De afgelopen weken hebben cyberaanvallers de websites van banken, KLM en ook DigiD enige tijd onbereikbaar weten te krijgen. De aanvallers doen dat door heel veel dataverkeer naar een site te sturen, waardoor deze overbelast raakt – een 'ddos-aanval'. Als zo een aanval wordt uitgevoerd vanaf computers of servers die in Nederland staan, dan is er voor de politie of justitie niet zo een groot probleem. Die kan dan meestal de provider dwingen die computers of servers van het internet af te sluiten. Maar als de aanval vanuit het buitenland wordt gepleegd, is de politie afhankelijk van de medewerking van collega's in dat land.
En daar zit nu het probleem. Van de Belgische of Duitse politie kun je nog wel medewerking verwachten, en in theorie ook van alle andere EU-landen. Maar een server die in Rusland staat? Of China? Of Moldavië? Dat is een stuk lastiger. Dit dilemma geldt overigens niet alleen voor cyberaanvallen, maar voor alle vormen van cybercriminaliteit.
Buitenlandse servers
Troels Oerting, hoofd van het European Cybercrime Centre, legde dat onlangs al uit in een gesprek dat ik met hem had op het hoofdkantoor van Europol. “Met cybercrime kan de politie soms niets doen omdat een van afstand bestuurde server in het buitenland zit”, zei Oerting in het interview, dat in april in NRC Handelsblad verscheen.
Daarom is al enige tijd geleden voorgesteld dat politie en justitie de bevoegdheid zou moeten hebben om dergelijke servers zelf uit te schakelen. Die behoefte dateert al van voor de recente cyberaanvallen op banken. Afgelopen oktober schreef minister Opstelten in een brief aan de Tweede Kamer dat “de tijd die met een rechtshulpverzoek verstrijkt werkt in het geval van cybercrime vaak in het nadeel van de opsporing en beperkt de effectiviteit van rechtshulp.”
Wetsvoorstel
Deze week komt minister Ivo Opstelten (Veiligheid en Justitie) met een wetsvoorstel, waar hij in de brief al naar verwees. Opstelten "wil politie en justitie op afstand onderzoek laten doen in computers van criminelen en – indien nodig – gegevens overnemen of ontoegankelijk maken." Opstelten reageert met het voorstel op een behoefte van politie in justitie, die hij al benoemde in de brief die hij in oktober naar de Kamer stuurde: “Politie en OM geven aan dat er allerlei vormen van criminaliteit zijn die zich aan het zicht van politie en OM onttrekken omdat zij niet de bevoegdheid hebben om een computer te mogen binnendringen.”
Vorig jaar maakte de politie die behoefte ook al kenbaar bij de uitreiking van de Big Brother Awards. De politie kreeg de poedelprijs in de categorie overheidsdiensten voor het gebruiken van spyware om de inhoud van computers van verdachten te bekijken. Die toekenning van de prijs geeft al aan hoe dun het snijvlak tussen privacy en misdaadbestrijding kan zijn.
De politie wil ruimere bevoegdheden om cybercriminaliteit aan te pakken, zei Wilbert Paulissen van de Nationale Recherche bij de uitreiking in Pakhuis de Zwijger. “Onze wetgeving die wij gebruiken, op basis waarvan wij de dingen doen die wij doen – die past niet meer in deze tijd”, zei Paulissen. “We vinden dat er meer specifieke juridische kaders moeten komen voor online opsporing.”
Discussie
Ook de baas van het Europees Cybercrime Centrum pleitte in ons gesprek voor een discussie over ruimere bevoegdheden voor politie en opsporingsdiensten. Oerting: “We moeten overwegen om de ordehandhaving de bevoegdheid te geven ook buitenlandse servers die misdaad mogelijk maken, uit te schakelen. Soms kun je het land waar een botnet zich bevindt niet overhalen om daar wat aan te doen. Is het dan acceptabel dat de Nederlandse politie die uit de lucht haalt?” Opstelten laat via dit voorstel weten dat hij vindt van wel.
Het is – met een beetje overdrijving – te vergelijken met de strategie die de Verenigde Staten gebruikt om mogelijke terreurverdachten in landen als Pakistan 'aan te pakken': als de Pakistaanse politie ze niet arresteert, dan schieten we ze wel dood met een drone. En net als met drones zijn er ethische bezwaren als de politie in computers en servers mag inbreken.
Zorgvuldigheid
De 'terughack'-actie moet namelijk wel zorgvuldig gebeuren. Die cyberaanvaller is misschien niet de enige gebruiker van die server waarmee hij ddos-aanvallen uitvoert. Daarvan zijn misschien ook duizenden inwoners van dat land afhankelijk, om contact te hebben met familieleden of om handel te drijven.
Bits of Freedom, die die Big Brother Awards vorig jaar had georganisererd en zegt op te komen voor de digitale burgerrechten, vindt het plan van Opstelten “overhaast”. De organisatie vreest dat “onschuldige burgers” de dupe worden en vindt dat de politie eerst de servers die in Nederland staan maar eens moet aanpakken.
Het ministerie heeft het wetsvoorstel "voor advies naar verschillende instanties (…) gestuurd, zoals het openbaar ministerie en de Raad voor de rechtspraak." Daarna zal het nog aan de Tweede en Eerste Kamer moeten worden voorgelegd.
Update: In een telefonische reactie licht woordvoerder Tim Toornvliet het standpunt van Bits of Freedom toe. "Met de huidige bevoegdheden kan ook al veel", zegt Toornvliet. Hij laat weten dat de organisatie vindt dat Opstelten beter kan investeren in "kennis en capaciteit". Als alternatief noemt hij "internationale samenwerking via rechtshulpverzoeken", hoewel Toornvliet erkent dat sommige landen niet altijd even goed meewerken. Maar om minder democratische landen niet het idee te geven dat grensoverschrijdend hacken een wettig middel is, vindt Bits of Freedom dat Nederland met het wetsvoorstel het slechte voorbeeld zou geven. "Het is lastig, maar 'we moeten iets' is een gevaarlijke gedachte", aldus Toornvliet.
Meer van Peter Teffer? Neem nu een abonnement!