Bij acht van de tien grote cyberaanvallen die de wereld teisteren, is een Nederlandse server betrokken. Omdat deze computercapaciteit meestal via resellers worden gehuurd uit landen waarmee Nederland geen of een heel slechte rechtshulp-relatie heeft, kan de politie lastig bij criminele klanten komen.
Esther Baars, landelijk officier high tech crime, noemt de wetgeving die effectief ingrijpen bemoeilijkt, ‘werkelijk idioot’. In een interview met Opportuun, een blad van het Openbaar Ministerie, uit ze volop haar frustraties.
Rottigheid
Ze ergert zich eraan dat aan landen die niet of nauwelijks meewerken, verzoeken om rechtshulp moeten worden gedaan om verdachte klanten op te sporen. Dat is raar want de gegevens van resellers staan in Nederland. Hetzelfde geldt voor de doorverhuurde server waar de rottigheid op staat, aldus Baars, die vaststelt dat het plaats delict dus ook gewoon Nederland is.
Baars: ‘Die boef zit weliswaar in het buitenland op zijn muis te klikken, maar híer staat de kinderporno. Híer wordt de ransomware gepusht naar computers van slachtoffers. Híer staat de gestolen informatie van bedrijven.’
Nederlandse server
Ze wijst in dit verband ook op grote cyberaanvallen zoals op het Amerikaanse Colonial Pipeline dat vorig jaar slachtoffer werd ransomware. Daardoor kon er geen benzine meer worden vervoerd in Amerika, terwijl fabrieken stillagen. Baars: ‘Dan moet je niet gek opkijken als daar een Nederlandse server bij betrokken is. Ddos aanvallen: óók vaak via Nederland.’
Volgens de landelijk officier high tech crime weten de datacenter-eigenaren en hun resellers precies waar de politie moet zijn. ‘Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.’
Kluis openmaken
De politie moet zich in alle bochten wringen om aan de benodigde informatie te komen en het misdrijf te stoppen. Dit geldt met name als de reseller in Rusland, de Seychellen of de Verenigde Arabische Emiraten zit. Baars: ‘En terwijl die reseller en die klant die rottigheid zit uit te halen, overal en nergens zitten, staat de doorverhuurde server waar de rottigheid op staat gewoon in Nederland. Kijk, als ergens in Nederland een wapen in een kluis ligt, gaan we ook niet zeggen: ‘de sleutel ligt hier ver vandaan dus dan doen we maar niks’. Dan willen we ook dat de eigenaar van het gebouw ervoor zorgt dat de kluis open gaat. Dat moet als er een reseller tussen zit niet anders zijn.’
De mogelijkheden die het team high tech crime heeft, hangen sterk af van de technische configuratie. Als de server ‘dedicated’ is ingericht, kan de politie met een bevel van de officier van justitie een kopie van die server maken. Lastig wordt het als de computer als een virtuele private server is ingericht. Dan kan het kopiëren schade veroorzaken voor andere klanten die wel bona fide zijn.
Tsja, eerst dat lastige internet met z’n open connectiviteit en gedecentraliseerde kenmerken en toen virtualisatie. Maar het is dus helemaal niet te vergelijken met een kluis waar een wapen in ligt en die open moet, maar net een stukje complexer. Erg high-tech komt deze dame niet op me over, eerlijk gezegd. Praten over servers is eigenlijk ook al weer achterhaald en ook malware draait vast al gewoon als gedistribueerde microservices. Wat wil de politie dan gaan kopiëren of in beslag nemen? Complete hyperscale datacenters in Nederland omdat er een paar seconden een service draait van een “bad actor”? En de reseller weet ook niet wanneer wat waar draait, dat wordt door AI geoptimaliseerd. Ik zou de rechtstaat niet verder gaan uithollen op grond van dit gejammer.
@Fred, wat zie je als oplossing voor het Catch-22-achtig dilemma?
