'Crimineel kan zijn gang gaan zolang politie niet mag hacken'

We vinden het volkomen normaal dat in de gewone wereld politieagenten op straat surveilleren en zonodig verdachte personen in de gaten houden. Op internet hebben agenten daar de bevoegdheid niet voor. Het gevolg: een fietsendief kan zonder enige angst om gepakt te worden zijn handeltje aanbieden op Marktplaats. Ronald Prins, oprichter en directeur van het Delftse internetbeveiligingsbedrijf Fox-IT vindt het daarom terecht dat minister van justitie Ivo Opstelten de politie vrijheid wil geven om onderzoek te doen op internet. "Bij het Team High Tech Crime van de politie werken inmiddels zeer deskundige mensen, maar die zijn met de handen op de rug gebonden."

Neem bijvoorbeeld de recente storingen bij banken. Hackers en andere onverlaten kunnen die veroorzaken doordat miljoenen computers besmet zijn met een virus. Zonder dat de eigenaar dat weet, doet zijn computer mee met de zogenoemde DDos-aanval. Het systeem van de bank raakt overbelast en valt uit. Vanwege de wet op de privacy mag de politie niet op zoek naar die computers en de gebruikers waarschuwen. "Ze mogen bijvoorbeeld alleen bij hoge uitzondering met een schuilnaam op internet aanwezig zijn. Ze mogen minder dan gewone burgers", zegt Prins.

Met die steun voor meer politiebevoegdheden maakt Prins zich onder hackers weinig populair. En ook Bits of Freedom, een stichting die de vrijheid op internet bewaakt, vindt dat hij heult met de vijand. Prins: "Ook ik ben het niet met alles eens wat Opstelten voorstelt. De politie de bevoegdheid geven om een computer van een verdachte te hacken, zoals in het voorstel staat, vind ik te ver gaan. Zoiets zou alleen als laatste optie gebruikt moeten worden, als huiszoekingen en observatie niets hebben uitgehaald."

"Maar neem die cyberaanvallen, vaak vinden die plaats vanaf een server in het buitenland, zeg Armenië. Nu staat in de wet dat de politie niet over de landsgrenzen heen mag. Je zou ze de bevoegdheid moeten geven om onmiddellijk in te grijpen bij acute dreiging een server onklaar te maken, ook als die dreiging van over de grens komt."

Fox-IT is in een paar jaar tijd van een clubje anarchistische hackers, naar een gerenommeerd bedrijf gegroeid. En er is geen ander bedrijf in Nederland dat dezelfde kennis in huis heeft. Prins had altijd het hoogste woord als het ging om internet en kan met smaak spannende verhalen vertellen over cybercrime, spionage en de gevaren die ons boven het hoofd hangen. Terroristen die inbreken op het netwerk van de sluizen en Nederland onder water zetten. Prins zou het zelf nog kunnen. Iraanse, Russische en Chinese spionnen die bladeren in onze staatsgeheimen. Praatprogramma's op tv zijn dol op hem.

Maar inmiddels heeft de veertiger zoveel petten op, dat het lastig is om zich in het maatschappelijk debat te roeren zonder het verwijt te krijgen dat hij voor eigen gewin gaat. Of dat hij onder een hoedje speelt met de AIVD, waar hij ook een tijdje heeft gewerkt. Of dat hij nooit het achterste van zijn tong kan laten zien met al die geheime informatie die Fox-IT bewaakt. "Hoe je staatsgeheimen bewaakt is op zich al een staatsgeheim", zegt Prins lachend.

"Denk je dat ik blij ben met al die petten? Nee. We hebben meer werk dan we aankunnen. Het is moeilijk om geschikte mensen te vinden. We doen soms werk dat eigenlijk door de politie zou moeten worden gedaan. Een bedrijf dat een hack ontdekt komt eerst naar ons. Wij zoeken uit wat er aan de hand is. Pas als daar een naam of een IP-adres uitrolt, stapt zo'n bedrijf naar de politie om aangifte te doen. Dat zou bij een ouderwetse inbraak nooit zo gaan."

Hardnekkige geruchten in hackerskringen gaan dat hij afluisterapparatuur heeft verkocht aan dubieuze regimes. Syrië bijvoorbeeld. En Egypte.

"Weet je ik kan gewoon tranen in mijn ogen krijgen als ik dat verwijt weer hoor. Syrië, Afghanistan: natuurlijk niet. Nee, nee, nee. Ja, we kregen dat verzoek van de Egyptische regering tijdens de opstand van het volk, de Arabische Lente. Toen was Egypte nog een respectabel land. We hebben in dit geval niet eens overlegd met Buitenlandse Zaken en het niet gedaan. Het vervelende is dat je als je spionagespullen verkoopt per definitie niet aan de grote klok kunt hangen wie je klanten zijn. Maar we hebben altijd overleg met het ministerie. We doen niets wat de Nederlandse staatsveiligheid schaadt."

Maar moet je dan niet constateren dat een dergelijk product verkopen gewoon niet samengaat met je taak als bewaker van gevoelige Nederlandse informatie op het internet? "Dat product verkopen we niet meer. We hebben het hele zaakje verkocht aan een Amerikaans bedrijf dat nu de eigendomsrechten heeft."

Op zijn beurt heeft Prins kritiek op de rol die hackers spelen. Zij breken in in netwerken om aan te tonen dat ze lek zijn. "Ook dat zou een taak van de overheid moeten zijn. Laat minister Schippers erop toezien dat ziekenhuizen hun systemen testen. Dat laten we nu hackers doen, maar daarmee komt wel steeds gevoelige informatie op straat. Denk aan de hack in het Groene Hart Ziekenhuis. Ook een activistische hacker die wilde aantonen dat gegevens niet goed beveiligd zijn. Het zullen jouw patiëntengegevens maar zijn en dat je niet weet wie die in handen heeft."

