Volgende week, op 6 december, gaat de vaste Kamercommissie voor Veiligheid en Justitie weer vergaderen over de voortgang van onze nationale Cyber Security strategie. Op de agenda staan 8 onderwerpen die in 3 uur behandeld moeten worden. Dat is weinig tijd voor stuk voor stuk belangrijke onderwerpen. Om de discussies efficiënt te laten lopen, leek het me handig om nu alvast wat onderwerpen te behandelen. De stukken van V en J over dit dossier vind je trouwens het snelst bij ikregeer.nl.
Meldplicht
Laat ik beginnen met de voorgestelde Meldplicht (security breach notification) en interventiemogelijkheden. Dat balletje is gaan rollen na een motie van Jeanine Hennis n.a.v. het Diginotar incident. Het idee is dat eigenaren/beheerders die voor de samenleving vitale systemen beheren een security incident niet onder de pet houden in de hoop dat het allemaal wel goed komt. Lijkt mij een prima idee. Ik maak altijd graag voor deze vitale systemen de vergelijking met de brandweer. We zouden ook niet willen dat bij een incident in een chemische fabriek de brandweer pas gebeld wordt op het moment dat deze overgeslagen is naar de fabriek er naast. Dus melden lijkt me logisch. En dan? In eerste instantie heeft de getroffen organisatie zelf een verantwoordelijkheid en zal het eigen interne emergency response team moeten optreden. Maar mocht het incident een maatje te groot worden, dan bellen we de alarmcentrale voor digitale branden en dan rukken ze uit?
Tja, dan moeten we wel een digitale brandweer hebben natuurlijk. Hennis ziet daarin terecht een rol voor het Nationaal Cyber Security Centrum . Maar die zijn daar nog niet klaar voor. Ze zullen eerst veel meer mensen moeten aannemen, die 24 uur per dag in een bus kunnen stappen, vol met allemaal nerdy gear om ter plekke daadwerkelijk ondersteuning te bieden. En dat houdt ook in dat ze daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en te borgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. Heel recent heeft de kamer nog wel een ‘Nationaal Crisisplan ICT’ toegestuurd gekregen. Een prachtig plan, maar ook hierin vind ik nog steeds niet welke mensen nu daadwerkelijk achter een toetsenbord kruipen om die digitale brand te stoppen.
Zolang je zelf nog niet echt ‘uitruk-klaar’ bent of ooit wilt zijn, kan je het natuurlijk ook anders regelen. In het Verenigd Koninkrijk hebben ze bijvoorbeeld vier bedrijven geaccrediteerd die in de praktijk deze functie nu al invullen. Voor een overheid tijdens een financiële crisis een perfecte oplossing. Je organiseert namelijk wel de brandweer, maar de rekening wordt bij de getroffen organisatie neergelegd.
Over de meldplicht heb ik nog wel drie vragen:
1) De meldplicht strekt zich uit over zes vitale sectoren. Eén daarvan is de telecomsector. Er wordt dan verwezen naar een meldplicht op grond van de Telecomwet. Het is mij nog niet duidelijk of de overgebleven PKI-overheid bedrijven, zoals DigiNotar was, onder de telecomwet valt. Het zou toch van de zotte zijn, als we naar aanleiding van DigiNotar een meldplicht invoeren waarbij de andere DigiNotars niet onder de meldplicht vallen?
2) Daarmee samenhangend: is het limitatief opnoemen van sectoren wel de goede methode? ICT hangt van ketens aan elkaar. Valt bijvoorbeeld de out-source partner van een energiebedrijf nu ook onder de wettelijke meldplicht? Is het niet verstandiger om de scope van de meldplichtige bedrijven abstracter aan te geven. Bijvoorbeeld, “alle organisaties waarbij door een security breach ernstige maatschappelijke ontwrichting kan plaatsvinden”.
3) En als laatste. Valt onder maatschappelijke ontwrichting bijvoorbeeld ook het stelen van grote hoeveelheden patiëntendossiers, databases met DNA samples, of andere privacygevoelige gegevens?
