Op 15 oktober j.l. stuurde minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Dit voorstel wordt morgen, 6 december, in de Tweede Kamer behandeld. Volgens de minister zijn deze nieuwe bevoegdheden noodzakelijk in de strijd tegen cybercrime. Een belangrijk onderdeel is de mogelijkheid om 'terug te hacken'. De politie moet kunnen inbreken op computers in binnen- en buitenland, om spionagesoftware (laten we dat policeware noemen) te installeren, of om gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. In feite krijgt de politie zo de bevoegdheid om 'computervredebreuk' te plegen. Dit voorstel gaat om verschillende redenen veel te ver.
Cybercrime is inderdaad een groeiend probleem: criminaliteit verplaatst zich naar het Internet. Zo is het aantal fysieke bankovervallen de laatste jaren spectaculair gedaald, maar daartegenover staat een even spectaculaire stijging van de digitale aanvallen op het geldverkeer. Het gaat dan vooral om het plunderen van bankrekeningen door het skimmen van bankpassen of het met malware besmetten van computers die gebruikt worden voor internetbankieren.
De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om te verbergen met wie ze communiceren of welke websites ze bezoeken. Aan de andere kant gebruikt de politie zelf ook verregaande technieken die haar slagkracht behoorlijk hebben vergroot. Denk aan telefoon- en email taps, de bewaarplicht voor verkeers- en locatiegegevens (waar encryptie niet volledig tegen beschermd), het surveilleren op sociale media, en systemen als het Internet Recherche Netwerk (IRN) waarmee rechercheurs anoniem op het Internet hun onderzoek kunnen doen. De balans is hierin dus zeker niet in het nadeel van de politie doorgeschoten.
In een aantal gevallen zeker. Door spionagesoftware (laten we dat policeware noemen) op computers en smartphones te installeren kan de politie meeluisteren met gesprekken, ook als deze versleuteld worden (zoals bijvoorbeeld Skype dat doet). Ook kan zij meekijken in versleutelde emails en beveiligde webpagina's. Het gebruik van Tor helpt dan ook niet meer om te verbergen dat je naar kinderporno surft.
Met de nieuwe bevoegdheden kan de politie ook de controle over een botnet over nemen, en deze uitschakelen, zelfs als deze vanuit een PC in het buitenland bestuurd wordt. Ook kunnen geïnfecteerde PC's worden opgeschoond. Er is wel een belangrijke beperking wat betreft de internationale reikwijdte van de voorstellen. Ook al pas je de maatregelen toe, en vind je op die manier de cybercrimineel: als hij in het buitenland zit en er is geen uitleveringsverdrag dan zul je hem alsnog niet strafrechtelijk aan kunnen pakken. De cybercrimineel blijft dan dus alsnog buiten schot.
Tegen de verspreiding van illegaal materiaal (zoals kinderporno) gaan de nieuwe bevoegdheden echter niet helpen. Dergelijk materiaal is vaak al vele malen gekopieerd. Het verwijderen van die gegevens van één server is dweilen met de kraan open. Binnen een mum van tijd verschijnt het materiaal wel weer ergens anders.
De internationale reikwijdte van de voorstellen is zorgelijk. Als wij ons als Nederland het recht voorbehouden om in het buitenland in een PC in te breken, dan moeten we niet raar opkijken als de Chinezen en Amerikanen dat ook doen. Nou kun je zeggen dat ze dat toch al doen, maar dat is nog geen reden om dergelijk illegaal gebruik dan maar te legaliseren. Bij het opruimen van het Bredolab botnet in 2010 verspreidde de politie, via het botnet, waarschuwingen aan gebruikers van geïnfecteerde PCs in binnen- en buitenland. Nederlanders zouden vreemd opkijken zijn als een vergelijkbare mededeling van de FBI (of de Chinese politie) op het beeldscherm zou verschijnen! Hoe kan ik er op vertrouwen dat zij niet stiekem toch nog een klein achterdeurtje hebben opengelaten? Zulke acties versterken het gevoel dat er altijd iemand met je meekijkt, en hebben dus een grote impact op de privacy beleving van de burger.
