To hack or not to hack? (That is the question!)

Een ruime meerderheid van de Tweede Kamer stemde dinsdag 20 december in met een wetsvoorstel van minister Ard van der Steur (Veiligheid en Justitie). Dit wetsvoorstel betreft de Wet Computercriminaliteit III, in de volksmond ook wel de ‘terughackwet’ genoemd. Opsporingsdiensten krijgen met deze wetswijziging, als het aan de Tweede Kamer ligt, de bevoegdheid om apparaten van verdachten te hacken.

Hacken_handen_toetsenbord

Wat houdt de terughackwet in?

De politie mag bij verdachten van ernstige criminaliteit alle apparaten hacken: computers en smartphones, maar bijvoorbeeld ook een beveiligingscamera, navigatiesysteem of slim horloge. De politie mag bij het inbreken gebruik maken van kwetsbaarheden in de software. Soms zijn die ‘lekken’ nog onbekend bij de leverancier van deze computerprogramma’s of apps. De Tweede Kamer eist dat het Openbaar Ministerie die onbekende lekken direct meldt bij de fabrikant. Als justitie daarmee wil wachten – bijvoorbeeld omdat de software is geschreven door een criminele organisatie – is toestemming nodig van een onderzoeksrechter.

Ik ben, en veel branchegenoten met mij, een voorstander van ruimere bevoegdheden voor opsporingsdiensten. Wellicht een utopie, maar ik pleit al langer voor internationale jurisdictie. Het internet is immers niet aan grenzen gebonden. Ik maakte al eens de vergelijking met het Wilde Westen. De Wet Computercriminaliteit III breidt de bevoegdheden van opsporingsdiensten uit. De vergelijking met het Wilde Westen dringt zich weer op. Ik hack jou, jij hackt mij. De sterkste wint. Een oorlog maakte uiteindelijk een einde aan het Wilde Westen.

Professionals over de terughackwet

De meningen over de ‘terughackwet’ zijn verdeeld. Ik vroeg een aantal collega security professionals in maximaal vijf zinnen hun mening over de ‘terughackwet’ te geven. Wat kunnen we leren van de uitkomsten? In ieder geval dat professionals eigenwijs zijn en dat ze niet kunnen tellen. Wel moeten we de inhoud van hun reacties serieus nemen. Stuk voor stuk hoogopgeleide professionals met inzicht in moderne dreigingen en praktische ervaring. Hun gezichtspunten zijn grofweg onder te verdelen in drie hoofdpunten:

De ‘terughackwet’ is een goede ontwikkeling

Je ziet dat onze digitale wereld steeds meer gelijk getrokken wordt met de tastbare wereld. De wet dwingt organisaties, net als de Wet bescherming persoonsgegevens en de Algemene Verordening gegevensbescherming, beveiliging op orde te hebben. Dit geldt niet alleen voor organisaties, ook voor personen. De praktijk wijst uit dat hier nog een wereld is te winnen.

De ‘terughackwet’ maakt het mogelijk de daders en onbekende en potentiële slachtoffers van daders te identificeren. Het is een belangrijke stap voor de omgang met de huidige dreigingen en aanvalsmethoden van kwaadwillenden. Vaak worden uitbreiding van middelen voor opsporingsdiensten weggewuifd met oneigenlijke argumenten. De intenties van de opsporingsdiensten worden verward met die van criminelen. Dit terwijl opsporingsdiensten aan allerlei regels zijn gebonden en verantwoording moeten afleggen. Natuurlijk zou het voor de opsporingsdiensten niet mogelijk moeten zijn om privé-apparatuur te hacken. Als de politie het kan, kunnen de ‘bad-guys’ het ook. Net als in de tastbare wereld onder voorwaarden.

In de tastbare wereld mag de rechter-commissaris een huiszoekingsbevel geven als de misdaad daar groot genoeg voor is. Ook telefoons mogen onder bepaalde voorwaarden worden afgeluisterd. Deze digitale variant, waar de rechter-commissaris tevens toestemming voor moet verlenen, maakt het mogelijk om digitale ‘spullen’ te doorzoeken. De wet trekt op een aantal andere fronten ook internet gelijk met de tastbare wereld; zo zijn digitale heling en digitale handelsfraude vanaf nu ook verboden.

De huidige maatschappij vereist dat er mogelijkheden zijn om digitaal onderzoek te doen naar terrorisme- en (bepaalde) cybercrimeverdachten. In die zin is een wet die dit type politieonderzoek dient te reguleren niet zo gek. Het probleem zit er natuurlijk in welke vrijheden de opsporingsdiensten zichzelf toe-eigenen. Kijken we naar de Verenigde Staten en de vrijheden die de overheid zich daar toe-eigent dan is de commotie die in Nederland is ontstaan begrijpelijk. Er zijn twee belangrijke aandachtspunten in het huidige wetsvoorstel: hoe gaan de opsporingsdiensten om met kwetsbaarheden in software en wat betekent de wet voor onze privacy?

