Minister Opstelten wil heimelijk binnendringen in computers

  • Deel dit artikel:

business_trendsOm de opsporing en vervolging van computercriminaliteit te versterken wil minister van Veiligheid en Justitie Opstelten een aantal drastische maatregelen nemen. Die maatregelen moeten beter aansluiten bij de snelle ontwikkeling op het terrein van technologie, internet en computercriminaliteit. In het kader van het zogeheten ‘onderzoek in een geautomatiseerd werk’ zouden opsporingsambtenaren zich onder strikte voorwaarden zelf als hackers mogen gedragen. Dit blijkt uit een wetsvoorstel dat de minister voor advies naar verschillende instanties heeft gestuurd, zoals het openbaar ministerie en de Raad voor de rechtspraak.

De bestaande wetgeving op het gebied van het bestrijden van computercriminaliteit is volgens de minister verouderd en biedt onvoldoende mogelijkheden om bijvoorbeeld versleuteling van gegevens ongedaan te maken, illegale acties op het internet aan te pakken of kinderpornografie online te bestrijden.

Als het om cyber crime gaat, loopt de wetgever altijd achter op de techniek. Een voorbeeld. De huidige wet biedt de mogelijkheid om door middel van een technisch hulpmiddel, zoals een bug (een kleine microfoon die opgenomen signalen draadloos verzendt) of een richtmicrofoon, heimelijk vertrouwelijke communicatie op te nemen. Hiertoe kan een kantoor worden betreden, zodat het technisch hulpmiddel, op het toetsenbord en de muis van een computer kan worden geplaatst. Daardoor kunnen alle toetsaanslagen en muisklikken van de computer voortaan worden geregistreerd. De wet voorziet echter niet in de mogelijkheid om een bug op afstand te plaatsen door middel van software die van buitenaf, dus online, op de computer wordt geplaatst.

Als het aan minister Opstelten ligt, wordt alles uit de kast gehaald om cybercriminelen het leven zuur te maken. Het binnendringen in computers gebeurt met een bug of keylogger met behulp waarvan gegevens kunnen worden vastgelegd. Maar ook het achterhalen van gebruikersnaam en wachtwoord van de cybercriminelen door middel van het tappen van communicatie of door social engineering wordt hierbij niet geschuwd.

Geautomatiseerd werk

De bewindsman wil politie en justitie op afstand onderzoek laten doen in computers van criminelen en - indien nodig - gegevens overnemen of ontoegankelijk maken. Het betreft het zogeheten ‘onderzoek in een geautomatiseerd werk’ dat opsporingsambtenaren ruimte geeft onder strikte voorwaarden verschillende onderzoekshandelingen toe te passen bij opsporing van ernstige delicten. Daarbij gaat het niet alleen om het ontoegankelijk maken of het overnemen van gegevens, zoals kinderpornografie of opgeslagen e-mailberichten met informatie over misdrijven, maar ook om het aftappen van communicatie of observatie. Er gelden strikte waarborgen voor de toepassing van de nieuwe bevoegdheid, zoals een voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de logging van gegevens.

Heimelijk binnendringen

Het wetsvoorstel, dat gepaard gaat met een memorie van toelichting van 89 pagina's, introduceert een nieuwe bevoegdheid voor opsporingsambtenaren om, onder strikte voorwaarden, een geautomatiseerd werk dat in gebruik is bij een verdachte, op afstand heimelijk binnen te dringen met het oog op bepaalde doelen op het gebied van de opsporing van ernstige strafbare feiten. Dit betreft:

  • de vaststelling van de aanwezigheid van gegevens
  • het bepalen van de identiteit of locatie van het geautomatiseerde werk of de gebruiker
  • het overnemen van gegevens
  • de ontoegankelijkmaking van gegevens
  • het opnemen van communicatie of van vertrouwelijke communicatie
  • de stelselmatige observatie.

Buitenland

Via een verbinding, zoals een intern netwerk, het internet of een Wi-Fi-verbinding, kan op afstand toegang worden verkregen tot een geautomatiseerd werk. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) beschikken reeds over een dergelijke bevoegdheid voor de uitvoering van hun wettelijke taak. Deze bevoegdheid kan onder omstandigheden ook worden toegepast ten aanzien van een geautomatiseerd werk dat zich niet op het Nederlandse grondgebied bevindt maar waarbij de gevolgen van het strafbare feit zich in Nederland voordoen. Daarbij worden de regels van het internationale volkenrecht gerespecteerd.

