Nederlandse overheid komt met cyberwetgeving
Terughacken als wapen tegen cybercrime kan niet zonder wettelijke basis. Het werkt wel, mits met de juiste voorwaarden omkleed en alleen als uiterst middel gebruikt, om burgers tegen cybercriminelen te beschermen. Nu is hét moment voor de politiek om problemen en oplossingen in cyberspace in kaart te brengen en zich aan een ‘zeerecht’ voor het internet te wagen, vindt directeur Ronald Prins van Fox-IT. Zijn opinie.
‘Sinds het aantreden van minister Ivo Opstelten van Veiligheid en Justitie in 2010, oefenen de diensten die verantwoordelijk zijn voor de opsporing en vervolging van cybercrime, druk uit om meer bevoegdheden te krijgen om buitenlandse internetcriminelen aan te pakken. Nu exact twee jaar later heeft de, inmiddels demissionair, minister in een brief aan de Tweede Kamer aangekondigd met cyberwetgeving te komen.’ Bij Fox-IT kijken we met belangstelling uit naar deze nieuwe wet. Want ondanks dat we vaak weten waar de buitenlandse servers staan van waaruit cyberaanvallen worden gepleegd, kunnen we nu niets doen zonder wettelijke basis. Nederland ervaart veel overlast van cybercrime. De huidige regelingen om deze groeiende vorm van criminaliteit te handhaven zijn beperkt en niet effectief genoeg om criminelen te stoppen en burgers te beschermen. Het internet is per definitie een terrein dat los van nationale grenzen staat en dat moeten we ook zo houden. Maar het mag niet betekenen dat strafbare feiten zonder consequenties gepleegd kunnen worden. Immers, de slachtoffers zijn échte mensen, met reële schade, en geen virtuele figuren in een virtuele wereld. Wetgeving, vergelijkbaar met het internationaal zeerecht, helpt burgers te beschermen en maakt cybercrime voor daders minder aantrekkelijk.
Wachten op medewerking
Het Bredolab botnet, 2010: via de servers bij een bedrijf in Nederland worden zo’n 30 miljoen geïnfecteerde computers aangestuurd door een crimineel vanuit het buitenland. De Nederlandse politie heeft dit botnet een halt toegeroepen door in te breken op de Nederlandse servers en de functionaliteit van het botnet zelf gebruikt om de besmette computers op te schonen.
Anders ligt het bij de recente uitbraak van het Dorifel-virus: de verdachten zijn niet direct op te pakken. Reden: de politie heeft niet de bevoegdheid om in de buitenlandse computers van cybercriminelen in te breken, bewijsmateriaal te verzamelen en de command and control servers onschadelijk te maken.
Met meer bevoegdheden om de acute dreiging van het recente Dorifelvirus offline te halen, had de politie dit binnen een paar uur kunnen doen. Nu heeft het stopzetten van nieuwe besmettingen dagen moeten duren. Als samenleving vinden we het onacceptabel dat gemeenten, bedrijven en overheidsinstellingen niet meer konden werken omdat het Dorifel-virus zich kon blijven verspreiden. Dit alles alleen doordat een hostingprovider in het buitenland niet direct meewerkte met het verhelpen van het probleem.
Een verzoek naar het buitenland duurt weken zo niet maanden en dat is maar één stap in het onderzoek. Informatie is vaak al weg omdat iedere willekeurige partij in ieder willekeurig land een notice and takedown kan doen of dat de crimineel zelf zijn sporen opruimt. De data op een server wordt steeds vaker versleuteld opgeslagen waardoor een kopie van een server geen tot weinig waarde heeft. Wel zijn gegevens over welke informatie de dader heeft gestolen en wat mogelijk is gebruikt/misbruikt is, alleen beschikbaar op systemen van de aanvaller. Sporen die wijzen naar de dader zijn vaak alleen te achterhalen door in zijn eigen infrastructuur in te breken.
Minister Opstelten erkent dat er behoefte is aan nieuwe regels voor grensoverschrijdende bestrijding en voorkoming van cybercrime. Hij constateert ook dat wetgeving en internationale afspraken zijn achtergebleven. Het is daarom goed te merken dat het vorige Kabinet de samenwerking wil versterken met landen die voorop lopen met cybersecurity. Zoals een aantal Europese landen, de Verenigde Staten, Australië en in Azië bijvoorbeeld Singapore. Maar concrete oplossingen zijn nog niet in zicht. Dat is misschien ook niet zo vreemd als je je bedenkt hoe gevoelig het uitgangspunt van nationale soevereiniteit in sommige landen ligt. Want hoe halen we het in ons hoofd om te gaan grasduinen in computers die in andere landen staan? Volgens mij heeft de angst hiervoor alles te maken met hoe je tegen het internet en zijn grenzen aankijkt. Als een server in de Oekraïne staat, zich alleen op Nederlandse slachtoffers richt, alleen impact in Nederland heeft en vanuit Nederland te bereiken is, dan heeft de Nederlandse justitie er meer zeggenschap over dan het land dat toevallig de stroom voor de server levert. Het is wel een vraag die je per incident goed moet stellen. Betreft het bijvoorbeeld een gehackte server van een keurig Oekraïens bedrijf, dan moet je er een stuk voorzichtiger mee omgaan. In dat geval heb je ook best een goede kans dat het bedrijf na het belletje de server onmiddellijk uitschakelt.
