Hoe de politie in Boston duizenden festivalbezoekers bespioneerde

Iedereen herinnert zich nog de bomaanslag op de Boston Marathon in 2013, maar toch is het makkelijk om te vergeten hoe gedesoriënteerd de inwoners van die stad daarna waren. Zeker voor buitenstaanders is dat moeilijk te beseffen. Wekenlang voelde ik een ongemakkelijk gevoel bij me opkomen als ik de trein of metro nam of een evenement bezocht. Opeens besef je je hoe makkelijk zoiets weer zou kunnen gebeuren. Zeker tijdens het Boston Calling muziekfestival een paar maanden later moeten veel mensen zich onveilig hebben gevoeld. Het was immers het eerste grote evenement dat na de aanslag plaatsvond. Maar uit recent onderzoek blijkt dat bezoekers zoals ik zich weinig zorgen hoefden te maken. Want zoals nu blijkt hield de overheid elke stap die we deden nauwkeurig in de gaten.

In mijn reviews van de festivaleditie in mei, en de daaropvolgende in september, schreef ik hoe verfrissend het was om op een festival te zijn dat in het hart van een grote stad plaatsvindt, maar desondanks niet wordt gedomineerd door extreem veel security. Ja, er werden tassen gecontroleerd en er was politie aanwezig, maar niet het aantal dat je eigenlijk zou verwachten na wat er slechts een paar maanden daarvoor was gebeurd.

Het idee dat we met z’n allen het normale leven weer probeerden op te pakken, in plaats van overhyped met veel militaire poeha te reageren, voelde bevrijdend. We voelden ons als volwassenen behandeld, en dat is iets – kan ik je vertellen – wat bij grote concerten of evenementen in Boston niet altijd het geval is. Voor een muziekjournalist zoals ik, die normaal gesproken grote festivals als deze op elke mogelijke manier probeert te mijden, wist ik juist om die reden van dit festival wel te genieten.

Dat er destijds nauwelijks politie op de been was, komt omdat op dat moment een veiligheidssysteem werd getest: een gezichtsherkenningsprogramma dat zowel tijdens de editie van mei als van die in september werd ingezet. Met behulp van IBM, dat alle bestaande camera’s in het gebied beschikbaar stelde, werden duizenden festivalbezoekers op het festival en in de omgeving in de gaten gehouden. Daar werd vervolgens data uit gefilterd die getoetst kan worden op bepaalde identiteitskenmerken. En… tsja, wat er daarna gebeurt is precies dat wat het gebruik van dit soort veiligheidsprogramma’s zo zorgwekkend maakt.

In stukken die ik via een redacteur van Digboston toegespeeld kreeg, is te lezen wat precies de bedoeling was van het programma: de software die is gebruikt is in staat om mensen van elkaar te onderscheiden aan de hand van kaalheid, brillen, huidskleur, lichaamsbouw en baarden, die – gezien het op een rockfestival was – de server overuren moet hebben bezorgd. De data werden naar een hub gestuurd waar mensen van de overheid, de politie en IBM-medewerkers in real time alles konden bekijken, terwijl tegelijkertijd de belangrijkste social media-kanalen op gerelateerde woorden aan het festival werden gescand.

Het ogenschijnlijke doel van deze techniek was om te kunnen reageren op verdachte situaties die op dat moment plaatsvonden. In de stukken staan die alarmerende situaties als volgt omschreven: ‘wanneer een persoon rond de ingang aan het dralen is, en probeert binnen te komen’, of ‘wanneer iemand een poging doet over de afzettingen heen te klimmen’, of wanneer er ‘een achtergelaten object op het terrein gevonden is’.

Bovenstaande omschrijvingen lijken me inderdaad situaties die de moeite waard zijn om extra goed op te letten, maar er stond ook een nogal opvallende functiemogelijkheid in waar ik heel erg mijn vraagtekens bij zet: ‘gezichtsherkenning van iedere persoon bij de ingang.’

Een slide uit IBM's powerpoint over gezichtsherkenning analyse.

De politie van Boston ontkent alle betrokkenheid bij dit initiatief, maar op de foto’s die ik heb gekregen van Kenneth Lipp, de journalist die al deze geheime documenten ontdekte, zie je dat de politie wel degelijk aanwezig was op de plek waar alle beelden werden gemonitord, en zelfs werd geïnstrueerd over het systeem door IBM-medewerkers.

Het gebruik van een dergelijk systeem zo kort na een bomaanslag lijkt gerechtvaardigd, maar het is in dit geval ook belangrijk om te weten hoe ineffectief gezichtsherkenning bleek te zijn bij het identificeren van de bommenwerpers Tamerlan en Dzhokhar Tsarnaev zelf. Hoewel beide mannen op camera waren vastgelegd op de dag van het bombardement, en hun identiteit bij de politie bekend was, bleek de techniek niet in staat met een match te komen. In plaats daarvan kwam de politie op traditionele wijze aan informatie: door ooggetuigen en tips. Dus waarom dacht de overheid dat het nu anders zou zijn?