Kwetsbaarheden in software zijn een zwakke plek in de wet

Belangrijk onderdeel van de ‘terughackwet’ is dat opsporingsdiensten, waaronder de politie zelf, mogen inbreken in computersystemen. Voor dit doel kan gebruik worden gemaakt van aanwezige kwetsbaarheden. Dat kunnen bekende zijn, maar ook nog niet ontdekte, zogenaamde zero-days, zijn.

De indirecte aankoop van kwetsbaarheden wordt door deze wet niet uitgesloten. Hiermee wordt de markt van handel in kwetsbaarheden ondersteund door nota bene een overheidsorgaan. De meldplicht van onbekende lekken na gebruik aan leveranciers klinkt mooi, maar in de praktijk is het de vraag hoe de politie ‘na gebruik’ gaat definiëren. Aangezien de politie belang heeft bij de aanwezigheid van kwetsbaarheden is het erg verleidelijk om deze na de opsporing niet openbaar te maken. Een zero-day kost (belasting)geld, en het is efficiënt als een dergelijke kwetsbaarheid meerdere keren kan worden gebruikt. De verleiding van het niet bekend maken van kwetsbaarheden gaat rechtstreeks in tegen onze doelstelling om een volledig beeld te geven waar je kwetsbaar bent.

Door het hackvoorstel wordt het mogelijk gemaakt dat de politie een onveilige situatie kan creëren voor heel Nederland. Door het ‘achterhouden’ van kwetsbaarheden in software is de kans veel groter dat criminelen ook misbruik gaan maken van deze kwetsbaarheden. Stel dat de politie in het kader van een onderzoek een kwetsbaarheid in een beveiligingscamera van een bepaald type achterhoudt voor de fabrikant. Terwijl de kwetsbaarheid nog aanwezig is in de camera hebben criminelen de mogelijkheid om duizenden bedrijven en gezinnen te bespioneren met dezelfde kwetsbaarheid. Tot slot worden deze kwetsbaarheden vaak ingekocht op een zeer onethische markt, die voornamelijk door overheden en black-hat hackers (onethische hackers) in stand wordt gehouden.

Terughackwet zet privacy onder druk

Een belangrijke waarborg voor de privacy van burgers in de ‘terughackwet’ is dat voor elke handeling van opsporingsdiensten vooraf een machtiging nodig is van de rechter-commissaris. De vraag is hoe dit in praktijk gaat functioneren. Immers, bij een vermoeden moet snel worden gehandeld, om te voorkomen dat een crimineel sporen heeft gewist.

De ‘terughackwet’ besteed weinig aandacht aan de bescherming van onschuldige burgers. Zeker ook met het oog op de aankomende Algemene Verordening Gegegevensbescherming. Wanneer je als burger toevallig op het verkeerde moment op de verkeerde plek bent kunnen opsporingsdiensten bijvoorbeeld malware op je apparatuur, zoals een mobiele telefoon, plaatsen om een verdachte af te luisteren. Daarnaast mag er in bulk gegevens worden verzameld en doorgegeven aan buitenlandse diensten zonder enige filtering.

Conclusie

Ton Siedsma (Bits of Freedom) maakt duidelijk waar het probleem zit als hij zegt ‘dat je niet kunt overzien wat er fout kan gaan met dat hacken’. Het lijkt op een soort wapenwedloop tussen overheid en hackers. De wet biedt de overheid een wapen om terug te schieten, maar wij weten ondertussen wat er kan gebeuren als je iemand een wapen geeft zonder dat hij weet hoe hij daarmee om moet gaan. De Tweede Kamer is van mening dat dit de opsporingsdiensten is toevertrouwd. Dit is interessant. Tijdens een congres dit jaar vroegen we aan de deelnemers: vertrouwt u de overheid met uw gegevens? De meerderheid gaf aan de overheid wat dat betreft niet te vertrouwen. Hierin klinkt de zorg dat de overheid het niet zo nauw neemt met de eigen regelgeving en de handhaving hiervan. Een belangrijk punt bij de ‘terughackwet’ is, snappen beslissers waar ze toestemming voor geven in de digitale wereld? De ervaring leert dat het merendeel van de beslissers op dit vlak nog onbewust onbekwaam is.

Moeten we dan niks doen? Het antwoord hierop is nee. Het is een slechte ontwikkeling als de wet achterblijft. We moeten wel aan de voorkant helder hebben wat de kaders zijn en voorbij het punt zijn ‘bij twijfel niet inhalen’. De verwachting is wel dat de ‘terughackwet’ in de huidige vorm de Eerste Kamer niet haalt. Er is nog genoeg huiswerk te doen om te komen tot een helder en goed doordacht wetsvoorstel.

Informatie aanvragen

 

 

 

Meer artikelen

Bekijk al het nieuws