“Online is de pakkans nihil”

10 het Tijdschrift voor de Politie – jg.78/nr.9/16Interview Ronald Prins

“Online is de pakkans nihil”

Wouter Jong en Marcel Bruinsma.

Ronald Prins is mede-oprichter van Fox-IT, het Delftse bedrijf dat is

gespecialiseerd in cybersecurity. Hij denkt sinds 1999 mee over de

beveiliging van staatsgeheimen, en test bedrijven op verzoek op hun

robuustheid. Hij zit op de eerste rij bij elke nieuwe ontwikkeling en ziet

welke bedreigingen er op Nederland afkomen. “Wij zijn kwetsbaar. Als

internet uitvalt, is er geen plan B.” Terwijl de bedreigingen door de

juridische complicaties niet altijd in toom kunnen worden gehouden. Iets

wat Prins grote zorgen baart.

Ronald Prins is in meerdere opzichten geen onbe-kende van de politie. Hij bracht vorig jaar drie uur in een cel met dronken Duitsers door, nadat hij met zijn drone opnamen had gemaakt van de

vuurwerkshow in Scheveningen. Maar Prins kent zijn rechten en vrijspraak volgde. Het is volgens Prins teke-nend voor het probleem van de huidige ontwikkelingen.

“De regelgeving over drones is voor een groot deel nog gebaseerd op de regelgeving voor modelvliegtuigen. De wetgever heeft moeite de ontwikkelingen bij te houden. Online zie je hetzelfde. De politie is nog erg rond delicten in het fysieke domein georganiseerd. Terwijl je online delicten op een wezenlijk andere manier moet aanpak-ken.”

“Van tijd tot tijd komen er teams en is er geld voor cybercrime. Maar dat wordt dan weer binnen de oude structuren weggezet. Team High Tech Crime is opgezet om van nieuwe typen delicten te leren en die kennis over te brengen in de eenheden. Maar je kunt je afvragen of je dat überhaupt moet doen. Volgens mij zou het beter zijn om een landelijk team te hebben, waarbij mensen ook online

met elkaar samenwerken. Zodat je niet meer langs de wijkagent hoeft om aangifte te doen, maar ook op een hoger niveau de zaken met elkaar kunt verbinden. Dat je de samenhang tussen verschillende ransomware-incidenten ziet. Ergens moet een plek zijn waar de verschillende sporen bij elkaar komen. Dat is voor de online wereld nog onvoldoende geregeld.”

“Team High Tech Crime doet binnen de grenzen wat het kan. Maar het team is ingebed in de politiecultuur. Bij de start moesten ze zich verantwoorden waarom ze niet met de standaard Fujitsu-computers uit de voeten konden. Want dat waren de computers die in de mantelovereenkomst zaten. Bij Fox-IT werkt iedereen met Macbooks. Het is het instrument waarmee je werkt. Je moet de mensen geven wat ze nodig hebben. In die zin kan de Nederlandse politie veel leren van de FBI. Die zijn een stuk losser met hun mensen. Bij hen is het kwartje allang gevallen dat online een andere dynamiek heeft, waar mensen ook anders willen werken.”

Die andere manier van werken vertaalt zich ook door naar de inzet?“Uiteraard zoeken we wel eens de grenzen op. In Neder-land is een keer een Botnet-netwerk ontmanteld. De BBC opende met de kop Dutch police use unusual tactics in botnet battle.1 Je zou denken dat de Nederlandse politie daar trots op mag zijn. Maar het eind van het liedje was dat minister Opstelten zich in de Tweede Kamer moest verant-woorden over de vraag of het wel volgens de regels was gegaan.”