Soms doet een advies pijn
Een ander punt op de agenda gaat over een wat principiëlere vraag. Waarom durft de overheid in Nederland niet hardop te zeggen tijdelijk even niet van Internet Explorer gebruik te maken, terwijl bekend is dat er op dat moment actief door hackers misbruik van gemaakt wordt. Er zijn landen die dat wel doen zoals bijvoorbeeld Duitsland of talloze experts. De Duitsers adviseerden tijdelijk FireFox of Chrome te installeren. Een handeling die vele malen eenvoudiger is uit te voeren dan het technische advies dat Nederland, maar ook de Verenigde Staten geeft.
De keuze om te adviseren (tijdelijk) niet van een bepaalde leverancier gebruik te maken ligt gevoelig. Dat begrijp ik omdat je in tijden van crisis diezelfde leverancier soms ook keihard nodig hebt. Sharon Gesthuizen heeft als antwoord op haar vragen hierover van Minister Opstelten het merkwaardige antwoord gekregen dat het overstappen naar een andere browser niet een gegarandeerd veilig alternatief is. Op zich klopt dat, maar van Internet Explorer was bekend dat op dat moment de kwetsbaarheid ook daadwerkelijk misbruikt gemaakt werd. Gelukkig was er een patch binnen een paar dagen beschikbaar en viel de schade mee.
Dorifel/Citadel
Natuurlijk komt ook het Dorifel virus tijdens het overleg aan de orde. Dorifel is het virus dat door ‘een foutje’ van de dader opeens ontdekt werd, omdat netwerken van onder andere gemeentes uitvielen. De NOS liet beelden zien van ambtenaren die weer achter een ouderwetse typemachine zaten te werken. De Minister was nog met vakantie, maar staatssecretaris Teeven liet ons weten dat er niets aan de hand is, omdat de Dorifel uitbraak onder controle was. Dat was dan misschien zo, maar het heeft heel erg duidelijk gemaakt dat virussen maandenlang ongezien in netwerken wachtwoorden kunnen stelen, en dat niemand dat doorheeft. Volgens mij is de wijze les die we hieruit kunnen trekken, dat we actiever op netwerken moeten kijken of er ‘kwaardaardig’ verkeer overheen gaat.
Uit de beantwoording op de grote verzameling kamervragen rondom Dorifel haalde ik de volgende zin: ‘Een belangrijke stap hiertoe is blijven investeren in mogelijkheden
om digitale aanvallen te detecteren die gericht zijn op de Rijksoverheid’. Ik ben erg benieuwd op welke manier het NCSC daar nu handen en voeten aan gaat geven. Ik hoop dat dit initiatief niet alleen over de rijksoverheid gaat maar ook over vitale organisaties. Misschien wel bij dezelfde organisaties die ook onder de meldplicht vallen? Maar hoe wordt het verder ingericht? Gaat het NCSC zelf de sensoren ophangen bij instanties? Een aantal organisaties zoals KPN en de gemeenten zijn zelf al bezig een SOC (Security Operations Center) in te richten. Daarnaast zijn er gespecialiseerde bedrijven die monitoring en detectie uitvoeren voor vitale instanties zoals Kahuna en Fox-IT (check dit coole filmpje). Het lijkt me waardevol als het NCSC kan verbinden met die Security Operations Centers. Op die manier kan een actueel dreigingsbeeld van Nederland worden opgebouwd. Het zou erg helpen als er een nationale monitoring protocol zou zijn, waardoor elke organisatie zijn SOC kan aansluiten op het nationale SOC. Het is waarschijnlijk het meest effectieve antwoord op de volgens het Cybersecuritybeeld Nederland grootste dreiging voor ons land: gerichte spionage. In het Verenigd Koninkrijk hebben ze deze stap al genomen.
Wetgeving bestrijding cybercrime
Het volgende punt op de agenda is het voorstel van Minister Opstelten over het digitaal binnendringen in computers door de politie in het kader van een opsporingsonderzoek. Daar is ondertussen al veel over geschreven. Het is geen geheim dat ik al langer (in 2010, en recent) pleit voor deze bevoegdheid. Het gaat mij dan vooral om de context waarbij een acute ‘verstoring’ in Nederland dreigt en waarbij de gehackte computers onderdeel zijn van de technische infrastructuur van de criminelen. Wat mij betreft vallen daar dus geen privé pc’s van verdachten thuis onder en al helemaal niet om de pc’s van mensen die verdacht zijn van andere delicten zoals moord of drugshandel.