Dat Esther Baars, landelijk officier high tech crime is en geen techneut, mag geen probleem zijn. Ze werkt met high tech techneuten. Zij is voor de juridische kant en weet daar meer dan voldoende vanaf. Het gaat om de bewijslast, de betrouwbaarheid daarvan en de rechtmatigheid van het bewijs. Vooral dat laatste is een probleem. Voor de wet hoeft een verdachte niet mee te werken aan een onderzoek tegen zichzelf, maar dat geldt niet voor derden. Veel IT-dienstverleners verwijzen naar elkaar als het om opsporing gaat. Degene die zou kunnen helpen is “toevallig” niet bereikbaar. Sommige IT-dienstverleners zorgen ervoor dat strafrechtelijke interventies te veel schade kan veroorzaken aan de belangen van onschuldige derden, zodat strafrechtelijke interventie niet (of niet op tijd) plaatsvindt. Door boerenslimmigheidjes lijdt onze industrie, onze klanten en veel burgers en bedrijven onnodig veel schade.
@Jaap: dat een paar rotte appels de hostingsector in Nederland in een kwaad daglicht zetten is waar en kwalijk. De lijst met zo’n 70 verdachte buitenlandse hosters/resellers die de politie in februari dit jaar verspreidde wordt door een enkele partij hier in Nederland genegeerd, blijkbaar. Als we de wet gaan aanscherpen verdwijnen ze misschien eindelijk naar het buitenland, maar dat lost het probleem natuurlijk niet op.
In India is de eerste VPN-aanbieder nu vertrokken omdat de regering daar sinds mei verplicht stelt dat VPN-aanbieders 5 jaar lang loggegevens vastleggen (om cybercrime te kunnen bestrijden). Gaan we straks in Nederland ook die kant op, omdat het “idioot is” om anoniem te mogen browsen via een VPN en RAM-only VPN-servers dus per definitie voor criminele activiteiten zijn bedoeld? De Dutch Cloud Community onderkent het probleem van de foute hosters en is er volgens mij druk mee bezig. Helemaal wegkrijgen zal niet lukken, maar niemand zit op kreten als “idiote wetgeving” van een waarschijnlijk goed geschoolde jurist te wachten, als voorportaal op nog meer uithollen van een open en vrij toegankelijk internet voor iedereen…met ook altijd een keerzijde, ja.
@Fred, ik denk niet dat het de bedoeling is om ISP’s als onbezoldigde bijzondere opsporingsinstanties in te gaan zetten. Aan de andere kant gaat het om serieus geld voor de criminelen en veel ellende, waar we niet naïef over moeten doen en waar we als maatschappij antwoorden op moeten verzinnen. Er zijn te veel negatieve (kanten van) ontwikkelingen waar we te laat op hebben gereageerd. De ontwikkeling van vrijplaatsen voor internetcriminelen past niet bij wat in de jaren negentig gezien werd als geglobaliseerde vrije communicatie voor iedereen, waar niemand de baas over is. Voor sommige staten is cybercriminaliteit door statelijke actoren zelfs een onderdeel van de begroting, een verdienmodel. Esther Baars kan over dit knelpunt wel een rechtsfilosofische verhandeling schrijven, e.e.a. publiceren in bijvoorbeeld het Tijdschrift voor Internetrecht en dan hopen dat wetgever de kwestie voldoende hoog op de agenda zet. Maar ik denk dat het noemen van “idiote wetgeving” via de media eerder aandacht trekt bij de wetgever. Dan kunnen gedachtes over dit onderwerp bij m.n. het bedrijfsleven, het OM, het Min. van Justitie en rechtenfaculteiten uitgewisseld worden om tot betere wetgeving te komen en betere benutting van de wetgeving. Spoed- en noodwetgeving rammelt meestal.
