Onlangs werden drie Nederlandse jongens opgepakt die naar het zich nu laat aanzien anderhalf miljoen computers in hun macht wisten te krijgen. Dat botnetwerk werd vermoedelijk verhuurd aan echte criminelen. De recent aangepaste Wet Computercriminaliteit II moet deze vorm van cybercrime beter aanpakken.
Vorige maand zijn in de Tweede Kamer de wijzigingen op de Wet Computercriminaliteit II onder de hamer gekomen. De meeste wijzigingen hadden vooral te maken met het actualiseren van de wet die oorspronkelijk al in 1993 werd geschreven. Vooral Arda Gerkens van de Socialistische Partij had tijdens het debat nogal wat vragen, waarbij zij haar betoog opende met de interessante stelling dat er volgens haar drie verschillende vormen van cybercrime zijn. “Ik onderscheid drie verschillende vormen van cybercrime”, stelde zij tijdens de behandeling. “Oude wijn in nieuwe zakken, oude wijn met behulp van nieuwe zakken en nieuwe wijn. Bij de oude wijn in nieuwe zakken zien wij de bekende criminaliteit digitaal uitgevoerd. Hieronder versta ik zaken als fraude, phishing, oplichting, afpersing en dergelijke. Oude wijn met behulp van nieuwe zakken is criminaliteit waarbij gebruik wordt gemaakt van ict. Ik denk hierbij aan kinderporno en terrorisme, maar ook aan bouwfraudezaken, et cetera. De nieuwe wijn is direct gerelateerd aan ict. Ik geef hierbij hacking en DoS-aanvallen als voorbeeld”, aldus Gerkens tijdens het debat op 13 september. Ze vond ook dat het veel te lang duurde voordat de hackers die DDoS-attacks op diverse overheidssites en de chat van Máxima en Willem-Alexander pleegden, werden vervolgd.
Daadkracht
“Daar zit het probleem veel meer”, meent Ronald Prins, directeur van Fox-IT. Dit bedrijf is gespecialiseerd in beveiliging- en rechercheonderzoek en hebben in de praktijk veel te maken met cybercrime. “Natuurlijk. Het is altijd goed als een wet regelmatig wordt bekeken en aangepast aan de huidige stand van de technologie. Toch zijn er mijns inziens niet zo veel zaken die niet al met de oude wet konden worden vervolgd. Zo zijn wij in de dagelijkse praktijk nog niet tegen zaken aangelopen waarvan we het gevoel hebben dat die met deze wet beter aangepakt konden worden. Er is met deze wetgeving naar mijn gevoel meer gewerkt om de juridische kant van de wetgeving te regelen dan dat er vooruitgang is geboekt in daadkracht. Het is veel belangrijker dat er bij de politie mensen worden vrijgemaakt die daadwerkelijk met cybercrime aan de slag gaan. Zelfs met de oude wet konden veel zaken goed worden aangepakt, maar het werd simpelweg niet gedaan. De aanscherping van de wet zal het probleem dus niet oplossen.” Prins is ervan overtuigd dat de politiek vooral meer aandacht moet schenken aan de vervolging van digitale criminelen. Ze zijn daar volgens hem wel mee op de goede weg. “Kijk naar het botnetwerk dat onder controle van die Nederlandse jongens stond. Het is goed dat een groep mensen is vrijgemaakt om met lastige zaken als botnets aan de gang te gaan. Het zijn voornamelijk dit soort zaken die tussen wal en schip dreigen te vallen. Bij keiharde fraude worden de daders meestal wel opgepakt en vervolgd. In het bestaande strafrecht kennen we daar ruim voldoende mogelijkheden voor, want bij een fraudezaak is het vaak niet relevant of daar computers bij zijn ingezet. Het zijn juist de zaken in de DDoS-achtige sfeer die lastig zijn te vervolgen. De nieuwe wet maakt dat misschien wat makkelijker.”
Uitbreiding
Ook Prins heeft als voorbeeld de hackers die achter de verstoring van de chat met Máxima en Willem-Alexander zaten. Zij zijn pas vorige maand ter zitting verschenen en dat heeft volgens hem veel te lang geduurd. “Tussen het delict en het bij de rechter voorkomen heeft ruim drie jaar gezeten. Daar zal de Wet Computercriminaliteit II weinig verandering in brengen. In dat opzicht zet het verzamelen van expertise bij het National High Tech Crime Center (NHTCC) veel meer zoden aan de dijk.” Minister Donner van Justitie heeft al aangegeven dat er de komende jaren een uitbreiding komt van opsporingsambtenaren met kennis van zaken. Op dit moment is er een capaciteit van zo’n 150 mensen die vooral bij de KLPD en bij de verschillende regiodiensten zitten. Ook bij het Openbaar Ministerie wordt volgens Donner extra capaciteit vrijgemaakt en alle Officieren van Justitie krijgen een algemene opfriscursus om meer bekend te raken met computercriminaliteit. Verder is er een landelijk project van de Raad van Hoofdcommissarissen onder de titel Digitaal Opsporen. Binnen dat project zijn voorstellen gedaan voor een opleidingsorganisatie die zich bezighoudt met digitaal opsporen. Die voorstellen zijn inmiddels aanvaard en vanaf 2008 zullen alle tactische rechercheurs aanvullend zijn opgeleid.