Na de brief van Minister waarin hij zijn voornemen bekend maakt, zijn er veel reacties gepubliceerd die fel tegen de plannen van de Minister zijn. Ik denk dat het heel goed is dat er een debat plaatsvindt over een gevoelig voorstel als dit. Bits of Freedom komt met als belangrijkste tegenargument dat Nederland onveiliger wordt omdat de politie er een belang bij heeft dat ze in computers kunnen inbreken. Dat lijkt me nogal vergezocht. Het argument zou alleen steek houden als op dit moment al de overheid actief op zoek is naar kwetsbaardheden en die met het publiek deelt om ons juist te beveiligen. Het is juist eerder andersom. Het valt mij op dat de landen die nu offensieve activiteiten ontplooien op het internet (Cyberwar) veel beter door hebben hoe kwetsbaar ze zijn, en daardoor veel actiever hun best doen om hun eigen belangen zo veilig mogelijk te maken.
Professor Bart Jacobs heeft een goed artikel geschreven in het Nederlands Juristen Blad. Hij concludeert uiteindelijk dat het een nuttig en verdedigbaar middel kan zijn om een acute cyberdreiging te verstoren. Daarmee zit we behoorlijk op een lijn, alhoewel ik wel hoop dat er af en toe ook een crimineel mee opgespoord wordt.
Het ziet er naar uit dat er een meerderheid zal zijn in de kamer voor een of andere vorm van digitaal binnendringen door de politie. De wet komt er wel, maar de grote vraag is hoe deze er uit gaat zien. Het is volgens mij relevant daarbij de volgende aspecten te bespreken.
1) De scope
Bij welke delicten wordt het middel ingezet? Ik zou dat beperkt willen zien tot alleen die delicten waarbij het ‘cyberelement’ een grote rol speelt. Dus bijvoorbeeld bij een DDoS aanval op ons betalingsverkeer of bij grootschalige verspreiding van kwaadaardige virussen waardoor continuïteit van instanties in gevaar komt. Maar behalve voor acute crisissituaties hoop ik toch ook dat de nieuwe bevoegdheden af en toe kunnen worden ingezet bij het opsporen van criminelen die zeer succesvol zijn in het stelen van geld van onze bankrekeningen. Dat is hard nodig omdat het een criminaliteitsvorm is waarvan het schade bedrag zeer snel stijgt, en het zelden lukt om daders aan te houden. Pas bij enig gevoel van pakkans zal die criminaliteit gaan afnemen.
Het beperken van de bevoegdheden tot de meer ernstige cybercrime delicten zal een uitdaging vormen voor juristen, aangezien de meeste bevoegdheden volgens mij gekoppeld worden aan een maximale gevangenisstraf.
Ik kan me een aantal uitzonderlijke gevallen voorstellen waarbij het ook gerechtvaardigd is om de computer van een verdachte te hacken die buiten deze scope vallen. De promovendus Jan Jaap Oerlemans heeft daar vorig jaar al een artikel aan gewijd. Dat is bijvoorbeeld bij het vermoeden dat de computer van de verdachte versleuteld is en dat die computer essentieel is bij het oplossen van een misdrijf. Maar dan hoeft de politie-spyware natuurlijk niet zo ver te gaan dat alles op de computer op afstand kan worden bekeken. Het zou dan alleen de wachtwoorden moeten verzamelen. Pas na een huiszoeking worden die onderschepte wachtwoorden gebruikt om de harde schijf te kunnen analyseren. Dit laatste lijkt me een veel betere oplossing dan de eveneens door de Minister voorgestelde ontsleutelplicht. Het dwingen van verdachten tot het afgeven van een sleutel is een heel slecht plan. Daar heb ik al eerder een blog aan gewijd. Het vastlopen bij kinderporno onderzoeken is belangrijkste argument voor de Minister om met de ontsleutelplicht te komen. Het nieuwe onderzoek van Koops over de ontsleutelplicht richt zich vooral op de juridische haalbaarheid van een ontsleutelbevel ten opzichte van het Nemo-tenetur beginsel. Koops komt tot de (juridische) conclusie dat dit inderdaad zou kunnen. Daarmee zegt hij niet dat per se het meest effectieve of een noodzakelijk middel is.