Dat opzoeken van de grenzen lijkt wel kenmer-kend voor hackers.“Het zijn inderdaad die ‘unusual tactics’ die typerend zijn voor de hackersgemeenschap. In de kern is het een heel

De politie hier kan veel leren van de FBI, bij hen is het kwartje allang gevallen

11Interview Ronald Prins

creatief vak. Toen ik met NFI-collega Menno van der Marel in 1999 startte, besloten we ons bedrijf Fox-IT te noemen. Dat was een samentrekking van forensic experts en IT. Maar de vos verwijst ook naar een bepaalde sluw-heid. Altijd bezig om zijn prooi te zoeken. Dat is wat wij als hackers continu doen.”

“Mensen hebben van hackers het beeld van de nerd op zijn zolderkamer, maar het zijn bij uitstek mensen die graag willen leren en beter willen worden. Ze zoeken vanzelf andere plekken op waar ook veel hackers zitten. Er is een grote onderlinge saamhorigheid. Dat is een van de redenen dat Fox-IT een magneet voor talent is. Wij krijgen uit heel Europa open sollicitaties. Omdat we gave dingen doen en er al veel slimme mensen aan boord zijn die faam hebben in het wereldje.”

Maar formeel mogen jullie niet hacken?“Wij krijgen een vrijwaring als we in opdracht hacken. Vroeger kwam van bedrijven het verzoek om door hun beveiliging te breken. Nu is het anders en vraagt bijvoor-beeld een bank of het ons lukt om vijf miljard euro weg te sluizen. Het gaat niet per definitie om het binnendringen in een systeem en daar gegevens uit stelen. Het gaat ook om creativiteit. Lukt het om jezelf ongezien op de loonlijst van een bedrijf te plaatsen? Dat doen kwaadwillende hackers immers ook. Het vraagt om een creatieve manier van denken die verder gaat dan het old skool hacken van een technisch doosje.”

“De principes zijn hetzelfde als toen ik nog studeerde, maar binnen een vakgebied dat erg in beweging is. Recent legde de Vrije Universiteit in Amsterdam het beveiligingslek ‘Drammer’ in het werkgeheugen van Android-toestellen bloot. Het is een variant op de eerder gevonden Rowham-mer-bug. Daarbij wordt gebruik gemaakt van een volledig nieuwe techniek. Dat is baanbrekend voor het veld. Maar tegelijkertijd komt het er in de kern op neer dat een hacker altijd zoekt naar programmeerfouten. Omdat de techniek en tooling steeds in ontwikkeling is, moet je ook als verdediger bijblijven.”

“Daar ligt voor veel instanties het probleem. Omdat je als multinational wel een Digital Security Operations Center kan opzetten, maar het weinig zin heeft om daar met drie IT-ers te wachten tot je wordt aangevallen. Dit is een vak waar je continu uitgedaagd moet worden. Intern heb-ben wij hier een dergelijke meldkamer die voor honderd van onze klanten de boel in de gaten houdt. Dan gebeurt er elke dag wel wat en maak je vlieguren. Dan zie je dat bij een klant in de VS een nieuw trucje wordt gebruikt, waarna wij ontrafelen wat er precies is gebeurd. Met die kennis beveiligen we de rest.”

“Als je een museum runt, is het makkelijk. Dan houd je met een aantal camera’s de zalen in de gaten en zie je wie er met een schilderij aan de haal gaat. Maar in dit werk is het niet zo zwart-wit. Want als wij zien dat er terrabytes aan data worden gekopieerd, is dat een operator die middenin de nacht besluit om een backup te draaien, of is het een

Foto

‘s: R

oel D

ijkst

ra, J

oep

van

der P

al


hacker die met de data aan de haal gaat? Het is een weinig theoretische, vooral praktische omgeving waarin we wer-ken.”