Je kunt je afvragen bij wie je privacy in betere handen is, bij de politie of bij dergelijke hackers, vindt Prins. "Op dit moment is er een database met alle gegevens van duizenden mensen in handen van cybercriminelen. Daarin staat alles wat deze mensen typten, wachtwoorden, creditcardgegevens. Justitie weet dat en kreeg die ook aangeboden van een goedbedoelende hacker maar doet er niks mee. Kán er niks mee."

Prins klinkt misschien negatief, maar hij is al blij dat het balletje in elk geval rolt. De Diginotar-affaire heeft de ogen geopend van politici. In september 2011 kwam aan het licht dat het bedrijf dat beveiligde internetverbindingen levert aan de overheid, gehackt was. De dader is nooit gevonden, zeker is dat het iemand in Iran was die ongehinderd maandenlang kon rondneuzen binnen het Nederlandse bedrijf. Ook is duidelijk dat met de certificaten e-mails van Iraanse burgers zijn onderschept, vermoedelijk door de Iraanse overheid. Fox-IT speelde een hoofdrol in het onderzoek.

Diginotar was een wake-up call. Is de overheid zich voldoende bewust van wat cybercriminelen kunnen?
"Het gaat altijd om gemak versus veiligheid. En dat is een mentaliteit. In Israël waar ze weten wat het is om vijanden te hebben, zetten ze geen gevoelige overheidsinformatie op internet, maar op aparte netwerken. Dat betekent dat ambtenaren met een usb-stick rond moeten lopen, en steeds moeten verwisselen, maar dat vinden ze het waard. Hier kiezen we eerder voor gemak. In Nederland is het vooral te onduidelijk wie er gaat handelen als er een concrete dreiging is. Bijvoorbeeld als er terroristen in het netwerk zitten die de sluizen bedienen."

De nationaal coördinator terrorismebestrijding toch?
"Nee, die coördineert alleen. Wie gaat het oplossen is de vraag. In andere landen wordt daar op regeringsniveau over besloten. In Amerika en Engeland zijn ze veel defensiever. Dat komt natuurlijk omdat ze zelf veel ervaring hebben met spionage en weten welke risico's ze lopen. De meeste spionagezaken komen aan het licht door een tip van een buitenlandse geheime dienst. Hier in Nederland is het hoogstens een enkele paranoïde ambtenaar die direct verder gaat kijken als zijn computer een keer vastloopt, en dat er inbrekers gevonden worden. Het zou leuk zijn als we vaker de eerste zijn."

Het Cyber Security Centrum dan? Dat is opgericht naar aanleiding van Diginotar.
"Ha, die gaan om zeven uur 's avonds allemaal naar huis. En vaak worden wij ingeschakeld als er een hack ontdekt is. Laatst gebeurde dat toen wij voor een grote opdracht in Polen waren. Nee, nu kunnen we even niet. Dan is er niemand, dat is de situatie. Totaal onwenselijk."

Diginotar heeft Prins' denken over beveiliging beïnvloed. Want: ieder netwerk is te hacken. "Ja en hier heb ik nieuws voor jullie: zelfs ons netwerk." Om zichzelf te testen is een klein team van medewerkers drie weken buiten kantoor bezig geweest om het systeem te kraken. En dat lukte uiteindelijk met een zogenaamde phishing mail, een nep e-mail. Veertig procent van de medewerkers, onder wie de crème de la crème van hackend Nederland, klikte op een link om vervolgens hun wachtwoord in te voeren."

"Mensen zijn het grootste probleem als het om computerbeveiliging gaat", zegt Prins. "Maar ze zijn ook niet de oplossing. Detectie, daar gaat het om. De sloten op een gebouw werken voor een inbreker vertragend, maar zijn allemaal te kraken. Het gaat erom dat het alarm aangeeft dát er iemand binnen is en dat je vervolgens onderzoekt wie."

"In termen van computerbeveiliging betekent dat je de internetkabels in de gaten houdt. Welk verkeer gaat daar overheen en hoort het er thuis? En als het een onbekende is, uit welk land komt die persoon, en vanaf welke computer werkt hij? De afdeling die dat normaal bij Fox-IT doet, had tijdens de hack expres de opdracht gekregen niet mee te kijken. Anders was de nep e-mail nooit in de postvakken van de medewerkers beland."

Fox-IT verkoopt de detectiesystemen tot in het buitenland, inclusief het Amerikaanse ruimtevaartinstituut Nasa. En doet daarnaast aan beveiliging, bijvoorbeeld in opdracht van de Nederlandse banken. En dat werkt: het aantal keren dat er geld van een bankrekening verdween, is vorig jaar spectaculair gedaald.

Prins: "Banken gebruiken onze systemen om verdachte transacties te kunnen herkennen. Waar die systemen precies naar kijken kan ik natuurlijk niet zeggen. Maar eentje wil ik wel prijsgeven. Als een transactie in 0,0001 seconde wordt ingevuld weten we zeker dat het geen persoon is die geld aan het overmaken is, maar waarschijnlijk een programmaatje van een hacker."

Moeten we niet constateren dat het onmogelijk is om gevoelige informatie veilig via internet te delen?
"Ik ga niet zeggen: hel en verdoemenis komt op ons neer. Met vallen en opstaan wordt het internet steeds een beetje veiliger. Vergelijk het met een snelweg: gaandeweg zijn gordels verplicht geworden, moesten mensen rijles nemen om ongelukken te voorkomen. En dan nog moet je accepteren dat er ongelukken gebeuren."

undefined