Het ongemakkelijke hackgereedschap van de politie

Politiek

De Eerste Kamer bespreekt dinsdag of politie en het Openbaar Ministerie verdachten mogen hacken. De nieuwe wet geeft toegang tot een dubieuze markt van hacksoftware.

Illustratie Pepijn Barnard

Mag de overheid het onveilige internet alleen repareren, of mag ze er ook van profiteren? Dat is de kernvraag als dinsdag het wetsvoorstel computercriminaliteit in de Eerste Kamer wordt besproken. In de nieuwe wet staat dat de politie en het Openbaar Ministerie verdachten van zwaardere misdrijven op afstand mogen hacken. Nu mogen agenten alleen ter plaatse een hulpmiddel installeren op een computer van een verdachte, zoals een keylogger, een programmaatje dat stiekem doorsluist wat iemand typt.

Over het algemeen zijn politieke partijen het erover eens dat de politie online meer slagkracht nodig heeft. Communicatie verloopt vaker digitaal. En computercriminelen werken internationaal samen, dus agenten lopen tegen landsgrenzen op. Agenten willen door computers of telefoons op afstand te hacken de identiteit van een verdachte kunnen achterhalen, of hem bijvoorbeeld observeren via de webcam.

In uiterste gevallen wil de politie daarvoor commercieel hackgereedschap aanschaffen. Dat maakt gebruik van kwetsbare plekken in software. Er is een lucratieve handel ontstaan in dit soort zwakke plekken en kennis over hoe ze uit te buiten. Criminelen en geheime diensten – de AIVD mag al jaren hacken – maken daar graag gebruik van. Dat geldt ook voor zwakke plekken in software waar fabrikanten helemaal niet van weten en die zij dus nog niet hebben kunnen repareren met een update. Deze nog onbekende achterdeurtjes in software worden zerodays genoemd en zijn omstreden.

Bezorgdheid

In de Tweede Kamer was D66 veruit de grootste criticus van de wet. „Zelden heb ik hier met zo veel bezorgdheid gestaan”, zei Kamerlid Kees Verhoeven in december 2016. Hij sprak van een „gevaarlijke fout”, omdat de wet het internet onveiliger zou maken. De houding van de Nederlandse overheid noemde hij „een soort cognitieve dissonantie”. Het ministerie van Justitie en Veiligheid beloont mensen die kwetsbare plekken in software melden. Het schreef in een leidraad dat personen die kwetsbare plekken in software vinden een grote verantwoordelijkheid hebben. Aan de andere kant geven politie en justitie de handel in software die profiteert van die zwakke plekken juist een financiële prikkel als ze er aankopen gaan doen.

Lees ook: Een miljoen voor toegang tot de iPhone

Nu D66 in de coalitie zit, ligt de keuze van deze partij gevoelig. De partij profileert zich als voorvechter van een veilig en privacyvriendelijk internet en kreeg al forse kritiek uit de achterban en van de Jonge Democraten toen het de inlichtingenwet ging verdedigen in aanloop naar het referendum van afgelopen maart.

De senaatsfractie van D66 vindt zerodays ook het grootste pijnpunt van deze wet. „Uiteindelijk hangt het ervan af of het proportioneel is”, zegt Eerste Kamerlid Annelien Bredenoord. In de Tweede Kamer wilde haar partij nog helemaal niet van het gebruik van zerodays weten.

Mensenrechten

In het regeerakkoord werd op verzoek van D66 afgesproken dat geen hacksoftware wordt gekocht door politie en justitie als die ook wordt gekocht door regimes die ernstige mensenrechtenschendingen plegen of het internationaal humanitair recht met voeten treden. Ook staat in het regeerakkoord dat hacksoftware alleen in „specifieke zaken” wordt gebruikt, zonder verder uit te leggen wat dat betekent.

In Tweede Kamer stemde de destijds regerende PvdA als enige linkse partij voor de wet, wat Kamerlid Jeroen Recourt op veel kritiek van D66 kwam te staan. Voor een meerderheid in de Eerste Kamer is óf opnieuw steun van de PvdA, óf steun van een van de eerdere tegenstemmers nodig: D66, PVV, GroenLinks of de SP.

De PvdA wist in de Tweede Kamer wel af te dwingen dat als agenten zerodays vinden, deze „in principe” zo snel mogelijk aan de fabrikant worden gemeld. Dat kan inderdaad als agenten zelf kwetsbare plekken in software vinden, maar bij aangekocht hackgereedschap lijkt die afspraak betekenisloos. Leveranciers van hacksoftware geven niet prijs welke kwetsbaarheden zij gebruiken voor de software. „Het is niet zoals bij E-nummers op het etiket van je boodschappen”, zegt cybercrimeonderzoeker Rolf van Wegberg van TNO. „Ik ken geen enkel bedrijf met hacksoftware dat een bijsluiter heeft waar netjes wordt gemeld wat erin zit.”

Destijds verantwoordelijk staatssecretaris Klaas Dijkhoff (VVD) gaf in de Tweede Kamer toe dat het melden van zerodays niet altijd kan. „Dan weet je niet dat er iets te melden valt en kun je die kwetsbaarheid niet melden”.

    • Liza van Lonkhuyzen