Roeland van Zeijst (39) is strategisch expert bij het Team High Tech Crime van de Nationale Politie. Hij vertelt over de internationale aanpak van grote cybercrime-zaken, risico’s voor bedrijven en de ontwikkeling van de politie-unit voor high tech crime. ‘Cybercrime kun je niet in je eentje oplossen.’
Het Team High Tech Crime (THTC) van de Dienst Landelijke Recherche speelde begin november 2014 een belangrijke rol in het oprollen van de zwarte marktplaats (darkweb) Silk Road 2.0. Die criminele marktplaats werd een periode vanaf servers in Nederland gehost. De politie-unit hielp bij de identificatie van de hoofdverdachte van het netwerk die in de Verenigde Staten werd gearresteerd. ‘Bij die wereldwijde ontmanteling van een hele reeks criminele websites is nauw samengewerkt door de Amerikaanse opsporingsdienst FBI en Europese politiediensten’, legt Van Zeijst uit. Hij vertelt dat de aanpak van criminele dienstverleners voor bijvoorbeeld handel in wapens, drugs, mensenhandel of financiële delicten een belangrijk speerpunt is voor zijn organisatie. ‘Het is steeds eenvoudiger om zonder ict-kennis strafbare digitale feiten te plegen. Criminelen kunnen zonder diepgravende kennis toch hacken en crypten door op illegale marktplaatsen relatief eenvoudig aan die tools te komen. Of door mensen in te huren om het werk voor ze te doen.’
Geplande omvang
Het THTC is opgericht in 2007 en startte met dertig man. In december 2014 stroomt voorlopig de laatste groep van dertig nieuwe mensen het speciale politieteam in. Daarmee komt het aantal leden van het THTC uit op 120 man. Dat is de geplande omvang die bij de oprichting werd uitgesproken. De organisatie is vanaf 2012 stapsgewijs gegroeid. De groep bestaat voor ongeveer de helft uit mensen met een politieopleiding. De andere helft bestaat uit personen met een ict-achtergrond. ‘We richten ons nadrukkelijk op grote, geavanceerde, maatschappelijk ontwrichtende cyberzaken’, vertelt Van Zeijst. ‘Het gaat daarbij om ongeveer twintig onderzoekstrajecten per jaar. Daarnaast leveren we doorlopend ondersteuning aan buitenlandse politiediensten. Aan de arrestatie van verdachten en het oprollen van vaak internationale criminele netwerken gaat soms wel een jaar speurwerk vooraf.’
Het Team High Tech Crime (THTC) en het Nationaal Cyber Security Centrum (NCSC) worden vaak in één adem genoemd. Van Zeijst legt uit dat het om twee aparte organisaties gaat. Het NCSC valt direct onder het ministerie van Veiligheid en Justitie, terwijl THTC onderdeel is van de politie. NCSC richt zich met name op actuele informatiedeling voor de vitale sectoren om cyberincidenten te bestrijden. Het verzorgt ook voorlichting over cybersecurity, zoals de jaarlijkse campagne Alert Online, die gericht is op de bewustwording van de risico’s van internet voor burgers. ‘Het NCSC voert geen strafrechtelijke onderzoeken uit. Eigenlijk zijn zij een soort brandweer. Wij zijn gewoon de politie. THTC richt zich op de opsporing van de allergrootste cyberzaken en kan daarbij alle bijzondere middelen inzetten die de politie tot haar beschikking heeft, zoals een huiszoeking of een server in beslag nemen op zoek naar digitale sporen.’
Samenwerking sterk verbeterd
Van Zeijst wijst erop dat de samenwerking tussen de politieregio’s sterk is verbeterd. In januari 2013 zijn 26 regiokorpsen opgegaan in een nieuwe landelijke politieorganisatie. Daarbij is de afstemming bij zaken sterk verbeterd. ‘De regio’s administreren zelf de binnengekomen aangiften in hun systemen. Wij konden daar in het verleden niet altijd goed bij. Inmiddels maken we binnen Nederland gebruik van het systeem BlueView, waarmee landelijk zoekvragen kunnen worden beantwoord. Dit jaar is eveneens landelijk het recherchesysteem Summ-IT ingevoerd, waardoor we relevante informatie uit onderzoeken kunnen delen. Mede daarom is het dus niet nodig dat iedereen aangifte komt doen in Driebergen. Wij krijgen op afstand de essentiële informatie binnen.’
