De minister van Veiligheid en Justitie stelde in mei 2013 voor politie en justitie de bevoegdheid te geven om computers binnen te dringen van verdachten van cybercriminaliteit. En omdat cybercriminaliteit vaak een internationaal karakter heeft, zou ook het inbreken in computers in het buitenland toegestaan moeten worden. Donderdag kreeg Opstelten de publieksprijs bij de Big Brother Awards, onder meer vanwege dit voorstel.
Michel van Eeten, hoogleraar internetveiligheid aan de Technische Universiteit in Delft, heeft “gemengde gevoelens over het wetsvoorstel”.
“De logica is voor de hand liggend. Het is tijdrovend om de procedures van rechtshulpverzoeken te doorlopen, dat beperkt de slagkracht van politie en justitie” erkent Van Eeten in een telefonisch interview, gehouden kort na bekendmaking van het wetsvoorstel. Voordat de politie mag 'terughacken', zoals het ministerie het noemt, gaat er een rechterlijke toetsing aan vooraf. “Die rechterlijke toetsing vooraf kan inderdaad vrij snel. Die lijnen met het OM zijn vrij kort.”
Onschuldige derden
Van Eeten: “Maar de computers die in de praktijk zullen worden bekeken en overgenomen, zijn van mensen die niets met (bijvoorbeeld) de cyberaanval te maken hebben. Om in gehackte computers van onschuldige derden te neuzen en daar wijzigingen te doen, dat vind ik nogal wat.”
Cyberaanvallen zoals onlangs op verschillende banken kunnen worden uitgevoerd met zogeheten botnets – een verzameling computers waar software op staat zonder dat de eigenaar dat weet. Die computers kunnen dankzij die software worden bestuurd door een cybercrimineel om spam te versturen of een cyberaanval uit te voeren. Vaak gebeurt dat met computers of servers die in het buitenland staan.
Maar volgens Van Eeten zijn die gehackte computers minder onbereikbaar dan we denken. “Volgens de minister is het hacken van computers in het buitenland vooral bedoeld voor landen waar we geen normale rechtshulprelatie mee hebben. Maar de bulk van de infrastructuur ligt in Europa en de VS”, zegt Van Eeten. “Je zou het denken dat cybercriminelen alleen computers in China of Rusland gebruiken, maar in de praktijk blijken er toch ook veel servers in het westen te worden gebruikt.” Ook de ddos-aanvallen van vorige maand, op DigiD en banken als ING en Rabobank, kwamen “vooral uit het Westen. Die kwamen niet uit Oekraïne. Anders was het heel makkelijk te blokkeren geweest: al het verkeer uit Oekraïne afsluiten. Daar zouden vrij weinig mensen last van hebben gehad.”
Daarbij: “Met Rusland hebben we trouwens een rechtshulprelatie en daar werken we al mee samen. De Russen zullen not amused zijn als de Nederlandse politie via deze wet de soevereiniteit van Rusland gaat schenden.”
China
Van Eeten vreest dat als het voorstel in de wet zal worden vastgelegd, andere landen de regels als precedent kunnen zien. Want als de Nederlandse politie mag inbreken 'uit nationaal belang', dan mogen andere landen dat ook. En ieder land bepaalt zijn eigen nationaal belang. “Hiermee legitimeer je dat elke staat de nationale veiligheid als alibi kan gebruiken om computervredebreuk te plegen”, aldus Van Eeten. “Dit is de laatste keer dat Nederland het recht heeft om China de les te lezen over computervredebreuk, want China pleegt die ook uit nationale veiligheid. Het is niet gratis om je morele positie op te geven.”
Een andere bedenking die Van Eeten heeft, betreft het verbod op digitale heling, dat onderdeel is van het voorstel. “Een verbod op digitale heling is absoluut zinnig, maar de formulering in het wetsvoorstel is dermate ruim dat het mogelijk ook strafbaar wordt om informatie van bijvoorbeeld WikiLeaks te bezitten. Je moet wetten scherp afbakenen omdat je er rekening mee moet houden dat de wet gebruikt gaat worden op een manier die we nu nog niet kunnen bedenken.”
Waarborgen en controle
Daarbij vindt de hoogleraar dat de Nederlandse politie “een desastreuze trackrecord” heeft op het gebied van digitale opsporing. Hij noemt de CIOT-database, die in 2011 ruim twee miljoen keer werden geraadpleegd. CIOT staat voor Centraal Informatiepunt Onderzoek Telecommunicatie en bevat adres- en internetgegevens. “Het is onwaarschijnlijk dat er twee miljoen gegronde redenen voor waren”, aldus Van Eeten. Daar moeten dus ook mensen tussen zitten die bijvoorbeeld informatie over hun ex of andere bekenden hebben opgezocht.
Volgens Van Eeten komt het voorstel overigens wel “uit een oprecht verlangen om cybercriminaliteit aan te pakken”. Van Eeten: “Ik ben niet principieel tegen het binnen dringen van andere computers door opsporingsbevoegdheden, maar er moeten wel procedures zijn die voldoende waarborgen bevatten en controle achteraf mogelijk maken. Dat kunnen we niet alleen aan rechters overlaten.”
Dit artikel is in mei 2013 geschreven en gepubliceerd bij DNP, maar is eind augustus nog altijd actueel.