Houd je het als directeur zelf nog bij?“Ik probeer in de lunch aan te haken bij de mensen in de control room. Om feeling te houden met het proces. Daar-naast onderhoud ik het contact met klanten, om te bespre-ken hoe technische risico’s worden vertaald naar business risico’s.“

Heeft zo’n bedrijf ook oog voor de maatschap-pelijke implicaties van een hack?“Ja, zeker in de vitale sectoren is dat besef er wel. Het probleem zit ‘m erin dat een bedrijf zich in de praktijk vooral beveiligt voor hun primaire bedrijfsproces. Voor een energiebedrijf bestaat het businessmodel uit het verkopen van energie. Als de stroom een dagje uitvalt, kost dat bij wijze van spreken een miljoen euro. Maar voor de mensen die ervan afhankelijk zijn, is de schade een veelvoud daarvan. Maar het proces wordt beveiligd voor dat mil-joen.”

“Daarom vind ik dat de overheid wel dwingender zou mogen zijn jegens die vitale partijen. Die willen zelf ook vaak wel meer investeren om veiliger te worden, op voor-waarde dat het voor alle spelers in de sector geldt. Ik vind dat de overheid nu nog te veel leunt op de afwegingen van

de private partijen zelf. Die zijn in alle eerlijkheid niet allemaal in staat om zichzelf te beschermen. Want wie had destijds met de DigiNotar-crisis kunnen bedenken dat het bijna omvallen van een bedrijfje uit Beverwijk met 55 werknemers ertoe kon leiden dat er in Nederland mogelijk geen belasting meer kon worden geïnd?”

“Wij leven in een bubbel en beseffen nauwelijks hoe afhankelijk wij van internet zijn. Hier bankiert 98 procent van de mensen online. Ter vergelijking, in Engeland is dat 40 à 50 procent. Die grote afhankelijkheid maakt ons interessant voor anderen die kwaad in de zin hebben. Er zijn buitenlandse mogendheden die op zoek zijn naar ingangen om ten tijde van een toekomstig conflict hier de stroom uit te kunnen zetten. Kun je van een energiebedrijf verlangen dat het zich tegen een buitenlandse geheime dienst kan wapenen?”

“Enerzijds zou de overheid dwingender moeten zijn richting de vitale sectoren, anderzijds zouden diensten als de AIVD ook online veel actiever moeten worden. Net zoals je op straat kijkt of er geen spionnen rondlopen die met ambtenaren van Buitenlandse Zaken contacten leg-gen, moet je dat ook op het internet doen. Dat mag nu niet. Dat merk je aan alle kanten. Zowel in het politie- als in het inlichtingendomein loopt de wetgeving hopeloos achter bij de issues die spelen.“

Als je hulp wordt ingeroepen, spoor je bedrij-ven dan aan om aangifte te doen?“In alle eerlijkheid, aangifte heeft vaak geen nut. Bedrij-ven doen het wel, als onderdeel van hun compliance. Maar meer dan een check-the-box is het vaak niet. Dat zie je ook bij het ransomware-verhaal, waar veel mensen nu last van hebben. De politie zegt tegen ouderen die alle foto’s van hun kleinkinderen kwijt zijn om vooral niet te betalen en aangifte te doen. Die mensen zitten in dubio. Als je betaalt, heb je de foto’s terug. Bij aangifte wordt de dader zeer waarschijnlijk nooit opgespoord, en schiet je er als burger weinig mee op. Veel mensen zullen dan toch betalen.”

“Verder moet je je ook niet blindstaren op de grote bedrijven. Ongeveer 80% van de mensen werkt bij het MKB. Ook daar wordt voor tonnen gestolen, vaak door buitenlandse daders. Aangifte heeft vooral nut als daders achterhaald kunnen worden en de goederen terugkomen. Dat is per definitie iets voor de fysieke wereld. Want in de online wereld is de pakkans nihil.”