Ik hoop niet dat de politieke conclusie wordt dat we dit daarom automatisch maar moeten invoeren. Volgens mij is het zinvol om het totaal palet van bevoegdheden nog eens tegen het licht te houden, en dan pas te concluderen hoe hard we deze bevoegdheid nou eigenlijk echt nodig hebben.
Er ligt al een voorstel voor een bevoegdheid digitaal binnendringen. Dat biedt natuurlijk ook mogelijkheden om aan wachtwoorden te komen nog voordat een inval plaats vindt. Mocht dat niet via het internet lukken, bestaat nu al de mogelijkheid om op basis van 126l sv een keyboard sniffer te plaatsen om wachtwoorden te achterhalen.
De politie is pas recent goed begonnen met een landelijk onderzoeksteam op het gebied van kinderporno. Het uiteindelijke doel daarbij is zowel producenten als slachtoffers op te sporen. Ik ben heel blij om te zien dat eindelijk geinfiltreerd gaat worden in de kinderporno netwerken.
Misschien doen we er beter aan over een jaar nog een keer te kijken of het ontsleutelbevel nou echt nodig is. Ik durf er op te wedden dat het nieuwe team met de hackwet, infiltratie en direct afluisteren al een heel eind komt.
Een tweede uitzonderingssituatie doet zich voor als de verdachte gebruik maakt van anonimiseringstechnieken die het Internet biedt, zoals TOR-services. Via deze techniek kan je bijvoorbeeld een criminele marktplaats voor wapens on-line brengen zonder dat je het echte on-line ip-adres, waar het op draait, hoeft prijs te geven. Effectief betekent het dat de politie geen enkel spoor in de fysieke wereld heeft om de mensen achter de marktplaats te vinden. Het enige wat ze overblijft, is door in te breken in de marktplaats een echt ip-adres of andere sporen te vinden waar ze via traditionele middelen weer verder mee kunnen.
2) internationale aspecten -politie on-line gaat altijd over het ‘buitenland’
In bijna alle digitale onderzoeken zien we sporen van criminelen die zich in een snel tempo door cyberspace en daarmee door verschillende landen verplaatsen. Bij de gangbare projectie van ip-adressen uit cyberspace op landen ontkomt de Nederlandse politie er niet aan om in elk onderzoek ondersteuning te vragen aan andere landen. Het mag helder zijn dat dat zeer vertragend werkt, en dat medewerking erg afhankelijk is van bereidwilligheid en expertise van het andere land. Wat daarbij vaak nog een rol speelt, is dat we ondersteuning moeten vragen van landen waarbij zowel slachtoffer als dader helemaal geen betrokkenheid hebben met het bevraagde land. Althans, niet anders dan dat ze daar een (virtuele) computer huren voor 15 dollar per maand.
Los van het wetsvoorstel digitaal binnendringen, is het in een bredere context noodzakelijk dat het helder wordt voor de opsporing wat we gaan hanteren als ‘buitenland’ als het opsporingshandelingen in cyberspace betreft. Dat geldt trouwens niet alleen voor het strafrecht, maar zal voor het optreden van ons aanstaande cyberleger net zo goed relevant worden. In de literatuur wordt nogal eens verwezen naar de verschillende ‘lagen’ of ‘building blocks’ van cyberspace. Bijvoorbeeld Lance Strate spreekt over ‘three building blocks’ of cyberspace. Hij maakt daarbij een verschil tussen de fysieke cyberspace, die bestaat uit de computers en kabels er om heen, en een conceptuele vorm van cyberspace. Die laatste is in mijn ogen veel relevanter voor de opsporing. Ook al zou een marktplaats.nl fysiek in China staan, dan nog moet de Nederlandse politie daar gewoon onderzoek op kunnen doen.
Wat precies die conceptuele laag in cyberspace is, kunnen we het nog heel lang over hebben. De fysieke laag van cyberspace lijkt in ieder geval met het ontstaan van clouds en het leveren van online criminele dienstverlening als een service steeds minder relevant te worden. Al is het maar omdat niemand met zekerheid kan zeggen in welk land een ip-adres staat.
