Sinds 1 juni 2015 is de strafmaat voor cyber-criminaliteit in Nederland verhoogd, in navolging van een Europese richtlijn voor aanvallen op informatiesystemen. Helaas is die niet erg afschrikwekkend met straffen van maximaal 2 tot 5 jaar, afhankelijk van het delict, en een uiterst beperkte pakkans. Ik zie veel meer heil in wetgeving die het hacken van cyber-criminelen mogelijk maakt en een digitaal aangifteloket.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Eerder dit jaar bleek uit onderzoek van RTL dat één op de vijf aangiftes bij de Nederlandse politie niet nader wordt onderzocht, en dat slechts 37 procent van alle aangiftes (134.000) door de politie wordt opgehelderd. Digitale criminaliteit is hier slechts een klein onderdeel van, wat de pakkans zeer minimaal maakt. De afschrikwekkende werking van hogere straffen is daarom ook uiterst beperkt, en ze lossen bovendien het probleem niet op. Na het zomerreces wordt er echter een wetsvoorstel ingediend dat de opsporing en vervolging van computercriminaliteit moet gaan verbeteren. Dat is een goed begin, maar volgens mij moeten we er voor waken dat ons land niet verandert in een controlestaat.
Ontmasker digitale identiteit
Het grote probleem bij het aanpakken van cybercrime is dat het heel makkelijk is om anoniem te zijn op internet. De politie heeft nauwelijks bevoegdheden om die anonimiteit te doorbreken en staat daarom met zijn handen op de rug. De nieuwe Wet Computercriminaliteit III moet daar verandering in brengen en de politie in staat stellen om verdachten te hacken. Dit is vaak de enige manier om hun echte identiteit te achterhalen en tot juridische vervolging te komen. Ik ben daar altijd een groot voorstander van geweest. Zo was Fox-IT al in 2011 betrokken bij een zaak rond het Bredolabs-botnet, waar we er in slaagden de Armenische dader te ontmaskeren. Dit was alleen mogelijk doordat wij hebben ingebroken op zijn hackersinfrastructuur. Naar aanleiding daarvan is het balletje gaan rollen, omdat de politie die bevoegdheid echt expliciet nodig heeft om tot een strafvordering te komen.
Hellend vlak van surveillance
Er kleeft helaas een groot risico aan het verruimen van de bevoegdheden van de politie. Ik vind dat hacken van verdachten toegestaan moet zijn totdat hun identiteit is achterhaald. Daarna zou een rechter moeten bepalen of verdere surveillance geoorloofd is. In de praktijk blijkt echter dat deze bevoegdheden vaak worden misbruikt voor allerlei niet-digitale zaken, zoals drugsdelicten die niets met cybercrime te maken hebben. Door het brede karakter van het wetsvoorstel zou de politie het bijvoorbeeld kunnen gebruiken om in te breken op de telefoon van een drugsdealer om zo zijn versleutelde Whatsapp-berichten te kunnen lezen. Er zitten weliswaar allerlei controlemiddelen in het wetsvoorstel, maar in de praktijk is gebleken dat dit niet werkt. Als de politie een nieuw opsporingsmiddel heeft om boeven te vangen, dan is het heel verleidelijk om dit zoveel mogelijk te gebruiken, ongeacht de context. Je zou het gebruik van hacking daarom moeten beperken tot bijvoorbeeld 50 keer per jaar, zodat het niet ongemerkt een surveillance-tool wordt. Dat houdt de overheid in balans.
Nationaal cybercrime aangifteloket
In Nederland is er veel kennis opgebouwd over de bestrijding van cybercrime. We hebben bijvoorbeeld in Driebergen het Team High Tech Crime, echt een superteam dat grote cybercrime-zaken aanpakt. Maar voor reguliere aangiften blijkt de keten nog niet goed te werken. Zowel binnen ons land als internationaal gaat het mis. Zelfs als een Nederlandse hacker een Nederlands slachtoffer maakt, dan nog wil het soms nog niet lukken om van een aangifte tot een onderzoek en aanhouding te komen. Ik denk daarom dat we een soort landelijk cybercrime-loket nodig hebben. Een plek waar slachtoffers van een Marktplaats-fraude tot iemand met ransomware op zijn computer, op centrale plekken of via Skype aangifte kunnen doen. Dat is veel beter dan dit soort digitale kwesties over te laten aan lokale wijkbureaus, die soms niet eens weten wat een sd-kaart is. Met zo’n centraal punt hoef je niet allemaal wijkagenten op te leiden en kun je de pakkans van cyber-criminaliteit drastisch vergroten.
Het inperken van bevoegdheden kan een hellend vlak zijn maar besef wel dat criminelen geen enkele beperking hebben. Het voorbeeld geeft al aan dat criminelen op meerdere terreinen actief zijn, drugshandel, witwassen cybercrime etc. Het middel mag best veel effectiever worden toegepast.