Belgische overheid vs. IS terrorisme : vormen cyberaanvallen de weg naar veiligere sociale media platformen?
Op 21 en 22 november 2019 lieten Europol en Telegram een grote hoeveelheid terroristisch propagandamateriaal van de Islamitische Staat verdwijnen van Telegram. Was dit een cyberaanval? Kunnen staten cyberaanvallen plegen op terroristen om zo hun online aanwezigheid in te perken?
1. Is er sprake van een cyberaanval?
Het sensationeel voorstellen van deze operatie als een cyberaanval op het sociale media platform Telegram heeft veel weg van een sciencefiction film, maar weinig van een juridische waarheid.
De Islamitische Staat is massaal aanwezig op sociale media platformen waar ze haar trouwe en nieuwe aanhangers voedt met terroristische propaganda. Doorgaans halen private platformen deze propaganda in de vorm van posts, foto’s of video’s neer. Het neerhalen van zulke inhoud kan op twee manieren gebeuren: als reactie op een melding (een zogeheten ‘referral’) van een gebruiker van het platform of op een verwijderingsbevel van de overheid.
Het ‘notice-and-takedown’ mechanisme
Deze eerste tussenkomst, het zogeheten ‘notice-and-takedown’ mechanisme, kent een vaag wettelijk kader dat onvoldoende rechtszekerheid biedt aan zowel de sociale media platformen als de gebruikers ervan.
De verwijderingsbevelen
De verwijderingsbevelen vormen het tweede mechanisme dat de overheid inzet om de aanwezigheid van terroristische propaganda online te minimaliseren. Via dit procedé bevelen overheden sociale media platformen om bepaalde inhoud ontoegankelijk te maken voor de gebruikers ervan. De op 28 april 2021 door het Europees Parlement goedgekeurde “Verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud” past dit mechanisme op ingrijpendere wijze aan. Hoewel deze Verordening een noodzakelijke stap is naar een veiligere online wereld met zo minimaal mogelijk terroristische propaganda, brengt dit nieuw Europees instrument enkele fundamentele mensenrechten in gevaar.
Zo vermindert de nieuwe Verordening onder meer de reactietijd van platformen om een bevel na te leven om terroristische inhoud te verwijderen tot een uur. Dit betekent dat, ongeacht de grootte, de beschikbare middelen en het personeel van het bedrijf achter het sociale media platform, het bedrijf een 24/7 menselijke aanwezigheid zal moeten verzekeren. Dit kan duur uitdraaien voor kleine sociale media platformen. Een mogelijkheid om zulke rond-de-klok beschikbaarheid te vermijden, is het installeren van automatische mechanismen die onmiddellijk de inhoud verwijdert. Een tweede nieuwigheid die de Europese Verordening introduceert, is de mogelijkheid om grensoverschrijdende bevelen uit te vaardigen. Zo kan een Poolse overheid aan een in België gevestigd sociale media platform bevelen om bepaalde online inhoud te verwijderen omdat de overheid de inhoud als terroristisch materiaal beschouwt. De afwezigheid van een algemeen aanvaarde definitie van de vage notie van ‘terrorisme’, laat overheden toe om dit begrip naar hun hand te zetten. Zo worden politieke opposanten regelmatig afgeschilderd als ‘terroristen’ en wordt de legitieme uitoefening van het fundamentele recht op vrijheid van meningsuiting in de kiem gesmoord.
Het valt te betwijfelen of zulke grensoverschrijdende verwijderingsbevelen wel gerechtvaardigd zijn in een Europa waarin landen minder en minder waarden delen en steeds verder democratisch verwijderd staan.
De vorige mechanismen berusten op een samenwerking tussen de private sociale media platformen en publieke autoriteiten. Sociale media platformen krijgen echter een groeiende verantwoordelijkheid opgelegd om terroristische inhoud zo snel mogelijk onbeschikbaar te maken. Zulke private entiteiten zijn echter niet de optimale keuze om terrorisme te bestrijden. Enerzijds omdat het de taak van publieke overheden is om de burgers tegen terrorisme te beschermen. Anderzijds liggen de belangen van private bedrijven heel anders dan de overheid. Groei, een stijgend aantal gebruikers en winst vormen de centrale private belangen van sociale media platformen. Het verwijderen van inhoud van gebruikers ligt daarom niet in lijn met hun belangen. Bijgevolg lijkt het noodzakelijk om de taak om terrorisme te bestrijden opnieuw bij de publieke overheden te leggen.
2. Overheden en offensieve cyberaanvallen: een mogelijke match?
Het toekennen aan de Belgische autoriteiten van de bevoegdheid om offensieve cyberaanvallen te orkestreren op telefoons en computers van terroristen zou een oplossing voor de online aanwezigheid van de terroristische organisaties kunnen zijn. Zo zouden publieke autoriteiten malware in een toestel van een terrorist kunnen installeren om de data ervan te verwijderen. Dit zou ervoor zorgen dat de persoon terroristische video’s niet meer op sociale media platformen zou kunnen verspreiden. Een andere mogelijkheid zou erin bestaan om de toegang van de persoon tot het toestel te verhinderen door het toestel te bevriezen.
Uit de analyse van de wetgeving op internationaal, Raad van Europa, Europese Unie en Belgisch niveau blijkt dat geen enkel in België toepasselijk instrument het verwezenlijken van zulke cyberaanvallen voorziet. De Belgische wet kent de inlichtingen- en veiligheidsdiensten de mogelijkheid toe om defensief (als reactie op een cyberaanval om de Belgische infrastructuren te beschermen) cyberaanvallen uit te voeren. In het kader van een gewapend conflict, kunnen de Belgische militaire inlichtingen- en veiligheidsdiensten bovendien offensieve cyberaanvallen uitvoeren op terroristen die zich buiten het Belgisch grondgebied bevinden. De bevoegdheid om proactief offensieve cyberaanvallen op terroristische toestellen in België uit te voeren werd echter nog niet toegekend aan deze diensten. Of dit vandaag wenselijk is, dient negatief beantwoord te worden gezien de huidige cybercapaciteit van deze diensten en de lacunes in de wet.
Gelet op het groeiende belang van de online wereld, lijkt het echter wel opportuun om dit in de toekomst uit te werken. Vooreerst dienen de defensieve cyberbevoegdheden van onze Belgische overheid aangescherpt en geperfectioneerd te worden. Bovendien moeten de cybercapaciteiten en cyberkennis verder uitgewerkt worden om te kunnen voldoen aan de technische, operationele, technologische en menselijke vereisten van zulke cyberaanvallen. Het lijkt opportuun om dit uit te werken in het kader van de creatie van een vijfde legercomponent: een cybercomponent. Eens de inlichtingen-en veiligheidsdiensten operationeel klaar zullen zijn om zulke offensieve cyberaanvallen uit te voeren, zal de wetgever zijn scherpste pen moeten bovenhalen om de bestaande wetgeving aan te passen en dit met het grootste respect voor de fundamentele rechten die de burgers in dit land genieten.