Wanneer het kan, moet de politie natuurlijk wel zoveel mogelijk samenwerken met andere landen. In veel gevallen helpt lokale kennis in het onderzoek en kunnen zij gegevens vorderen over bijvoorbeeld betalingen voor criminele servers waar je op afstand niet bij kan. Maar, ook al kan de lokale overheid geen toegevoegde waarde leveren, is een notificatie van de opsporingshandeling aan dat land altijd op zijn plaats.
Nederland moet zelf het voortouw nemen bij grensoverschrijdend opsporen via internet. Afwachten op wereldwijde consensus lijkt mij geen haalbare weg. Andere landen zullen minder snel de noodzaak van nieuwe wetgeving zien, omdat ze zelf nog niet het gevoel van urgentie ervaren als wij hier in Nederland.
3) Waarborgen
Een digitale doorzoeking in mijn persoonlijke computer(s) vind ik een grotere inbreuk op mijn privacy dan een doorzoeking van mijn huis. Ik vertelde dat laatst bij een presentatie aan een groep (seniore) politiemensen en die snapten daar helemaal niets van. Voor hen voelt dat blijkbaar niet zo. Ze gebruiken hun computers op een andere manier dan ik. Een inkijkje in mijn computer vertelt veel meer over me dan je ooit in mijn huis kan vinden. Ik ben zo iemand die nooit mail weggooit, dus je kan vele jaren terugkijken. Ik doe alles via e-mail, skype, irc en log dat ook nog allemaal. Filmpjes die ik bekeken heb, hebben vast ook sporen achtergelaten. Kortom voldoende materiaal om het me bij een verhoor erg moeilijk te maken ook al heb je niets over het delict, waar ik van verdacht wordt, kunnen vinden.
Daarom vind ik het dus belangrijk dat er een rechter (-commissaris) in het proces zit die, voordat hij zijn handtekening onder een last zet, daadwerkelijk aanvoelt wat de impact is van zo’n digitale inbraak (proportionaliteit) en er echt geen ander minder ingrijpend middel is om aan bruikbare sporen voor een veroordeling te komen (subsidiariteit). Voor een telefoontap kan elke rechter dat wel afwegen. Hij belt immers vast zelf ook wel eens. Die lijn kan je niet doortrekken voor een RC voor wie het internet niet meer is dan een handige manier om jurisprudentie te zoeken. Ik pleit dan ook voor een rechtbank (met bijbehorende RC’s) die gespecialiseerd is in zaken waarbij de rol van cyberspace relevant is. Mijn hoop is ook dat die rechters wel snappen dat je een jongen van 17 jaar niet zijn Internet moet ontnemen zoals met de KPN hack verdachte gebeurd is. Uiteindelijk is zo’n gespecialiseerde rechtbank hopelijk niet meer nodig. Dat is wanneer alle rechters net zo vertrouwd zijn met het internet als de slachtoffers en daders in hun zaken.
Een aantal andere aspecten zijn ook belangrijk met dit soort gevoelige bevoegdheden. Notificatie achteraf lijkt mij vanzelfsprekend logisch en de hack zelf moet volledig worden opgeslagen door de computer(s) van de hackende diender te tappen. Mocht speciale software worden ingezet die draait op de PC van een verdachte, dan moet deze goedgekeurd worden door de Keuringsdienst van de KLPD. Net zoals gedaan wordt met de technische middelen die worden ingezet in het kader van andere bijzondere opsporingsbevoegdheden zoals ‘direct afluisteren’ en ‘stelselmatige observatie’. Deze speciale dienst kijkt trouwens alleen naar integriteits- en authenticiteitsaspecten. De confidentialiteit lijkt me in dit kader minstens zo belangrijk. Het moet immers niet zo zijn, dat door de actie van de politie anderen ook mee kunnen kijken in de computer van de verdachte.
Omdat het een gevoelig middel is, lijkt me verantwoording in de vorm van frequentie en effectiviteit van het middel geen overbodige luxe. Door dit soort informatie geheim te houden, creëer je als staat onnodig het gevoel van controlestaat te zijn. De Amerikaanse aftaprechtbank publiceert jaarlijks een rapport van meer dan 300 pagina’s over de taps waaronder ze een handtekening gezet hebben. Zo kan het dus ook!