Donner wilde in wet ook een aantal dingen niet vastleggen. Volgens hem horen een aantal van de vragen van Kamerleden vooral bij de rechter thuis. Vooral de vraag hoe in de digitale wereld georganiseerde misdaad moest worden uitgelegd, ontweek Donner door dit op het bordje van de rechterlijke macht neer te leggen. Donner: “Ik denk dat dit in eerste instantie een kwestie is van de uitleg die de rechter zal moeten geven.” Volgens Arda Gerkens is het probleem daarbij dat de rechterlijke macht nog niet in digitale termen denkt en daarom misschien wel moeilijkheden heeft om hier de juiste beslissingen te nemen. Gerkens wilde ook dat de minister bedrijven zou verplichten om wanneer hun servers waren gehackt, en er mogelijk gegevens waren buitgemaakt, zowel bedrijven als consumenten te waarschuwen. Donner vindt deze mededelingsplicht niet noodzakelijk en wil dit vooral aan de bedrijven zelf overlaten. “Ik kan mij ook voorstellen dat bedrijven op dat punt onderling in de aanbieding van hun dienstverlening zullen concurreren”, aldus de minister. Gerkens gelooft niet in deze marktwerking: “Kijk naar de zaak waar de drie Nederlandse jongens zijn opgepakt. Inmiddels is wel duidelijk dat ze de over de creditcardgegevens van zowel particulieren als bedrijven beschikten. In Amerika zijn er een aantal staten die deze meldingsplicht wél in hun wetgeving hebben opgenomen. Daar zie je dat bedrijven veel serieuzer bezig zijn met het beveiligen van hun systemen. Het lijkt mij dat dit ook voor Nederland een goede zaak zou zijn. De discussie over dit onderwerp is overigens nog lang niet afgelopen. Met wat kleine wijzigingen zou het heel goed kunnen dat ik met Van Dam van de PvdA later wel een meerderheid achter onze plannen krijg.”
Over de precieze status van het NHTCC is volgens Gerkens nog te veel onduidelijkheid. “Er is nog steeds geen definitieve beslissing genomen over het voortbestaan. Officieel zou daar begin oktober duidelijkheid over moeten zijn, maar we weten het nog steeds niet. Het kan toch niet zo zijn dat een project dat dermate goede resultaten wist te behalen, straks wordt ontbonden. De kennis die nu bij elkaar zit zou dan worden verspreid over de verschillende diensten en regiokorpsen. Het is gewoon van essentieel belang dat er een overkoepelende organisatie is die zich met computercriminaliteit bezig blijft houden.”
Landsgrenzen
Volgens Prins zit het grote probleem bij de vervolging niet in de wet, maar in de jurisdictie. Het grootste gedeelte van cybercrime wordt niet vanuit Nederland opgezet. Prins: “Het wordt heel erg lastig als de daders uit Rusland komen. Als ze uit Nederland komen, wil het OM heel graag helpen. Binnen de landsgrenzen gaat dat echt heel goed en dat is zeker de verdienste van Taco Stein die onlangs afscheid heeft genomen. We hebben onderling een goed netwerk waar je met OvJ’s kan praten en waar informatie wordt uitgewisseld. Als we echter buiten de grenzen komen, is vervolging een ramp en dat is helaas niet gemakkelijk op te lossen. Wetgeving en betere contacten helpen dan gewoon weinig. Het is afwachten tot de overheid in Rusland maar ook allerlei andere landen in gaan zien dat hacken vervelend is. Diezelfde frustratie hebben we met kinderporno. Er zijn nog steeds landen waar dat niet strafbaar is!” Prins meent ook dat het daardoor moeilijk wordt de echte cybercriminelen aan te pakken. “Die drie jongens die zijn opgepakt zijn de techneuten en in feite niet de criminelen. Zij lieten zich simpelweg betalen vanuit, zeg maar het Oostblok, waar het echte geld wordt verdiend met dit soort praktijken. Het heeft ook niet zo veel zin die jongens erg lang achter de tralies te zetten. Het is veel belangrijker om hun opdrachtgevers te pakken, maar dat is een stuk lastiger.” Prins merkt tijdens het digitale recherchewerk dat cybercrime een echte criminele bedrijfstak aan het worden is. “Vroeger ging het vooral om een hackertje die ergens binnen wist te komen, maar geen idee had hoe hij dat te gelde kon maken. Nu zie je heel duidelijk de koppeling tussen de mensen die wél verstand hebben van criminele zaken met de pure techneuten. Die jongens weten ook precies hoe je geld door moet sluizen op een manier dat je het op kan nemen zonder gepakt te worden. We zien die professionalisering verder in de manier waarop bijvoorbeeld phishing wordt toegepast. Vroeger waren dat alleen maar wat gevonden mailadressen die op een vaak knullige manier werden gebruikt. Nu zie je dat er eerst een poging wordt gedaan om bij een bank naar binnen te komen om alle mailadressen van de cliënten te achterhalen. Vervolgens gaan ze heel gericht met die adressen aan de gang. Je ziet echt dat ze slimmer worden. Ik verwacht ook dat dit er in de toekomst een stuk professioneler uit gaat zien. Gelukkig zijn de Nederlandse banken in dat opzicht relatief goed beveiligd, omdat ze gebruik maken van tokens in plaats van de combinatie gebruikersnaam en wachtwoord.”
Mark Nieuwenhuizen