Simone Halink, Bits of Freedom:

'Het controversiële wetsvoorstel maakt niet alleen het inbreken op mobiele telefoons en computers mogelijk, maar ook het bespieden van gebruikers en het vernietigen van gegevens. De bevoegdheid zou zich ook uitstrekken tot apparatuur in het buitenland. Daarnaast wordt het in bepaalde gevallen strafbaar om je wachtwoord geheim te houden voor de politie en wordt de heling in gegevens strafbaar. Het is belangrijk dat de overheid cybercrime wil bestrijden, maar dit voorstel komt overhaast: het is onnodig en creëert nieuwe veiligheidsrisico’s voor burgers.'

Botnets

In een eerdere brief aan de Tweede Kamer meldt de minister dat de ontwikkelingen op het gebied van de cybercrime hem tot actie dwingen. Al eerder had zijn voorganger Hirsch-Ballin in 2010 soortgelijke voorstellen gedaan.  Als criminelen bijvoorbeeld bezig zijn met behulp van botnets vitale onderdelen van de samenleving plat te leggen, moet daar beter tegen opgetreden kunnen worden, aldus Opstelten. Botnets zijn grootschalige netwerken van semi-autonoom werkende softwarerobots op zogenoemde zombiecomputers, die op afstand kunnen worden bediend om illegale acties uit te voeren, zoals het versturen van spam, het verzamelen van (bedrijfs)geheimen, creditcardgegevens en wachtwoorden. DDos-aanvallen en het verspreiden van malware behoren ook tot de mogelijkheden. Om een botnet onschadelijk te maken, is het noodzakelijk toegang te krijgen tot de servers die daar onderdeel van zijn.

Versleuteling

De versleuteling of encryptie van elektronische gegevens vormt volgens de minister in toenemende mate een probleem voor de opsporing van strafbare feiten. Bij versleuteling worden leesbare data omgevormd in onleesbaar materiaal door middel van een wiskundig algoritme. Op internet worden speciale programma’s aangeboden voor het versleutelen van gegevensbestanden. Het versleutelen van gegevensbestanden vereist steeds minder technische kennis. Het programma TrueCript vormt hiervan een goed voorbeeld. Dit betreft een gratis, opensourceprogramma waarmee onder andere containers op de harde schijf worden aangemaakt, waarin een grote hoeveelheid bestanden versleuteld kunnen worden opgeslagen. Ook kan de harde schijf volledig worden versleuteld.

Standaardinstellingen

Daarnaast zijn informatiesystemen en software dikwijls standaard ingesteld op versleutelde vormen van communicatie. Deze standaardinstellingen worden door de gebruikers vrijwel nooit gewijzigd, waardoor zij - zonder dat zelf te weten of na te streven – steeds beter zijn beveiligd tegen het aftappen en opnemen van hun communicatie. Diensten als Gmail en Twitter zijn standaard van versleuteling voorzien en andere populaire diensten zoals Facebook en Hotmail bieden versleuteling als optie aan. Bepaalde smartphones versleutelen standaard de communicatie van de gebruiker. Ook de communicatie die via het internet verloopt kan eenvoudig worden versleuteld. Voorbeelden hiervan zijn de algemeen verkrijgbare communicatiesoftware (bijvoorbeeld Skype, WhatsApp, VPN-diensten) die op computers of smartphones kan worden geïnstalleerd. Er zijn wereldwijd inmiddels ongeveer 171 miljoen geregistreerde Skype-gebruikers. E-mailverkeer kan worden versleuteld, bijvoorbeeld met de plug-in Pretty Good Privacy (PGP) of soortgelijke toepassingen. Op het internet wordt voorts de mogelijkheid geboden om door middel van bepaalde internetdiensten het transport van gegevens te anonimiseren. Een voorbeeld hiervan is het Tor-netwerk (The Onion Router), dat bestaat uit een wereldwijd netwerk van door vrijwilligers aangeboden servers waarbinnen communicatie versleuteld wordt gerouteerd.

Aftappen

Bij het aftappen van communicatie hebben politie en justitie steeds meer last van versleuteling van elektronische gegevens. Op internet worden speciale programma’s aangeboden om gegevensbestanden te versleutelen. Informatiesystemen en software zijn dikwijls standaard ingesteld op versleutelde vormen van communicatie, bijvoorbeeld Gmail en Twitter. Internetgebruikers kunnen zelfs via bepaalde diensten gegevens anoniem transporteren. Dit speelt criminelen in de kaart. Weliswaar is de aanbieder verplicht mee te werken aan het ongedaan maken van versleutelde communicatie, maar daar is hij soms zelf niet toe in staat of de aanbieder is gevestigd in het buitenland. Daarom wil Opstelten dat politie en justitie bij ernstige strafbare feiten onder strikte voorwaarden kunnen aftappen op het apparaat in plaats van op de verbinding. Het onderzoek in een geautomatiseerd werk maakt dat mogelijk.

