Is er iets te doen tegen nepnieuws? Ja, bijvoorbeeld door berichten te voorzien van een digitale handtekening.
Nepnieuws is een acuut maatschappelijk probleem dat niet alleen een bedreiging is voor de democratie – denk aan beïnvloeding bij de verkiezing van Trump of bij het Brexit-referendum – maar dat ook raakt aan de nationale veiligheid, als burgers in de war raken wanneer zij niet meer weten of berichten wel of niet van de autoriteiten afkomstig zijn.
Afgelopen oktober stuurde minister Ollongren van Binnenlandse Zaken en Koninkrijksrelaties (BZK) een brief naar de Tweede Kamer over de bescherming van onze democratie tegen desinformatie. De brief definieert: ‘Desinformatie is het doelbewust, veelal heimelijk, verspreiden van misleidende informatie, met het doel om schade toe te brengen aan het publieke debat, democratische processen, de open economie of nationale veiligheid.’ Bekende vormen van desinformatie zijn nepnieuws (fake news) en deepfakes (waarvoor helaas nog geen goed Nederlands woord bestaat). Zulke deepfakes zijn audio- of videofragmenten die met artificiële intelligentie (AI) gemanipuleerd zijn, waarbij mensen uitspraken doen of handelingen verrichten die niet werkelijk hebben plaatsgevonden.
Nepnieuws wordt vooral via sociale media verspreid, door veel verschillende partijen, waarbij Rusland een voorloperspositie inneemt, met name via het beruchte Internet Research Agency uit Sint Petersburg. Nepnieuws wordt gebruikt om vooroordelen te versterken, mensen zwart te maken, verwarring te zaaien en om onrust te stoken. Het heeft een bewust ondermijnende invloed, waardoor mensen gaan denken: er wordt zoveel gezegd, ik weet niet meer wat waar is. Nepnieuws kan erg effectief zijn vanwege wat heet confirmation bias: mensen horen graag wat hun vooroordelen bevestigt. Denk aan: de FBI-agent die de e-mailserver van Hillary Clinton onderzocht is dood aangetroffen. Dit (onjuiste) bericht is voorafgaand aan de Amerikaanse presidentsverkiezingen in 2016 miljoenen keren gedeeld, vooral in zogenaamde filter bubbles (echo kamers), waar kritische tegengeluiden ontbreken. In Nederland is voornamelijk rond het MH17-onderzoek desinformatie verspreid.
Een voor de hand liggende reactie op desinformatie is: we moeten de onjuistheid ervan aantonen en beter vertellen wat wel waar is. Dit is een strategie die niet blijkt te werken, vooral omdat vaak verschillende interpretaties mogelijk zijn, zeker vanuit politiek perspectief. De minister van BZK schrijft dan ook terecht in de eerder genoemde brief: ‘Het kabinet benadrukt dat, waar het gaat om niet strafbare content, zij wegblijft van het inhoudelijk beoordelen van berichten. Het adresseren van desinformatie is primair geen taak van overheden of EU-instituties maar van niet-gouvernementele actoren, zoals onafhankelijke media, online platforms en wetenschappers.’ Het kabinet zet in op preventie, zoals het versterken van mediawijsheid en het reguleren van online platformen; op monitoring, om de vinger goed aan de pols te houden; en op het organiseren van adequate reacties, zoals fact-checking en tegenspraak. In de bijlage bij de brief wordt kort melding gemaakt van ‘innovatie in consumptie en productie van nieuws online’, waarover het kabinet van plan is ‘met relevante spelers uit de sector in gesprek te gaan’.
Een zeer relevante technische innovatie wordt in de brief niet genoemd. Zoals eerder vermeld werkt het niet om de juistheid van berichten vast te stellen. Daar zijn geen digitale technieken voor. Het is digitaal wél goed mogelijk om de authenticiteit van berichten vast te stellen. Dat kan door die berichten te voorzien van een digitale handtekening. Controle van zo’n digitale handtekening geeft een positief of negatief antwoord. Een positieve uitkomst geeft zekerheid over de bron en de inhoud: het garandeert dat het bericht daadwerkelijk van de ondertekenaar afkomstig is en na ondertekening niet gemanipuleerd is. In de (computerbeveiligings-) literatuur wordt deze laatste eigenschap ʻintegriteit’ genoemd.
Hier zit een ambitieus en groots plan achter. Wanneer een significant deel van de berichtgeving – door allerlei overheidspartijen, door nieuwsorganisaties, bedrijven, online platforms, door publicisten, et cetera – digitaal ondertekend wordt, geeft dit zekerheid over herkomst en inhoud. Belangrijk is dat niet-getekende berichten terzijde geschoven kunnen worden. Stel: er verschijnt een video online waarin premier Mark Rutte zich extreem negatief uitlaat over de islam. Dat zou voor grote sociale onrust kunnen zorgen. Als ministeries stelselmatig hun berichtgeving digitaal ondertekenen, en de opgedoken video geen handtekening van de Rijksoverheid heeft, kan die terstond als onecht aangemerkt worden. Andere methoden, waarin bijvoorbeeld de echtheid beoordeeld moet worden op basis van natuurlijkheid of consistentie van de videobeelden, zijn nooit zo snel en betrouwbaar.