“Ook het Team High Tech Crime, dat ik hoog heb zitten, loopt stuk op Russischsprekende criminelen die niet zo gauw deze kant op komen. Soms zijn de namen van de verdachten zelfs bekend. Een beruchte speler is Evgeniy Bogachev. Er staat drie miljoen dollar op zijn hoofd. Voor-alsnog woont hij in een mooi huis langs de Zwarte Zee en wordt hij door de Russische overheid met rust gelaten. Zolang je in Rusland geen strafbaar feit pleegt, is het in hun ogen prima. Er is een sterk vermoeden dat hij zijn criminele botnets ook heeft ingezet tijdens de inval in de Oekraïne en zo de overheid weer heeft geholpen. In som-


mige landen lopen criminele groepjes soepel door naar lokale diensten. Wij kunnen ons daar met onze westerse blik weinig bij voorstellen.”

Is dat onder gelijkgestemde landen beter geregeld?“Ook binnen de Europese Unie loop je tegen problemen aan. Neem iets simpels als dat je fiets in Arnhem wordt gestolen en je ziet hem terug op een Duitse Marktplaats. In Nederland is het al lastig om onder dekmantel te werken en een afspraak te maken om de fiets te bezichtigen. Laat staan als je dat over landsgrenzen heen doet.”

“Een gestolen fiets is dan nog een vrij overzichtelijk fysiek gegeven. De kern van het probleem is dat de wet-geving zich op dat fysieke richt, terwijl de fraude online gebeurt. Waar ook andere mores gelden. Na de IRT-affaire is de lat veel hoger gelegd voor uitlokking en de inzet van pseudokopers, ook als het burgers zijn. Dat werkt goed voor het fysieke domein, maar als ik online een pizza bestel, doe ik dat ook niet onder mijn eigen naam. Het is online heel gewoon om je onder een alias te begeven. Dat zou voor de politie ook veel makkelijker moeten zijn.”

Brengt de Wet Computercriminaliteit III daar verandering in? “Die wet geeft de politie de hackbevoegdheid die echt nodig is om daders te kunnen achterhalen. Nu zie je vaak dat er met digitale incidenten wel sporen zijn, maar die stoppen bij een of ander apparaat dat in het buitenland gehost wordt. Met allerlei rechtshulpverzoeken moet de politie daar dan achteraan. Tegen de tijd dat alles is ver-taald, is de server alweer offline.”

“Als je de mogelijkheid krijgt om te hacken, dan heb je een grote kans om vrij snel sporen van die dader in het fysieke domein te vinden. Dan is de server minder relevant, omdat je de zaak kunt voortzetten met het rijtje standaard-bevoegdheden in het fysieke domein. Je kunt de verdachte dan onder de tap zetten, volgen, desnoods infiltreren. Maar je hebt die eerste stap nodig om van online naar offline te kunnen gaan. Die belangrijke schakel ontbreekt vaak.”

Hoe gaan andere Westerse landen daarmee om?“De Russen hebben de Democratische partij in Amerika aangevallen. Dat liep nota bene via servers die hier in Nederland staan. Nederland krijgt dan een rechtshulp-verzoek, maakt een kopie van de server en stuurt die op naar de VS. Maar omgekeerd moeten wij ook de afweging maken wat wij willen doen als Nederlandse burgers wor-den bedreigd vanuit buitenlandse servers.”

“Stel dat hier iets speelt, waarbij een server in Chili wordt gebruikt. De echte dader zit misschien niet in Chili, maar in Venezuela, Mexico, Armenië of Amsterdam. Als je daarachter wilt komen, moet je inbreken in de computer in Chili. Wij zien dat Amerikanen wel in Nederland hacken, maar omgekeerd doen we het niet zonder rechtshulpver-zoek. Is dat principieel juist of zijn we dan Roomser dan de Paus? Als we zien dat er in Nederland geld wordt wegge-sluisd en Chili neemt de telefoon niet op, kunnen we dan zelf optreden? Zeker als zo’n server wordt gehuurd door een crimineel die er 10 euro per maand voor betaalt en de Chilenen er niet mee lastigvalt, valt er wat voor te zeggen om zelf in te grijpen. Met Nederlandse slachtoffers hebben we misschien nog wel meer rechtsgrond om op te treden dan de Chilenen zelf, maar het is juridisch een lastig domein om helemaal af te leggen.”