Misschien wel goed om eerst het oorspronkelijke interview-artikel te lezen: https://magazines.openbaarministerie.nl/opportuun/2022/03/esther-baars en daar zie je dat er meer speelt en er goed wordt samengewerkt, niet alleen binnen het OM en internationaal op Tech Crime gebied, maar ook met het bedrijfsleven. Esther heeft in 2021 overigens nog een paar inleidende vakken (informatica en informatiekunde) van de bachelor Informatica van de Open Universiteit afgerond met het cijfer 8, volgens haar LInkedIn-profiel. “Iedereen die rechten heeft gestudeerd en een open mind heeft kan dit leren”, zegt ze in het interview. Tijd om in 2022 eens een cursus bij ISOC te gaan volgen, lijkt me, bijvoorbeeld de Internet Way of Networking: https://www.internetsociety.org/learning/iwn/
Dank voor de link naar het orginele artikel Fred, de redactie heeft er tendentieus artikel van gemaakt. Control-F leert dat er alleen naar Rusland of andere landen gewezen wordt omdat we met sommige landen geen of een slechte rechtshulprelatie hebben. Dat is dus wat anders dan de titel doet vermoeden, Nederlandse criminelen kunnen tenslotte ook gebruik maken van een buitenlandse reseller die in de metafoor uiteindelijk alleen maar de leverancier van het wapen is. Wat er uiteindelijk met het wapen gedaan wordt is niet de zorg van de verkoper maar mevrouw de crimefighter denkt daar anders over. VPN, TOR en proxy’s zijn een legale manier om je gegevens te verhullen en misschien maar goed ook want alleen al het feit dat je een non-US inwoner bent is vaak al voldoende om je verdacht te maken. Het lijkt me dus logisch dat er gericht rechtshulpverzoeken gedaan moeten worden die door een rechter beoordeeld worden op rechtmatigheid en proportionaliteit. Zoiets kun je idioot noemen maar een datagedreven aanpak lijkt niet het startpunt van aangifte te hebben waardoor het een soort van ‘hengelen’ wordt. Het pioneren mist dan ook nog één letter, het is vooral spioneren en het lijkt me raadzaam om daarin terughoudend te zijn.
@Fred, het originele artikel in het OM lijfblad had ik gelezen. Het was meer dan een oprisping van een LOvJ. Er wordt al lange tijd druk op politie en justitie uitgeoefend omdat buitenlandse criminelen en – actoren onze mooie ICT infrastructuur steeds meer als cybercrime speeltuin zijn gaan gebruiken. Die druk komt ook vanuit landen waarmee we goede rechtshulprelaties hebben. Esther Baars is er nu in geslaagd om in vele bladen geciteerd te worden, mede met hulp van de ICT-sector, die ook met deze kwestie in de maag zit. Zo is er veel reuring ontstaan en komt het aapje wellicht weer op de schouder van de politiek. Immers de politiek als opdrachtgever moet er voor zorgen dat er voldoende middelen zijn voor het uitvoeren van hun opdracht. Als de opdracht voor het OM niet teruggenomen wordt (en dat gaat nooit gebeuren), dan zou het OM eigenlijk meer mogelijkheden moeten krijgen, anders krijg je de zoveelste gedoogsituatie. Op dat laatste zit de regering niet te wachten, want Nederland draaischijfland heeft al een slechte naam in het buitenland op het gebied van de aanpak van criminaliteit.
Het is aan de politiek om de balans te bepalen tussen de verschillende rechten vanuit de nationale en internationale wetgeving voor participanten, de verdragen en de dreigingen voor onvrijwillige participanten. Dat lijkt me niet gemakkelijk. Maar tegen eigenaren van de ICT-systemen wereldwijd moeten zeggen: pas maar extra goed op je zaakje, want we mogen slimme cyberboeven hier niet vangen, dat is ook geen leuke boodschap.
Wat ze bij het OM dachten te kunnen gaan doen, is te zien in een oude vacature https://securitytalent.nl/nl/vacatures/officier-van-justitie-hightech-cybercrime.