Met computerinbraken en spionagesoftware wil de Nederlandse politie criminelen op het web aanpakken. Beveiligingsexperts en verdedigers van internetrechten zijn echter niet enthousiast. Doet een hackende politie onze digitale veiligheid meer kwaad dan goed?
1 Welke nieuwe bevoegdheden wil de Nederlandse politie op het internet?
Dienders moeten kunnen inbreken op computers van vermeende criminelen, zelfs als die computers in het buitenland staan. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een wetsvoorstel dat de Tweede Kamer eind dit jaar zal bespreken.
Met hetzelfde voorstel wil minister Opstelten het gebruik toestaan van spionagesoftware op de gehackte computers. Met die software kan de politie computerbestanden blokkeren en alle digitale handelingen van de verdachte persoon volgen. De politie mag niet zomaar in ieders computer inbreken. De rechter moet elke hack vooraf toetsen op noodzaak.
‘Depressie zit niet alleen in het hoofd, maar in het hele lichaam’
Psychiatrisch epidemioloog Brenda Penninx onderzoekt het verband tussen mentale en lichamelijke gezondheid.
2 Waarom wil de politie zelf graag hacken?
De politie staat momenteel vaak machteloos bij criminaliteit op het web. Daardoor komen hackers weg met grootschalige aanvallen op websites van bedrijven en overheidsdiensten. Vooral de zogeheten DDoS-aanvallen (Distributed Denial of Service) zijn de politie een doorn in het oog.
Hackers sturen dan een netwerk aan van duizenden onopgemerkt overgenomen thuiscomputers, die allemaal tegelijk contact maken met de netwerken van de getroffen instanties. De netwerken raken daardoor verstopt met contactverzoeken en zijn niet meer bereikbaar. Recent lagen de netwerken van de ING-bank en het verificatiesysteem DigiD nog plat door DDoS-aanvallen.
Een politiemacht die aanvallende computers mag hacken, kan een DDoS-aanval snel in de kiem smoren. Omdat de aanvallers vaak vanuit het buitenland opereren, moeten rechercheurs wel snel over de grens kunnen hacken.
3 Helpt de nieuwe inbraakbevoegdheid bij het tegengaan van digitale aanvallen?
Ja, vindt Ronald Prins, medeoprichter van het Nederlandse beveiligingsbedrijf Fox IT. Volgens hem kan de politie het acute gevaar van een digitale aanval het beste afwenden met een gerichte computerinbraak bij de aanvaller. Een aanval helemaal voorkomen moet ook kunnen, meent Prins, maar daarvoor moeten de betrokken computers vooraf wel bij de politie bekend zijn. Prins: ‘Met de hackbevoegdheid kunnen rechercheurs potentieel gevaarlijke computers afsluiten en de daders achterhalen.’
Tim Toornvliet van de digitale burgerrechtenorganisatie Bits of Freedom betwijfelt juist of meer wettelijke bewegingsvrijheid de politie kan helpen. ‘Voor een betere aanpak van internetcriminaliteit heeft de politie in de eerste plaats voldoende capaciteit en specialistische kennis nodig. Die heeft ze momenteel niet in huis’, zegt Toornvliet.
‘Het digitale beveiligingsbedrijf McAfee stelde bijvoorbeeld vast dat meer dan honderd servers op Nederlands grondgebied worden gebruikt voor DDoS-aanvallen. Die servers zijn nog steeds niet afgesloten, hoewel de politie dat binnen de huidige wetten al moet kunnen.’
4 Waarom roept het voorstel zo veel weerstand op?
Overheden gingen eerder de fout in met computerinbraak en spionagesoftware. Toornvliet haalt een digitale blunder van de Duitse politie aan. De software waarmee onze oosterburen verdachten volgden, genaamd Bundestrojaner, bleek een ideaal achterdeurtje voor hackers die computers wilden binnenvallen. De spionagesoftware van de Nederlandse politie kan op dezelfde manier de toegang van hackers tot computers vergemakkelijken, vreest Toornvliet.
Volgens Prins had de Duitse politie haar software niet eerst getest op fouten. Voor de Nederlandse politiesoftware ligt het anders, zegt hij. ‘Die wordt wel gecontroleerd, mogelijk door TNO of buitenlandse software-experts.’
Prins ziet wel andere bezwaren bij het wetsvoorstel. ‘Zoals het nu is geformuleerd, kan de politie op computers inbreken bij uiteenlopende verdenkingen. Het hacken van verdachten lijkt daardoor op prijsschieten. Als de politie je ergens van verdenkt, kunnen rechercheurs net zo lang door je internetgeschiedenis graven tot ze bewijs vinden voor iedere strafbare handeling die je ooit beging.’
5 Welke alternatieven hebben we om internetcriminaliteit te bestrijden?
‘We kunnen eerst nog een enorme slag maken met de beveiliging van computers’, meent Toornvliet. ‘Met een firewall en regelmatige software-updates kunnen mensen voorkomen dat hun pc’s worden gebruikt voor DDoS-aanvallen. Daar moeten we ze van bewustmaken.’
Verder vindt Toornvliet dat landen goede afspraken moeten maken over het hacken van computers op elkaars grondgebied. ‘Zo kunnen we internationale cybercriminaliteit sneller bestrijden, ook zonder wetsverandering.’
‘Internationale afspraken zijn nodig,’ beaamt Prins, ‘maar een wetsverandering ook. Zelfs als een land nadrukkelijk toezegt dat de Nederlandse politie een computer ongevraagd mag hacken, moeten we daar momenteel door onze eigen wetten nog steeds elke keer toestemming voor vragen.’
De hackbevoegdheid beperken tot de aanpak van pure cybercriminelen, zoals aanstichters van DDoS-aanvallen, lijkt Prins de beste oplossing.