Er is al veel geschreven over de tekortkomingen van gezichtsherkenning naar aanleiding van het gebruik bij bijvoorbeeld het Boston Calling-festival, in New York na 9/11, in Londen en steeds meer in gewone winkels in Amerika. Het blijkt dat de effectiviteit van het systeem vaak niet meer houdbaar is wanneer mensen een andere gezichtsuitdrukking aannemen, een ander kapsel of een andere hoed op hebben, of wanneer de foto met een andere invalshoek is genomen. En ook schmink kan de software in de war brengen, en dat is nou net iets wat mensen die naar muziekfestivals gaan steeds vaker doen.

veiligheidsbeelden, in het bezit van Kenneth Lipp @ Dig Boston.

“Dit is zeker niet de eerste keer dat de overheid en privé-instellingen als IBM samen hebben gewerkt om mensen die naar een event gaan te gebruiken als proefkonijnen,” vertelde Kade Crockford, de directeur van de ACLU Massachusetts Technology for Liberty Project. Ze vergelijkt het vastleggen van beelden bij een concert met een soortgelijk verhaal dat het online onderzoeksjournalistieke tijdschrift The Intercept onlangs ontrafelde: er bleken 15 staten, waaronder Massachusetts zelf, rijbewijsfoto’s en data uit te wisselen met federale instellingen, om hun toch al lange lijst van terreurverdachten nog verder uit te breiden.

Ondanks het feit dat de technologie nu nog niet perfect is, zijn de meeste gebruikers het er over eens dat er een punt aan zit te komen waarbij het wel gaat werken. Een lopend project van onderzoekers bij Facebook, waarin twee foto’s van een gezicht bij elkaar worden gezocht, laat resultaten zien van 97,25% accuratie, een fractie minder dan het menselijk brein zou scoren. Het is noodzakelijk dat we ons zorgen maken over wat de overheid kan en zal doen met deze mogelijkheden wanneer het eenmaal zover is.

“Het systeem wordt alleen maar beter en beter. Dan zijn het straks niet alleen de FBI, CIA en andere overheidsagentschappen die het gebruiken, maar ook elk winkelcentrum en misschien wel alle stadions en arena’s waar je naar binnen gaat,” zegt Crockford. “Het wordt een beetje als de dystopische winkelcentrum-scènes in de film Minority Report.”

Zoals op veel andere gebieden ontwikkelt de technologie zich sneller dan de wetgeving en de rechtspraak. “We moeten echt weten wat overheidsagentschappen precies aan het doen zijn. Niet alleen erover nadenken, maar echt inspelen op de publieke bezorgdheid over hoe deze technologie tegen ons gebruikt kan worden en daadwerkelijk een paar wetten aannemen die dat kunnen tegenhouden.”

Het is belangrijk om te weten dat niets hiervan naar buiten was gekomen zonder het speurwerk van de verslaggevers bij Digboston (inclusief Lipp), die op een onbeveiligde server – opengelaten door een IBM-medewerker – stuitte op de documenten en afspraken van IBM met de gemeente van Boston, over hoe de software te implementeren. Hij vond ongeveer dezelfde informatiesporen over dit soort programma’s in Chicago en New York City, en zelfs bewijs van soortgelijke IBM-systemen in Schotland, Israël, Puerto Rico, Pakistan en New Jersey.

“Erg verontrustend in het geval van Boston is hoe roekeloos ze iets testten op het onschuldige publiek, met als excuus het ‘Never Forget’, het post-9/11 ding”, zegt Lipp. “Wat ik helemaal zorgwekkend vind is dat dit allemaal onder de noemer van ‘Smart Cities’ wordt geschoven. Hoe ik het zie, is dat steden geïntegreerd toezicht gebruiken, met behulp van techpartners die zichzelf ‘aannemer van de stad’ noemen omdat het hun hardware is die wordt gebruikt voor de infrastructuur. Als ze eenmaal de infrastructuur op de juiste plek hebben geïnstalleerd, kunnen ze elke software ervoor gebruiken die ze maar willen.”

Boston Calling werd gevraagd om commentaar over hun betrokkenheid bij het programma, en ze verklaarden het volgende: “De openbare veiligheidsambtenaren van de gemeente Boston namen contact met ons op over de veiligheid op ons festival in mei 2013. Ze vertelden ons dat ze een nieuw toezichtsysteem wilden testen als extra veiligheidsmaatregel. Maar Boston Calling Music Festival was niet betrokken bij de daadwerkelijke invoering van dit programma. We werken mee met alle initiatieven op het gebied van publieke veiligheid die de gemeente besluit in te voeren. Veiligheid van de fans is onze prioriteit”.