Dit is inderdaad een een groots plan, dat een wereldwijde aanpassing van de ICT-infrastructuur vereist. Het is enigszins vergelijkbaar met de beveiliging van webverkeer, door de overstap van ʻhttp’ naar ʻhttps’. Zo’n overgang duurt jaren, maar moet ergens beginnen. In ieder geval moet het uittesten van de technologie, en van de bruikbaarheid, herkenbaarheid en acceptatie ervan, ergens op enig moment beginnen. Dat zou goed in Nederland kunnen, want de basis om op een gratis manier digitale handtekeningen te zetten komt juist hier van de grond, via de IRMA-app. Daar ben ik zelf nauw bij betrokken.
Authenticiteit van digitale berichten is misschien wel waardevoller dan juistheid. Het laat het aan mensen zelf over om die eventuele juistheid en betrouwbaarheid vast te stellen. Authenticiteit via digitale ondertekening geeft hen daarbij houvast. Dit sluit goed aan bij hoe we dat in de offline wereld gewend zijn: oh, dat stond in de Volkskrant – of in de Telegraaf; nee, maar dat heb je van Sputnik (of RT), enzovoorts, enzovoorts. Digitale ondertekening geeft burgers zekerheid, bijvoorbeeld om snel te kunnen herkennen dat een bepaalde waarschuwing echt van de politie of van de brandweer afkomstig is. Het gaat hier om grote zaken die de nationale veiligheid raken. Maar het gaat ook om het beschermen van (democratische) instituties, die met digitale ondertekening de herkomst en integriteit van hun uitingen kunnen garanderen en zo ook in een digitale wereld vol desinformatie een betrouwbare rol kunnen spelen.
Een terechte vraag is: zijn zulke digitale handtekeningen niet juist een bedreiging voor de anonimiteit van klokkenluiders, dissidenten, journalisten of burgers? Dat is een terecht punt van zorg. Moderne digitale handtekeningen zijn echter attribuut-gebaseerd, zodat je bij ondertekening niet je volledige identiteit hoeft prijs te geven, maar bijvoorbeeld alleen dat je ‘medewerker van de Belastingdienst’ bent. Zulke attributen vormen nuttige tussenstadia, tussen anonimiteit en identificatie. Digitale handtekeningen kunnen ook getrapt ingezet worden. Een journalist ondertekent het verslag dat zij aan de krant stuurt. Dit geeft de krant zekerheid. De krant verwijdert de handtekening van de journalist en neemt het verlag op in de eigen berichtgeving, die weer door de krant zelf digitaal ondertekend wordt. De lezer krijgt dan zekerheid over de herkomst en integriteit van de berichtgeving, terwijl de krant gevoelige bronnen af kan schermen. Zo wordt de werkwijze van betrouwbare media digitaal geformaliseerd. Het nieuw te ontwikkelen online platform PublicSpaces wil van dergelijke technieken gebruik maken, voor proof-of-provenance.
Over het onderwerp desinformatie is de laatste jaren veel gepubliceerd. Voor de bredere historische en geopolitieke context verwijs ik graag naar het boek ‘Dit is geen propaganda; de oorlog tegen de waarheid’ van Peter Pomerantsev (zie bijvoorbeeld ook de recente bespreking in de NRC). De ouders van de auteur waren Sovjet-dissidenten die streden voor het recht op vrije meningsuiting onder een totalitair regime. Deze strijd is in Oost-Europa gewonnen. Maar het is wrang om te moeten constateren dat nieuwe regimes dit recht nu benutten om authentieke (onwelgevallige) geluiden te onderdrukken met desinformatie: censorship via noise. Juist daarom is het van belang om het kaf van het koren effectief te kunnen scheiden – via digitale ondertekening. De overheid moet in deze inderdaad wegblijven van ʻwaarheid’, maar niet van ʻauthenticiteit’.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Voor meer informatie, zie zijn persoonlijke webpagina bij de universiteit.
“Authenticiteit van digitale berichten is misschien wel waardevoller dan juistheid.” +1, Like en meer van die dingen.
De problematiek is veel complexer dan hier wordt beschreven. Natuurlijk is een waarborg op authenticiteit en integriteit een zeer waardevol aspect. Alleen zijn er twee zaken die roet in het eten gooien en dat zijn: de vertrouwensrelatie met de verlener van de authenticiteit, en het vaststellen van integriteit van nieuwe content.
Tegenwoordig zijn alle phishing websites voorzien van een certificaat; het toepassen van extendedSSL is op zijn retour; en met Letsencrypt kan iedereen authenticiteit waarborgen. Maar de authenticiteit betekent, zoals het artikel ook aangeeft, nog niets ten aanzien van informatiebetrouwbaarheid. Zeker niet als via één authenticator gemengde betrouwbare en onbetrouwbare content wordt verspreid.
Tweede probleem is dat met authenticiteit en integriteit alleen, het ontkennen van vervalste content nog steeds lastig is. Je kunt een deep fake video van bijvoorbeeld Mark Rutte moeilijk ontkennen als je daar niet een geauthenticeerde opname van 7*24 uur livestream van zijn leven tegenover zet om het mee te vergelijken. En dan nog; Als een geauthenticeerd en integer fake bericht al wordt ontmaskerd dan betekent dat in deze tijd van samenzweringstheorieën met bijbehorende sites en doelgroepen nog steeds weinig.