vallen. Dit is echter een aanname waaruit de veronderstelling volgt dat de AIVD actief deelnam aan de operatie, wat niet met zekerheid gezegd kan worden.”

Toestemming en toezicht

“In de eerste plaats is het voor de volledigheid goed om mee te geven dat de huidige Wiv 2017 specifieker en veelomvattender is dan de versie die gold gedurende de operatie in Iran. Zo bestond de Toetsingscommissie inzet bevoegdheden (TIB) nog niet. De extra waarborgen van de huidige wet laten uiteraard onverlet dat er geen blijk is van onrechtmatig optreden van de diensten in 2007, ten aanzien van de toen geldende wetgeving”, aldus de onderzoeker. 

Mocht het zo zijn dat de AIVD een actieve, instruerende rol heeft gespeeld in de Stuxnet-operatie, dan mogen we verwachten dat hiervoor toestemming is verkregen tot op het niveau van ministers. Scherpenisse zegt daarover: “Juist aangezien er grote (politieke) risico’s zijn verbonden aan de mogelijk genomen besluiten. De Memorie van Toelichting van zowel de toen geldende als de huidige wet noemt het ‘evident’ dat de minister in dergelijke, risicovolle gevallen deelneemt aan de besluitvorming.” Dit toestemmingsvereiste geldt overigens ook voor het inzetten van agenten voordat deze bepaalde maatregelen treffen. Naast de ministers kan het parlement ook in vertrouwelijke vorm op de hoogte worden gebracht door de ministers en de diensthoofden. “Daarvoor bestaat een speciale Kamercommissie (CIVD) die ook bekendstaat als de ‘Commissie Stiekem’.”

Naast het feit dat er politieke betrokkenheid is bij dergelijke operaties geldt er onder de huidige wet een aanvullend systeem van toetsing en toezicht. De onderzoeker geeft aan: “Als de verantwoordelijke minister toestemming geeft voor de inzet van bepaalde, verregaande bevoegdheden, toetst de TIB de rechtmatigheid van de verleende toestemming. Daarbij hoort wel de kanttekening dat deze toets in de beschreven casus waarschijnlijk niet plaats zou hebben gevonden, kijkende naar de relevante bevoegdheden en uiteraard los van het feit dat de TIB toen nog niet bestond. Aansluitend houdt de Commissie van toezicht op de inlichtingen- en veiligheidsdiensten (CTIVD) toezicht op de diensten, tijdens en na de uitoefening van hun taken. De CTIVD heeft ook toegang tot de gebouwen, kan de systemen van de diensten inzien en mag medewerkers horen.”

Het feit dat de politiek en onafhankelijke toezichthouders op de hoogte (kunnen) worden gebracht van het handelen van de diensten, betekent natuurlijk niet dat deze informatie aansluitend door deze personen doorgespeeld kan worden aan journalisten. Scherpenisse: “Het lekken van staatsgeheime informatie is namelijk strafbaar.”

Nuance op de actualiteit

Het idee lijkt rond te gaan dat de diensten op eigen houtje leken te opereren zonder de politiek daarin te betrekken, terwijl ze dat wel hadden moeten doen. “Dat is een problematisch beeld en ik denk dat het onnodig schadelijk is voor het vertrouwen in onze diensten als dit beeld niet wordt bijgesteld”, merkt de onderzoeker op. Het Volkskrant-artikel bevat overigens ook meer nuance dan dat. Zo wordt gesteld dat de AIVD-agent zelf mogelijk niet wist dat hij het virus plantte op de Iraanse systemen. Ook is het onduidelijk of en in hoeverre zijn leidinggevenden binnen de AIVD op de hoogte waren van de operatie.

Scherpenisse zegt over het betrekken van de politiek bij de operatie: “Als we van de aanname uitgaan dat de AIVD niet of niet volledig op de hoogte was van de operatie, dan was het redelijkerwijs niet mogelijk geweest om de politieke top te informeren. Mocht de dienstleiding dat wel zijn geweest, dan is het uiterst onwaarschijnlijk dat ze daarover geen contact hebben gehad met de verantwoordelijke ministers.” Zoals uitgelegd, worden ministers veelvuldig betrokken in de besluitvorming van de diensten en dat mag zeker bij dit soort heikele operaties met mogelijk geopolitieke consequenties worden verwacht. Scherpenisse vervolgt: “Het is ook voorstelbaar dat ministers in de CIVD vooraf politieke rugdekking proberen te krijgen of naderhand verantwoording afleggen over zulke precaire operaties. Daarnaast kon de toezichthouder (CTIVD) live meekijken met de diensten en de ministers ongevraagd op de hoogte brengen van dergelijke operaties, mochten de diensten dat zelf hebben nagelaten. Het idee dat de diensten op eigen houtje hun gang gingen, wat het Volkskrant-artikel zelf overigens niet op die manier stelt, is hiermee hopelijk bijgesteld.”