“Bovendien zit er ook een politieke component achter. Want als wij vinden dat we daar mogen binnentreden omdat er iets gebeurt wat wij strafbaar vinden, dan vinden China en Erdogan dat misschien ook ten aanzien van onze Nederlandse servers. Dus dan krijg je m net zo hard weer terug. Die discussie moet gevoerd worden, maar in de Tweede Kamer is het vooralsnog angstvallig stil op dit thema.”

En een verzoek aan de eigenaar van de server?“De wereld zit anders in elkaar. Soms lukt het om aan een hostingpartij te vragen de stekker eruit te trekken. Maar er zijn ook zogeheten bullet proof hosters die er hun business van hebben gemaakt iedereen met rust te laten die er zijn troep ophangt. Zelfs als je die van buitenaf zou weten plat te gooien, hebben ze de server binnen een half uur weer ergens anders draaien. Dus zo eenvoudig is dat niet.”

Dat betekent dat het internationaal vrij spel is?“Nu kan het nog niet, maar met CC3 wordt de gedachte-gang dat de Nederlandse politie mag hacken in apparaten in Nederland, en op servers waarvan de locatie niet is vast te stellen. Anders zouden er computers zijn die je nooit kunt hacken. Het gaat dan met name om de computers in het TOR-netwerk met de .onion-adressen die zich op Nederland richten. Het is een soort zeerecht dat in de loop der tijd is ontstaan. In internationale wateren geldt de wet van het land waar het schip geregistreerd staat. Je zou ook op die manier naar de jurisdictie kunnen kijken. Als een computer zijn pijlen op Nederlandse slachtoffers richt, mag je er vanuit Nederland ook onderzoek op doen.”

Zowel in het politie- als het inlichtingendomein loopt de wetgeving hopeloos achter


“Maar het is tekenend voor de juridische context, die moeite heeft de ontwikkelingen bij te houden. Vaak draaien we aan een paar kleine schroefjes, met een klein beetje nieuwe wetgeving maken we de situatie passend binnen de bestaande. Maar eigenlijk zou je opnieuw moeten beginnen en voor dit domein een heel eigen wetgeving moeten maken.”

Is dat de grootste complicatie in de bevoegdheden?“Ja, in combinatie met het attributieprobleem. Als er een incident is, weet je op voorhand niet of het een Rus, een Iraniër of een crimineel uit Nederland is. Vaak weet je pas op het eind van een onderzoek of het een spionagepoging is die in het domein van de inlichtingendiensten thuis-hoort, of dat het een criminele casus is waar de politie achteraan moet. Waarbij online bedrijfsspionage bij ons niet in het domein van de inlichtingendiensten valt, terwijl dat in veel andere landen wel zo is. Omdat die diensten de spionage ten behoeve van bedrijven uit hun eigen land zelf faciliteren.”

“Maar de kern van het probleem is dat je vooraf niet weet waar de dreiging vandaan komt en in welke context je het moet zien. Andere landen gaan daar pragmatischer mee om. Groot-Brittannië heeft een GHCQ, de Govern-ment Communications Headquarters, de centrale afluister-dienst. Het is de evenknie van de Amerikaanse NSA. GHCQ werkt voor zowel defensie als de inlichtingendien-sten als de politie. Zij zitten daar met vergelijkbare tech-neuten als wij hier in huis hebben naar incidenten te kijken. Onderweg bepalen ze waar het incident thuishoort en met welke pet op zij verder gaan, en en dus ook met welke bijbehorende bevoegdheden. Bij ons ligt dat voor-alsnog lastiger. De WIV, de Wet Inlichtingen- en Veilig-

heidsdiensten, geeft weer andere bevoegdheden dan de Politiewet.”