Moeten we andersom tolereren dat buitenlandse politiediensten op computers in Nederland rondkijken? Dat zou dan een logisch gevolg zijn. Als het bijvoorbeeld gaat om een gehuurde virtual private server van zo’n twintig euro per maand, gehuurd door een Oost-Europese criminele organisatie, dan is het verstandig dat het andere land de opsporing zelfstandig afhandelt. Het is natuurlijk wel zo prettig als er op zijn minst een notificatie naar de autoriteiten gaat, dat er een online ‘huiszoeking’ heeft plaatsgevonden.
Rechtshulpverzoeken
Het gaat om bevoegdheden die niet alleen voor Nederland gelden, maar ook de ruimte bieden om ‘niet-identificeerbare’ computers in het buitenland binnen te treden. Nederland is het eerste land dat dit zo expliciet en vergaand in de wet wil regelen. Waarom is het mogen terughacken van belang? Omdat veel digitale delicten alleen digitale sporen achterlaten. Je moet dus ‘door het internet heen kunnen kijken’ om uiteindelijk tot echte identiteit te achterhalen en een verdachte te kunnen aanhouden. Als het een Nederlands spoor betreft, komen we een heel eind. Maar zodra het bijvoorbeeld gaat om een rij aaneengeschakelde proxyservers die uiteindelijk uitkomt in de Oekraïne, ben je op dit moment zeker een aantal weken bezig met rechtshulpverzoeken.
Geen paardenmiddel
In geval van een aanval op de nationale veiligheid, bijvoorbeeld op de vitale infrastructuur in Nederland, ben ik van mening dat het soms nodig is om zonder toestemming van buitenlandse autoriteiten ‘terug te hacken’. Ik realiseer me dat dit een bijzondere bevoegdheid is. Zowel het schenden van privacy als het schenden van de soevereiniteit van andere landen zijn zorgpunten. Ik hoop daarom ook dat daarmee goed rekening wordt gehouden bij het definitief vaststellen van de wet. Het moet in mijn ogen niet zo zijn dat de politie dit paardenmiddel mag inzetten voor elk onderzoek waar het wel ‘handig’ lijkt. Het mag pas ingezet worden als afgewogen is dat minder ingrijpende middelen echt niet werken en een noodzaak voor snel ingrijpen bestaat. Het moet toch mogelijk zijn om in internationaal verband afspraken te maken over het bestrijden van cybercriminaliteit? Vergelijk het met het internationale zeerecht: als een Nederlands schip in internationale wateren wordt aangevallen, komt onze marine ook in actie. Dat zou op internationale internetterritoria ook moeten gelden.’
Ronald Prins,
Directeur Fox-IT
Ik vind dat het ‘Terughacken’ van C&C’s e.d.
Te ver gaat, Bescherm eerst jezelf voorat je Reactief gaat aanvallen, Nederland is een Te makkelijk doelwit.
Als je als Nederlandse overheid je het recht toeeigend om computers in andere landen te hacken, dan maak je inbreuk op de soevereiniteit van dat land. Je kunt immers ook geen huiszoeking doen in het buitenland, dat moet de politie overlaten aan “de locale collega’s”. En terecht. Er zijn internationale structuren opgetuigd als Europol en Interpol, die hebben bewezen effectief internationale computercriminaliteit te kunnen bestrijden. Ik heb zelf van nabij waargenomen hoe die organisaties online misbruik van kinderen zeer effectief hebben bestreden, en naar ik aanneem nog bestrijden. Uiteraard, er zijn beperkingen en tekortkomingen. Het zou goed zijn als de procedures van Europol en Interpol wat meer gestroomlijnd worden, zodat het geen weken of maanden duurt om een log van den chatsessie op te vragen. Maar dat kan. Net als dat je in ons eigen land de procedures kunt verbeteren, zodat het geen dagen of zelfs weken duurt om informatie uit een andere politie-regio te krijgen.
Waarom dan om die georganiseerde structuren heen gaan, en op eigen houtje als Nederland computers in China gaan hacken? Of in de VS? Oh, de VS is geen target. Wie bepaalt dat dan? Wie bepaalt dat een hacker uit de Oekraine wel teruggehackt wordt, en een hacker in de VS via Interpol gepakt wordt? Wat voor vriendschapsverdragen moeten we hebben met de VS die we niet hebben met de Oekraine, dat we in het ene land wel terughacken en in het andere niet?
Wat minister Opstelten, of zijn opvolger, moet doen, is in Europa en internationaal aankaarten dat het bestrijden van computercriminaliteit per definitie grensoverschrijdend is, en dat we daar dus grensoverschrijdende instanties voor moeten gebruiken, en waar die er niet zijn, moeten optuigen.
En wat als er landen zijn die niet meedoen aan die internationale structuren? Dan doe je net als de VN doet, dan bepaal je als VN, of als Interpol, of als welke internationale organisatie dan ook, een standpunt. Dan gaat niet een enkel klein land op eigen houtje computers in Wit Rusland hacken.
Dit wetsvoorstel legt de basis voor toekomstig machtsmisbruik en creëert bovendien een gevaarlijk internationaal precedent.