THTC voert bij grote zaken desgevraagd de coördinatie uit, maar krijgt ook uit de regio’s terug welke cyberzaken spelen en kan zo de landelijke trends of incidenten analyseren. Volgens Van Zeijst blijven er ook punten voor verbetering. De systemen aan de back-end kunnen nog beter gekoppeld worden. Maar hij merkt dat de kennis van ict bij de regionale eenheden, de voormalige regiokorpsen, sterk gestegen is. ‘Daar zitten ook steeds meer mensen met kennis van ict. En dat is ook nodig nu de scheiding tussen reguliere criminaliteit en cybercriminaliteit eigenlijk niet meer bestaat. Criminelen die bijvoorbeeld in wapens, drugs of mensen handelen, plegen ook steeds vaker digitale delicten en andersom.’
Van Zeijst geeft mensen of bedrijven die onverhoopt slachtoffer zijn van cybercriminaliteit als tip mee om wanneer ze aangifte doen, eerst na te vragen bij de politie of er iemand aanwezig kan zijn met kennis van cybercriminaliteit. ‘Het is nu nog niet zo dat je zomaar aangifte kan doen met de mededeling ‘ik heb een command-control server gelokaliseerd in mijn bedrijfsnetwerk’. Daar moet je nog wel uitleg bij geven. Dat hoeft niet als gedupeerden van te voren nog even vragen of er een digitaal expert aanwezig kan zijn bij de aangifte.’
Van Zeijst: ‘Bij cyberdreigingen voor bedrijven denkt men nog te vaak alleen aan DDoS-aanvallen.’ Dit zijn malafide netwerken die het dataverkeer van bedrijven of organisaties lamleggen. Volgens de digitaal rechercheur vormen die aanvallen nog steeds een bedreiging, maar zijn veel grote organisaties steeds beter in staat ze te pareren. ‘In vergelijking met 2013 lijkt de impact van DDoS-aanvallen op de samenleving iets te zijn verminderd.’
Doelgroep criminelen verschuift
Ook de doelgroep waarop criminelen zich richten verschuift. Cybercriminelen richten zich naast aanvallen op bedrijven in de financiële sector bijvoorbeeld steeds vaker op het mkb. ‘Banken en financiële instellingen hebben de beveiliging steeds beter op orde, maar bij kleinere bedrijven laat dat nog wel eens te wensen over. Daarbij is cryptoware in opkomst.’ Hierbij dringen cybercriminelen systemen binnen en versleutelen bestanden. Vervolgens vragen ze geld en zeggen ze dat de bestanden weer gedecodeerd worden als het slachtoffer heeft betaald. ‘We raden af om op die verzoeken in te gaan. Betaal nooit.’
Van Zeijst adviseert bedrijven om bovendien altijd te zorgen voor goede back-ups. ‘Het is misschien niet zo’n sexy verhaal, maar we adviseren nog steeds om back-ups te maken op externe apparatuur, die dus niet voortdurend aan de rest van je systemen hangt.’ Zo moet voorkomen worden dat criminelen op afstand, bijvoorbeeld via internet bij de gegevens kunnen.