Bij de demonstratie voor Boston werden ‘slechts’ dertien camera’s gebruikt, maar er waren er in totaal 200 die online konden gaan. Maar nog erger is wat er gebeurde met de data nadat het project was afgerond. Het kantoor van de burgemeester, dat niet heeft gereageerd op mijn verzoek om commentaar, bracht een verklaring naar buiten waarbij toegegeven werd dat het programma was gebruikt. (Het programma was ingevoerd onder het gezag van het bestuur van oud burgermeester Tom Menino, niet de onlangs aangestelde Martin Walsh). Het idee gaat volgens hen simpelweg over logistiek. Niets om je over zorgen te maken.

Demo van IBM software

Zelfs al neem je het een stadsbestuur niet kwalijk dat ze een oogje in het zeil willen houden tijdens grote evenementen als muziekfestivals, en zeker zo vlak na een terroristische aanslag, je zal het toch eens zijn dat het kwalijk is wat er gebeurt met de data die nutteloos blijkt te zijn. Je hoeft niet paranoïde te zijn om te snappen dat zodra er gegevens van je zijn verzameld, die niet zo snel weer worden gedelete. Denk maar aan wat Snowden aan het voetlicht bracht. Sterker nog, Lipp vertelt dat hij nog 70 uur aan beeldmateriaal van het evenement wist te vinden, en dat was een week geleden, vlak voor hij het verhaal hierover publiceerde. Het bleek supermakkelijk te zijn om bij privédocumenten te komen, zoals vergunningen, adressen en kopietjes van identiteitsbewijzen. Die stonden allemaal online op een onbeveiligde soort WeTransfer-server.

“Als ik een ander soort persoon was, een kwaadwillig iemand, dan zou ik veel mensen uit Boston nu kunnen bedreigen met de informatie die ik tot mijn beschikking heb. De controle van IBM over de data is echt van een bedroevend slecht niveau”, zegt Crockford. “Een groot aantal van overheidsinstellingen heeft toegang tot deze gegevens, net als een heel stel bedrijven, dus daar moeten we echt heel bezorgd over zijn. Hoeveel mensen hebben wel niet toegang tot deze server, waar al die data gewoon voor het oprapen ligt?

Het is niet alsof de rechtshandhaving in Boston al heeft laten zien dat het een goed oordeel kan vellen als het gaat om het observeren en in de gaten houden van mensen. Eerder deze zomer werden er meer dan honderd pagina’s aan aantekeningen over de Occupy Boston-leden ontdekt, die gemaakt waren door de Boston Regional Intelligence Centre. Daarin stonden ook allerlei absurde details, zoals minutieuze omschrijvingen van het komen en gaan van lokale bands, tot aan de ticketprijzen van de shows. Dat doet denken aan een eerdere keer, toen de autoriteiten online undercover gingen en deden alsof ze punkrockfans waren, om zo uit te zoeken wat de locaties waren van ‘illegale thuisconcerten’.

Het ergste was dat het allemaal in het geheim werd gedaan. “Het stadsbestuur heeft hier niets mee gedaan. Er was geen gemeentelijke hoorzitting om te vragen of dit überhaupt een goed idee was of niet”, zegt Crockford over de testen met gezichtsherkenning die zijn uitgevoerd. “Dit demonstreert perfect hoe dit soort toezicht zich steeds meer manifesteert, en hoe overheden achter gesloten deuren beslissen hoe ze grote sommen geld uitgeven aan het bespioneren van onschuldige mensen, en niemand wordt hier iets over verteld.”

Hierdoor vraag ik me af wat er allemaal nog meer gebeurt waar ik niets van af weet. Hoe vaak ben ik al op camera’s te zien geweest bij een concert? Keken ze naar me terwijl ik danste op Passion Pit of terwijl ik aan het swingen was op Marina and the Diamonds? En waarom? Wat is het dat mij en iedereen die daar is tot een potentiële bedreiging maakt, behalve dat we met z’n allen bij elkaar komen om te genieten van een dag vol muziek?

Na een paar van de meest traumatische, vreselijke dagen uit de geschiedenis van Boston ooit, kregen we met Boston Calling een paar leukere dagen. Maar het feit dat we toen bespioneerd werden, verpest mijn herinnering. En het maakt het alleen maar erger omdat we juist naar concerten gaan om onszelf, letterlijk en figuurlijk, te verliezen in de menigte. Maar dat blijkt steeds minder makkelijk om te doen.