Bevoegdheden

De bestaande bevoegdheden op het gebied van de opsporing van strafbare feiten voorzien volgens de minister niet in de mogelijkheid om de versleuteling van gegevens adequaat het hoofd te bieden. De wet voorziet in de mogelijkheid van een doorzoeking van een plaats ter vastlegging van gegevens die op deze plaats op een gegevensdrager zijn vastgelegd. Als gegevens versleuteld zijn dan kan een bevel tot ontsleuteling worden gericht tot degene die kennis draagt van de wijze van versleuteling van de gegevens. Daaronder vallen ook aanbieders van communicatiediensten. Ondanks de mogelijkheid van een ontsleutelbevel kan de aanbieder het communicatieverkeer meestal niet ontsleutelen omdat de data door tussenliggende diensten zijn versleuteld. De tussenliggende diensten hoeven dikwijls niet aan een tapbevel te voldoen en daarmee ook niet aan de ontsleutelplicht. Een dergelijk bevel kan evenmin tot de verdachte worden gericht.

Decryptiebevel

Het wetsvoorstel voorziet tevens in de mogelijkheid om verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer. De officier van justitie geeft dan een zogeheten decryptiebevel aan de verdachte. Politie en justitie krijgen dan toegang tot afgeschermde gegevens en kunnen de vervaardiging, de verspreiding en het bezit van kinderpornografie effectiever bestrijden en hulp bieden aan de slachtoffers. Ook hiervoor gelden strikte waarborgen, waaronder een voorafgaande rechterlijke toetsing. Op het negeren van een decryptiebevel van de officier van justitie staat een gevangenisstraf van maximaal drie jaar.

Heling

Verder regelt Opstelten dat heling van computergegevens strafbaar wordt. Daarmee wil hij voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen. Voor een veroordeling is het van belang dat de verdachte wist of kon vermoeden dat de bewuste informatie van misdrijf afkomstig is. In de praktijk worden regelmatig computergegevens gebruikt die door misdrijf verkregen zijn, bijvoorbeeld door hacken van een computer of door het listig afhandig maken van wachtwoorden en toegangscodes van gebruikers. Er komt een gevangenisstraf van maximaal een jaar op te staan.

Draadloze netwerken

Draadloze verbindingen zijn in Nederland wijdverbreid beschikbaar. Denk aan het Wi-Fi-netwerk van buurtbewoners of gratis aangeboden onbeveiligde netwerken in restaurants, treinen of hotels (hotspots). Wanneer een internetgebruiker gebruik maakt van verschillende hotspots dan is de communicatie niet goed aftapbaar. Slechts bij de aanbieder waar een tapbevel wordt afgegeven wordt het communicatieverkeer afgetapt. Voor het aftappen van alle communicatie van de verdachte die gebruik maakt van meerdere toegangspunten tot het internet moet een tap worden geplaatst op alle netwerk- en dienstenaanbieders waarvan hij gebruik maakt. Dit is in de praktijk echter onmogelijk en vanuit het oogpunt van de proportionaliteit minder wenselijk. Niet alleen in een woning, maar ook op andere plaatsen, zoals hotels of campings, kan ten behoeve van particuliere gebruikers een draadloos netwerk worden ingericht door middel waarvan de geautomatiseerde werken, die onderdeel vormen van het netwerk, gegevens kunnen uitwisselen. Met behulp van een router kan vanuit het netwerk verbinding met het internet worden gelegd. Achter een router kunnen meerdere geautomatiseerde werken, zoals een computer, tablet of smartphone, worden gebruikt zonder dat van buitenaf kan worden nagegaan welke apparaten gebruikmaken van de router en welke gegevens met welk apparaat worden opgehaald of verzonden.

