Een hackende overheid is link

De Kamer praat vandaag over ruimere bevoegdheden voor online opsporing. Experts als Bart Jacobs vrezen een monstrueuze aanpak.

Redacteur Technologie

Nijmegen. Tien jaar geleden was terrorisme een belangrijk argument om overheden meer macht te geven en burgerlijke vrijheden vergaand in te perken. Nu steekt die tendens opnieuw de kop, zegt Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen. Alleen is het argument nu veranderd: wat toen terrorisme was, is nu kinderporno of cybercrime.

Een te machtige overheid kan monsters baren. Jacobs is dan ook niet te spreken over een wetsvoorstel dat het mogelijk maakt voor de politie om in te breken op computers van verdachten en verdachte webservers, ook in het buitenland. Vorige maand stuurde minister Opstelten (Veiligheid en Justitie, VVD) hierover een brief, die een Kamercommissie vandaag bespreekt.

De nieuwe bevoegdheden moeten sneller ingrijpen mogelijk maken, bijvoorbeeld als er vanuit een Oekraïense server een aanval op een Nederlandse bank wordt uitgevoerd. Of als er op een server in Korea kinderporno van Nederlandse makelij wordt aangetroffen. Agenten zouden daarnaast toestemming moeten krijgen om spionagesoftware op computers en mobiele telefoons te plaatsen.

Binnen de internetgemeenschap is er zware kritiek op de voorstellen. Bart Jacobs, lid van de door Opstelten opgerichte Raad voor Cybersecurity, waarschuwt dat de politie straks dezelfde middelen gaat gebruiken die ze moet bestrijden. „Bij huiszoekingen gaat altijd een rechter-commissaris mee. Die moet erop letten dat de politie niet zelf de cocaïne neerlegt. Maar hoe doe je zoiets digitaal?”

Moet de overheid niet terug kunnen slaan?

„We moeten geen doetjes zijn. Maar stel dat een bank digitaal wordt aangevallen vanuit het buitenland. De politie mag die server niet uit de lucht halen, de private sector ook niet. Alleen het gebeurt wel. Ze stappen naar een beveiligingsbedrijf toe en vragen: schop jij die server eens om. Of ze huren een buitenlands bedrijf in. Zo belanden we in in het grijze circuit en dat is niet goed. De politie mag wat mij betreft wel servers verstoren. Wat ik bloedlink vind, is om dit te combineren met opsporing. Om zo’n computer om te schoppen, moet je toch hacken en uiteindelijk de schijf wissen. Je moet ook sniffersoftware installeren om wachtwoorden te achterhalen. Als je dat bij gewone burgers doet, met spyware, neem je ook echt de identiteit van die persoon over. Als ik jouw pc beheers kan ik alles installeren wat ik wil, kan ik alles lezen, namens jou mailtjes versturen, chats opzetten, mailtjes toevoegen.”

En die rechter-commissaris dan?

„Dat zie ik niet zo snel voor me in de digitale wereld. Het is technisch moeilijk en praktisch ook: er is geen enkele rechter-commissaris te vinden die hier enig benul van heeft.”

Ontbreekt het de overheid dan aan kennis op ICT-gebied?

„Mijn ervaring is dat de kennis er wel zit, maar dat er op hogere niveaus niet naar geluisterd wordt. Bij het Team High Tech Crime en de inlichtingendiensten zitten echt mensen die weten wat ze doen. Een van de redenen dat bij de Diginotar-affaire [de dienstverlening van de overheid dreigde platgelegd te worden door valse digitale certificaten] de aanpak redelijk goed verliep, was dat de ministers direct toegaven ‘we weten hier niets van’. En de verantwoordelijke topambtenaar was een informaticus. Dat scheelt.”

Veel van de voorgestelde bevoegdheden dienen voor ‘zware gevallen’, zoals kinderporno.

„Kinderporno op internet wordt zwaar overschat. Het dreigt zo’n onderwerp te worden zoals vroeger drugs. Er ging ontzettend veel geld naar toe, terwijl het dweilen met de kraan open was. Als je iets kunt doen aan de productie van kinderporno, moet je keihard ingrijpen. Daar zitten de grootste klootzakken. Maar hoe vaak kom je nou al surfend die troep tegen? Nooit! Het zit zo diep, versleuteld, in het internet.”

U bedoelt dat de distributie via internet geen bedreiging is?

„Kinderporno dreigt als argument misbruikt te worden om absurde bevoegdheden te introduceren. Net zoals tien jaar geleden terrorisme te pas en te onpas gebruikt werd om absurde bevoegdheden te introduceren. Het is bloedlink zoiets hardop te zeggen...”

Maar dat doet u nu wel.

„Ik weet het. Je krijgt snel emotionele reacties over je heen. En ja, ik heb ook kinderen en ik zou ook over de rooie gaan als er met hen iets gebeurt. Maar je moet de zaken in perspectief zien. Ik begrijp van de politie dat ze de meldingen bij meldpunt Kinderporno niet eens aan kunnen, qua capaciteit. Regel dat nou eerst.”

Jacobs pauzeert. Even afstand. Hij was twee jaar geleden, zo benadrukt hij, „werkelijk aangenaam verrast” door Opsteltens plannen voor de bestrijding van cybercrime. Maar volgens Jacobs ligt de nadruk nu te veel op grote partijen die de veiligheid van infrastructuur moeten waarborgen. Het contact met de Nederlandse hackersgemeenschap is niet goed opgebouwd, terwijl whitehat hackers – krakers met goede bedoelingen – volgens de hoogleraar onmisbaar zijn in de bestrijding van cybercrime.

Toen het Dorifelvirus dit najaar enkele gemeentehuizen platlegde, was de informatievoorziening van de overheid erg afhankelijk van hackers die op eigen initiatief op onderzoek uitgingen. „Hackers zijn de voelsprieten, zij hebben kennis van het systeem”, zegt Jacobs. Hij wordt boos als de arrestatie ter sprake komt van de hacker van het Groene Hart Ziekenhuis in Leiden. Die toonde aan dat patiëntengegevens onveilig waren, maar werd aangehouden. Jacobs: „Het cybersecuritybeleid dreigt te mislukken. Opstelten heeft nu de reflex dat de knuppel eroverheen moet. Maar je moet juist meeveren, meeleven met die wereld. En zorg dat er een regeling komt voor whitehat hackers. Als ze een lek vinden zouden ze het moeten kunnen melden bij het Nationaal Cyber Security Centrum. Geef ze respect.”

    • Marc Hijink