Je zegt “waarom durft de overheid niet …”
Ik ben bang dat het antwoord simpel is. Ik denk dat de beslissers bij de overheid op het gebied van IT, security en crypto onkundig en onwetend zijn over deze onderwerpen. Als een projectleider bij de (semi-) overheid op TV kan zeggen “het is jammer dat het cryptografie algoritme is uitgelekt”, kun je niet hopen dat het met security en crypto goed komt bij de overheid. Je kunt nog zoveel goede experts in overheidsdienst hebben, als de beslissers onwetend zijn, dan kom je er niet. En dan heb ik het nog niet over politici.
Misschien vloeken in de kerk: kan in geval van zeer ernstige vergrijpen de bewijslast niet worden omgekeerd? Als dan sprake is van versleuteling en de verdachte weigert de sleutel af te geven, is schuld aangetoond. In dat geval zal de verdachte zijn onschuld aantonen (nl: geen subversieve content op het opslagmedium) door het overhandigen van de sleutel. Zal juridisch wel wat voeten in de aarde hebben – beetje wat wetten aanpassen- , maar maakt het wel een stuk minder gevoelig. En voor de overheid makkelijker: geen wachtwoord = schuldig, nu is het immers anders: Geen wachtwoord = onschuldig. Ik denk dat er in dit geval ook betere waarborgen tegen misbruik van dit principe in te bouwen zijn.
Tsjonge, ik lijk op dit punt wel reactionair – je bent schuldig tenzij je je kunt vrijpleiten, ook niet best maar in dit geval misschien wel te prefereren boven de #IvoPatriotAct
Mooi stuk. Ik ben het ook met Christine eens. Zo lang de beslissers niet snappen waar ze het over hebben of dat ze niet eens snappen dát ze het niet begrijpen, maakt het niet uit hoeveel specialisten je hebt die het wel weten.
Ook ik ben erg benieuwd wat de inzet van het NCSC gaat worden de komende tijd. Ik moet eerlijk bekennen dat ik namelijk niet snap wat het precieze idee is achter het centrum, de indruk die ik namelijk krijg van hun presentaties is dat hun insteek is om enkel landelijk en op hoog niveau advies te geven en als vraagbaak te dienen. Niet om zelf in de cyber-oorlog (excuus voor het woord) te stappen en er iets aan of mee te doen.
Interessante beschouwingen, waarvoor dank!
Ik wil even inhaken op één onderdeel. Er wordt een vergelijking met de brandweer gemaakt, team wat klaar staat om uit te rukken om de brand te bestrijden.
Echter, op het bedrijf zelf zijn ook allerlei maatregelen te nemen:
1- regelmatige controle op brandveiligheid van een gebouw
2- automatische brandmelders
3- brandwerende deuren tussen afdelingen
4- ontruimingsoefeningen
5- BHV training (EHBO, ontruiming)
6- transportleidingen voor bluswater
7- uitleg aan brandweer over verbindingen in het gebouw
Etc
Ik zie de brandweer niet zo gauw uitrukken naar een brand in gebouw wat ze niet kennen, waarvan ze niet weten wat er gebeurt of wat voor materialen er aanwezig zijn…
Bij de meeste branden van enige omvang wordt er met grof (water)geweld van buiten geblust en gaat er heel veel bedrijfskundige waarde verloren… Het wordt maatschappelijk acceptabel geacht als het bedrijfpand met inrichting verloren gaat, als er maar geen mensen omkomen en naastliggende bedrijven maar niet getroffen worden…
Ik wil maar zeggen: een brandweerteam van buiten is alleen effectief als er een goede aansluiting is op interne brandpreventie, anders blijft het effect mogelijk zeer mager. En ik vraag me af wat het ambitie niveau is voor de (digitale) reddingsoperatie, bijvoorbeeld of het maatschappelijk geaccepteerd wordt als het reddingsteam niet meer doet dan het bedrijf effectief afsluiten van internet (wat mogelijk al een hele prestatie zou zijn).