Internettap

Op grond van de bestaande wettelijke bevoegdheden kan communicatie worden afgetapt en opgenomen. Hierbij kan gebruik worden gemaakt van een zogenaamde internettap. Als echter gebruik wordt gemaakt van verschillende toegangspunten tot het internet, wat steeds vaker voorkomt, dan is het aftappen van de volledige communicatie van een verdachte vrijwel onmogelijk. Bovendien biedt de internettap geen soelaas als de gegevens zijn versleuteld. Als een internettap op een router wordt geplaatst, dan kan uitsluitend de in- en uitgaande communicatie worden afgetapt en opgenomen. Dit betekent dat de interne communicatie op het netwerk, waarbij geen gebruik wordt gemaakt van internet, niet kan worden onderschept. Daar komt bij dat als een internettap op een router wordt geplaatst, alle in- en uitgaande gegevensverkeer via de router wordt getapt en opgenomen, ook de gegevens van personen in wie de politie niet is geïnteresseerd. Bij actief internetgebruik betreft dit naast inloggegevens, e-mails en chatgesprekken ook ingetypte zoektermen, films en muziekbestanden. Deze data dienen te kunnen worden doorzocht op voor de opsporing relevant materiaal Opsporingsambtenaren hebben behoefte aan een mogelijkheid om op afstand heimelijk binnen te kunnen dringen in een geautomatiseerd werk met het oog op de identificatie van een geautomatiseerd werk of van de gebruiker. Dit kan onder meer een computer of een smartphone betreffen. Op basis van de identificerende gegevens kan dan, meer gericht, een geautomatiseerd werk worden onderzocht.

Cloud computing

Het optreden in cyberspace kan met zich meebrengen dat gegevens ontoegankelijk worden gemaakt, ook als deze zich op een server in het buitenland bevinden. Dit kan het geval zijn als de feitelijke locatie van de gegevens redelijkerwijs niet is te achterhalen, zoals bij gegevens in de cloud. Tegenwoordig worden gegevens door particulieren en bedrijven niet altijd meer op de harde schijf van een computer in het eigen netwerk opgeslagen, maar wordt in toenemende mate gebruikgemaakt van zogenoemde webbased toepassingen. Hierbij moet worden gedacht aan de (al dan niet verspreide) opslag van gegevens in de cloud, wat wil zeggen dat voor de opslag van gegevens gebruik wordt gemaakt van servers die zich elders in Nederland of in het buitenland bevinden. Cloudcomputingdiensten bestaan uit een veelheid van al dan niet verbonden of geïntegreerde toepassingen. Verschillende aanbieders bieden diensten aan op het gebied van cloud computing. Voorbeelden zijn Hotmail, Dropbox, Googledocs en Mega upload. De gegevens worden langs geautomatiseerde weg door de aanbieder van de desbetreffende dienst op verschillende servers opgeslagen, zonder dat de gebruiker daarop invloed heeft.

Locatie

De locatie van de servers en de daarop bewaarde gegevens zijn soms ook voor de aanbieder niet te achterhalen. Bovendien zijn de diensten van de verschillende aanbieders in elkaar over gaan lopen. Zo zijn er aanbieders van communicatiediensten die opslagdiensten in de cloud aanbieden (Google Docs, Dropbox, Skydrive). Webmaildiensten worden niet alleen gebruikt om berichten te versturen naar andere e-mailadressen maar ook voor interne communicatie binnen criminele groeperingen. Een bericht wordt dan in de concepten box geplaatst waarna verschillende personen op de dienst (Gmail of Hotmail) waarmee de inloggegevens worden gedeeld, kunnen inloggen en kennis kunnen nemen van de inhoud van het bericht zonder dat dit als e-mailbericht naar de ontvanger wordt verzonden. Voor de aanbieders is de plaats van opslag vanuit bedrijfseconomisch perspectief uitsluitend van belang in verband met de kosten daarvan. Met behulp van het internet is gewaarborgd dat de gegevens voor de belanghebbenden toegankelijk zijn. Doordat de bestanden doorgaans in gedeelten worden opgeslagen en over meerdere servers worden verspreid, betekent dit dat gegevens van één gebruiker zich in verschillende landen kunnen bevinden.

Verouderde wetgeving vormt in toenemende mate een belemmering voor de effectiviteit en het welslagen van het opsporingsonderzoek naar ernstige strafbare feiten. De opsporingsbevoegdheden die zijn gericht op het vastleggen van elektronische gegevens of het aftappen en opnemen van communicatie, voldoen niet langer omdat gebruik wordt gemaakt van versleuteling, de geautomatiseerde werken onderdeel vormen van een netwerk of de gegevens worden opgeslagen in de cloud. Het wetsvoorstel van minister Opstelten is controversieel, omdat het opsporingsambtenaren onder meer de bevoegdheid geeft om computers te hacken. Verdedigers van digitale burgerrechten, zoals Bits of Freedom, vinden dit veel te ver gaan.

‹‹ Ga terug naar nieuwsoverzicht
'Toekomstperspectief door verbinding, groei, verbreding en verdieping'