'Hackende politie is een paardemiddel'
Een agent die computers hackt, maakt dat het internet nou veiliger of niet? De politie zelf vindt van wel: nu criminaliteit zich steeds meer op internet afspeelt, moeten ook agenten daar aanwezig zijn om dat te kunnen stoppen. Maar, zo waarschuwden deskundigen vandaag tijdens een rondetafelgesprek in de Tweede Kamer: als het de politie lukt computers te kraken, dan kunnen criminelen dat ook. Sterker nog: het maakt het alleen maar onveiliger.
Het wetsvoorstel waar het allemaal om te doen is, is de Wet Computercriminaliteit III, waar de bevoegdheid voor de politie om van een afstand heimelijk op computers, smartphones en andere apparaten in te breken, onderdeel van is. Die uitbreiding is hard nodig, stelt staatssecretaris Klaas Dijkhoff van veiligheid en justitie.
Zo heeft de politie er last van dat criminelen hun communicatie steeds vaker versleutelen. Simpel gezegd wordt de inhoud van bijvoorbeeld een e-mail dan gecodeerd verzonden en pas weer leesbaar gemaakt op de computer van de ontvanger. Onderscheppen is lastig.
Het kan voor politie daarom handig zijn op de computer aanwezig te zijn. Maar hoe dring je zo'n apparaat als agent binnen? Precies daar maken de tegenstanders van het wetsvoorstel zoals dat nu voorligt zich grote zorgen over. De politie zal gebruik maken van bestaande en nieuwe zwakke plekken in computersystemen, erkende Inge Philips van de Nationale Politie. Maar alleen als andere methoden om een computer binnen te dringen niet mogelijk blijken. Bovendien zullen deze lekken uiteindelijk gemeld worden bij het cybersecuritycentrum van de overheid, belooft Philips.
Lekken
Maar dat stelt onder meer ICT Nederland, de brancheorganisatie van internetbedrijven, niet gerust. De politie heeft er belang bij om lekken in systemen zo lang mogelijk geheim te houden, omdat ze niet langer te gebruiken zijn als ze eenmaal gedicht zijn. Wat overblijft is een internet als een gatenkaas, waar juist de criminelen ook gretig gebruik van zullen maken. Het bevordert de online veiligheid niet en is niet goed voor het vertrouwen in het internet als geheel, vrezen bedrijven.
Nu al bestaat er een levendige handel in van die nieuw ontdekte lekken: zogenoemde 'zero days'. Het bestaan daarvan is nog niet bekend bij virusscanners of bedrijven die de systemen hebben gemaakt, daarom wordt er grof geld voor betaald. Als ook de politie die zero days gaat gebruiken en kopen, wordt die zwarte markt in stand gehouden, vreest ICT Nederland. Liever zien internetbedrijven dat politie en justitie samen met hen optrekken om een zwakke plek zo snel mogelijk te repareren. De nieuwe wet zou het gebruik van 'zero days' door de politie moeten uitsluiten.
Privacy
Ook over privacy maken deskundigen zich zorgen. Een hackende politie is een paardemiddel, werd gisteren in de Tweede Kamer benadrukt. Daarom zijn stevige waarborgen nodig. Dian Brouwer verwoordde het namens de Nederlandse Orde van Advocaten zo: "Volgens het huidige voorstel, mag de politie de gps op mijn telefoon heimelijk aanzetten om mijn gang te volgen als ik mijn buurman na een burenruzie heb geslagen. Of ze mogen bij wijze van spreken mijn pacemaker hacken als ik verdacht wordt van een winkeldiefstal. Dit voorstel zet de deur te ver open voor de politie."
Een greep uit de dilemma's
Wanneer mag wat gehackt worden?
"Een uit de hand gelopen burenruzie is al voldoende", zegt Dian Brouwer, Nederlandse Orde van Advocaten. Hij wijst erop dat niet alleen ingebroken kan worden op zijn computer. "Mijn pacemaker kan straks worden gehackt als ik mijn buurman in zijn gezicht sla. Wat ik bijvoorbeeld mis is de vaststelling dat alleen maar op de computer gekeken mag worden die gebruikt is voor het strafbare feit. Maar nee, je pacemaker, je koelkast, de auto - overal kan ingebroken worden."
En wat te denken van medegebruikers van computers: huisgenoten, collega's? Maakt u zich geen zorgen, sust Martijn Egberts van het Openbaar Ministerie. "We gaan echt niet inbreken op een telefoon bij een burenruzie. Dat is niet proportioneel. "
Agenten gaan voorzichtig om met de middelen die ze hebben, verzekert Inge Philips van de Nationale Politie. "Neem mijn dienstwapen. Dat ik net een doorgeladen vuurwapen rondloop wil niet zeggen dat ik schietend over de markt loop." En het hacken wordt beperkt tot het hoogstnoodzakelijke, zegt ze. "Wij willen alleen gegevens over verdachte zaken. De suggestie dat wij lukraak grasduinen in gegevens stuit mij echt tegen de grond. Wij kicken erop om boeven te vangen en gaan niet aan de haal met info over anderen."
Hoe wordt de politie gecontroleerd?
"Kunt u ons op onze blauwe ogen vertrouwen? Nee", geeft Egberts toe, "maar de politie heeft nu ook al middelen die disproportioneel zouden kunnen worden ingezet. Wijs maar aan wanneer dat zou zijn gebeurd." De verweren daarover worden volgens Egbert niet gevoerd of door de rechter verworpen.
Maar de rechter let alleen op het strafrechtelijke aspect, merkt professor Bart Jacobs op. Een rechter weegt niet mee of politiehacks het internet veiliger maken of niet. Bovendien komt niet iedere zaak voor de rechter. "Wat als je onterecht verdacht was?", vraagt Brouwer zich af. "Dan komt jouw zaak niet voor de rechter en wordt dus niet getoetst of het hacken gepast was."
Wat zijn de internationale gevolgen?
Wie kaatst, kan de bal verwachten. "Stel dat wij in het buitenland gaan inbreken in computers, gaat bijvoorbeeld Rusland dan niet in onze computers inbreken?", vraagt PvdA-Kamerlid Jeroen Recourt zich af. Je kunt het ook praktisch aanpakken, tipt Ronald Prins van netwerkbeveiligingsbedrijf Fox-IT. "Als je als agent denkt: die computers staat in bijvoorbeeld Duitsland, dan bel je de collega's Duitsland en overleg je wie het aanpakt."
Professor Jacobs waarschuwt dat de hackbevoegdheid weleens een aanzuigende werking zou kunnen hebben op buitenlandse opsporingsdiensten, die willen meeprofiteren. "Misschien bieden ze het wel op een presenteerblaadje aan: 'het gaat om deze computers, we zien het resultaat later wel'."