De vraag is bovendien wanneer terughacken legitiem is. Om Wikileaks de mond te snoeren? Of de Pirate Bay voor goed uit de lucht te halen? We moeten niet vreemd opkijken als de VS op basis van strikte naleving van copyright wetgeving in Nederland gaat terughacken. Ze kregen Nieuw Zeeland immers al zover om een inval te doen bij Megaupload.
Ten derde is het ontoegankelijk maken of verwijderen van gegevens, of het installeren van policeware niet zonder risico's. Er kan hierbij wat fout gaan waardoor de PC crasht of trager wordt. Dit kan onaangename consequenties hebben. Als je niet weet waar de computer staat, kan het maar zo zijn dat je de controller in een kerncentrale, op een operatiekamer, of op de beursvloer reset.
Ten vierde is er, ook volgens de minister in de brief, een groot gebrek aan technisch-inhoudelijke kennis bij de overheid. Die expertise is absoluut noodzakelijk om dergelijke nieuwe opsporingstechnieken verantwoord toe te passen. Zonder die expertise heeft het geen zin om om verruiming van de mogelijkheden te vragen. We kunnen commerciële partijen als Fox-IT niet voor dit soort klusjes laten opdraaien. Je verwacht immers ook geen Securitas werknemer op de stoep als je gearresteerd wordt...
Om policeware te kunnen installeren moet er een zwakheid in de beveiliging van het systeem zitten. Hoe groter de zwakheid, hoe makkelijker het is om de policeware ongemerkt te installeren. De overheid heeft er dus belang bij om deze zwakke plekken voor zichzelf te houden, in plaats van ze openbaar te maken en aan te dringen op het ongedaan maken van de zwakheid. Daarnaast moet voorkomen worden dat gebruikers de policeware op hun PC detecteren. Zal de overheid van antivirusbedrijven verwachten (of eisen) dat ze dergelijke policeware juist niet detecteren, en daarmee hun klanten kwetsbaar laten? Dit alles staat op gespannen voet met het algemeen belang van een betrouwbare digitale infrastructuur.
De politie neemt normaal gesproken een passieve rol aan bij het verzamelen van gegevens tijdens een onderzoek, zoals bij een huiszoeking. Een actieve benadering, bijvoorbeeld infiltratie, is risicovol omdat daarbij het gevaar bestaat van beïnvloeding of manipulatie door de politie. Uitlokking is bij infiltratie daarom expliciet verboden.
Een fundamenteel punt is dat bij computervredebreuk door de politie het onderscheid tussen passief en actief optreden verloren gaat. Voor het installeren van policeware zijn echter systeembeheer rechten nodig. Hierdoor vervalt het onderscheid tussen passief en actief politie optreden. Een systeembeheerder mag immers per definitie alles: lezen, maar ook schrijven. De politie neemt dus een actieve rol aan, en heeft dus de mogelijkheid om het hele systeem en alle data die daar op opgeslagen staat naar believen te wijzigen. Dit is een fundamenteel onacceptabele ontwikkeling: je kunt niet eerst iemands computer overnemen en hem vervolgens op basis daarvan beschuldigen. Daar waar bij een fysieke huiszoeking de rechter commissaris toeziet op fair play van de politie, en bij forensisch onderzoek naar ICT systemen strikte procedures moeten voorkomen dat er met bewijs geknoeid wordt, is dat bij computervredebreuk ten principale onmogelijk.
Zowel de internationale reikwijdte van het terughacken, als de per definitie actieve rol van policeware, ondermijnen de fundamenten van onze rechtstaat. Cybercrime kan nog zo veel schade aanrichten, maar om nou (bij wijze van spreken) het paleis met de grond gelijk te maken om de inbraak van de eeuw te voorkomen…
Dit artikel verscheen eerder in verkorte vorm op Netkwesties.
[…] heb ik al geschreven over de schaduwkanten van dit voorstel. Dit recent Bloomberg artikel maakt nogmaals duidelijk dat een hackende overheid een gevaar is voor […]