De rechercheur kent gevallen waarbij dataverlies bijna leidde tot het faillissement van een bedrijf, maar hij wijst ook op waakzaamheid bij zaken die op het eerste oog in orde lijken. Hij ziet dat sinds de invoering van de Europese bankstandaard IBAN bedrijven soms laks zijn met het controleren van rekeningnummers. ‘Criminelen wijzigen bijvoorbeeld de banknummers in het adresboekje van de online bankieromgeving en sluizen zo geld door naar hun eigen rekeningen. Maar het gebeurt ook dat e-mailservers worden gehackt. Uitgaande facturen worden onderschept, het bankrekeningnummer wordt veranderd in dat van de criminele organisatie en de aangepaste factuur gaat naar de klant. Die betaalt de rekening maar heeft niet door dat het geld wordt overgemaakt naar de rekening van de criminelen. We hadden een paar dagen geleden nog een grote zaak met nepincasso’s. Bedrijven kregen via e-mail een brief van een deurwaarder. Daarin zat een Word-file, maar feitelijk ging het om een als .doc-bestand vermomd script. Gebruikers die het bestand openden, gaven zonder dat ze het door hadden criminelen toegang tot hun systemen.’
Pop-up webshops
Andere veelvoorkomende cyberzaken die Van Zeijst noemt zijn pop-up webshops. Vooral in het weekend is het vaak raak. Cybercriminelen bouwen sites van leveranciers na, inclusief de bestelpagina. Nietsvermoedende gebruikers schaffen vervolgens online producten aan die ze nooit zullen ontvangen omdat het om een schaduwwebsite gaat. Vaak zijn de sites maar een paar dagen online, maar die periode is meestal al genoeg om een fors aantal slachtoffers te maken en geld of creditcardgegevens te verzamelen. ‘Zoek daarom als koper altijd naar een webwinkel-keurmerk en controleer vervolgens ook weer of dat wel klopt, via de site van het keurmerk zelf’, tipt Van Zeijst.
Het valt hem ook steeds vaker op dat criminelen het op een bepaalde sector gemunt hebben. ‘Ze richten zich op bepaalde groepen. Misschien doordat ze een handige spamlijst ergens vandaan hebben gestolen, maar het kan ook bewust zijn. Onlangs zagen we bijvoorbeeld een aantal aanvallen op organisaties in de autobranche. Het is ons nog niet duidelijk of de criminelen het gemunt hadden op auto-onderdelen of dat zij die doelgroep aanvielen omdat ze dachten dat de potentiële slachtoffers meer kennis hebben van auto’s dan van ict.’
De methode van opsporing van cybercrime is de laatste jaren ook aangepast, vertelt Van Zeijst. Eerder moesten bij slachtoffers servers uit het rek worden gehaald om deze bij de politie te laten onderzoeken. Omdat op die servers vaak ook klantdata staan, betekende zo’n onderzoek nogal eens dat een bedrijf bij een besmetting de diensten tijdelijk moest staken omdat het geen toegang had tot de eigen server. Nu organisaties voor hun bedrijfsmodel steeds meer afhankelijk worden van internet wordt apparatuur steeds vaker ter plaatse onderzocht zodat niet de hele server en dus klantendatabase uit de lucht wordt gehaald.
Van Zeijst: ‘We proberen zo vriendelijk mogelijk te zijn, maar wanneer je bijvoorbeeld als hostingbedrijf een criminele klant hebt waarvan wij de website komen neerhalen, dan moet dat wel snel en hangt het van je eigen ict-inrichting af of dat ook zonder neveneffecten kan.’ Het eerste onderzoek aan apparatuur vindt plaats in het datacenter. Dat betekent dat er bij de actie altijd ict’ers meegaan. ‘We doen zoekingen gezamenlijk en mogen bijvoorbeeld ook allemaal proces-verbaal opmaken. Ook als er een cybercrimineel gearresteerd moet worden, werken de mensen met een politieachtergrond en digitaal rechercheurs nauw samen. Daarbij is de verdeling dat de mensen met een politieachtergrond, naast natuurlijk hun eventuele geweldsmiddelen, de meeste kennis hebben van strafvordering, zoals tapverzoeken, arrestatiebevelen en bewijslast. De mensen met een ict-achtergrond zijn hierin ook wel getraind, maar leveren specifieke technische kennis. Bijvoorbeeld om de apparatuur veilig te stellen of om te zorgen voor kopieën van bestanden die rechtsgeldig zijn in een strafproces.’
Kennisniveau hoger
Van Zeijst merkt dat bij jongere politiecollega’s, die zijn opgegroeid in het digitale tijdperk, het kennisniveau van digitalisering hoger is. Hij verwacht dat de opleiding in de toekomst beter zal aansluiten op de groeiende vraag naar opsporing van digitale criminaliteit.
De komende jaren richt het Team High Tech Crime zich onder meer op verdere versterking van de samenwerking in Europees en internationaal verband. Hiertoe zullen diverse medewerkers worden gestationeerd op strategische locaties wereldwijd. Ook de banden met de private sector zullen verder worden aangehaald. Van Zeijst: ‘We hebben al een uitgebreid samenwerkingsverband met Nederlandse grote banken, maar zien uit naar manieren om vanuit de politie meer te doen voor bijvoorbeeld het mkb. Zo wordt in Europees verband gewerkt aan structuren om slachtoffers van cybercrime beter te informeren.’
Hij wijst erop dat ondernemers in het mkb vaak helemaal niet doorhebben dat het netwerk besmet is en welke risico’s men daardoor loopt. ‘Met gerichte voorlichting aan slachtoffers zou je meer schade kunnen voorkomen. We willen samen met andere landen kijken hoe we daarin beter kunnen optrekken met bijvoorbeeld internetproviders.’
Binnen de Nederlandse politie zal de volgende groeispurt er vooral één zijn bij de regionale eenheden. ‘Net als voor het Team High Tech Crime zijn er nu ook op regionaal niveau prestatie-indicatoren vastgesteld voor het onderwerp cybercrime’, aldus Van Zeijst. ‘Dat klinkt saai en beleidsmatig, maar het is heel praktisch: de komende jaren kunnen er steeds meer grote en kleine cybercrime-onderzoeken gedraaid worden in Nederland.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 1 van januari 2015.
Tips
– Doe plaatselijk aangifte en vraag vooraf of er een digitaal expert bij aanwezig kan zijn. Hoewel de aangifte in de eigen woon- of vestigingsplaats wordt gedaan, komt de informatie zo nodig vanzelf bij het THTC terecht.
– Bij veel vormen van cybercrime is opsporing lastiger naarmate het feit langer geleden is. Wacht dus niet te lang met aangifte doen en verzamel zoveel mogelijk dadersporen.
– Maak zeer regelmatig goede back-ups op dragers die daarna worden losgekoppeld. Voor het mkb is het regelmatig wegschrijven van zakelijke documenten op een niet-wisbare dvd mogelijk een eenvoudig alternatief.
– Gebruik altijd de meest recente softwareversies. Dit geldt ook voor mobiele devices, zoals Android-apparaten. Windows XP moet inmiddels echt vervangen zijn.
– Controleer voor het doen van een overschrijving altijd het bankrekeningnummer, dit kan gemanipuleerd zijn.
– Wees scherp op autorisaties en netwerkverbindingen, probeer te denken als een crimineel. Hoe kan die het makkelijkst belangrijke rechten verkrijgen?
– Maak met de provider afspraken over de logging die wordt gevoerd, onder meer om snel een eventuele DDoS op te kunnen sporen. Dit moet vooraf zijn ingeregeld.
Wie is Roeland van Zeijst
Roeland van Zeijst is sinds 2012 strategisch expert bij het Team High Tech Crime van de politie. Daarnaast is hij oprichter van softwareontwikkelaar Clicklab en eigenaar van mediaproductiebedrijf Headjob. Hij studeerde hogere informatica en kunstmatige intelligentie en werkte als innovatie-onderzoeker voor het politiekorps Amsterdam-Amstelland. Daar ontwikkelde hij ict-systemen voor betere interactie met burgers.
Cybercrime wordt inderdaad een steeds groter probleem, naarmate we meer online gaan leven. Goed artikel en ik ben benieuwd welke ontwikkelingen er de komende jaren zullen plaatsvinden op het gebied van cybercrime.