En vergeet ook de privacydiscussie in Nederland niet.“Soms is die discussie terecht. Ik heb een uitgesproken mening over het bewust verzwakken van cryptografie. Dat werd bijvoorbeeld geopperd toen Whatsapp de beveiliging aanscherpte. Maar ik denk dat we geen achterdeur moeten inbouwen om inlichtingendiensten toegang te geven, omdat die ook door anderen en voor andere doeleinden zal worden gebruikt. Ik vind dat we dat niet moeten willen. Wat mij betreft mag een dienst best op zoek naar een ingang om het verkeer te onderscheppen, maar dat is wat anders dan er op voorhand in voorzien.”

“Overigens wordt privacy naar mijn mening te vaak tegenover veiligheid gezet, alsof het om het één of het ander gaat.”

Maar veiligheid staat of valt toch bij privacy?“Ik denk niet dat het twee tegenpolen zijn. Onze privacy wordt om de haverklap geschonden door hackers die in onze netwerken zitten en met miljoenen gegevens uit databases aan de haal gaan. Ik denk dat het juist een taak van de overheid is om ervoor te zorgen dat dat niet meer gebeurt. Ik vind het zorgelijk dat het parlement geen duidelijke keuzes durft te maken. De WIV ligt er al drie jaar. De Wet Computercriminaliteit III ook. Door de rel rond Edward Snowden heeft de behandeling twee jaar vertraging opgelopen.”

“Er is, mede door Snowden, het idee ontstaan dat inlichtingendiensten allemaal hele enge dingen doen. Maar als je goed inzoomt op wat er is gebeurd, zie je dat het volledig conform de Amerikaanse weten regelgeving is


Het sleutelwoord is ‘waarborgen’: wie mag wanneer welk instrument inzetten?

verlopen. Het Amerikaanse congres is er steeds in betrok-ken. De gedachte dat de diensten eng zijn en dat wij ons tegen hen moeten beschermen, heeft hier de overhand gekregen. Terwijl ze er zijn om ons burgers te beschermen. Maar dan moet je ze wel de tooling geven die daarbij hoort.“

En dus toch alles in de gaten houden?“Het sleutelwoord in deze discussie is ‘waarborgen’: wie mag wanneer welke instrumenten inzetten? Dat geldt zowel voor de inlichtingendiensten als de politie. Net zoals een politieagent de systemen niet mag misbruiken om te zien waar zijn vrouw overdag uithangt en of het nieuwe vriendje van zijn dochter iets op zijn kerfstok heeft.”

“Er zit ook iets dubbels in. Als een kind wordt ontvoerd verwachten we van de politie dat ze direct weten waar die rode VW Golf met dat-en-dat kenteken rijdt. Als je wilt weten of er over de A13 een rode VW Golf rijdt, ontkom je er niet aan om al het verkeer te bekijken. Inclusief de blauwe en groene auto’s die niet aan het profiel voldoen. De techniek maakt verleidelijke dingen mogelijk.”

“Tegelijkertijd moet het geen glijdende schaal worden. Het is ontzettend makkelijk als je in ieders mobiele tele-foon kan kruipen, omdat je dan geen observatieteam meer nodig hebt en het hele onderzoek vanachter je bureau kunt draaien. Maar dan raakt de balans zoek. Er moet wel een pakkans zijn, maar die moet niet absoluut zijn. Anders krijg je een politiestaat.”

De pakkans wil iedereen toch zo hoog mogelijk?“Als je het hele snelwegennet volhangt met trajectcontro-les, wordt het een hele ongezellige samenleving. Dus ergens bereik je een kantelpunt. Maar de online pakkans mag inderdaad omhoog. Het is een simpel, criminologisch gegeven. Als de verdiensten groot zijn, het makkelijk is uit te voeren en de pakkans nihil is, dan wordt het in korte tijd heel groot. Je zult de kwetsbaarheid voor dit soort crimi-nele activiteiten moeten verkleinen.”

“In Nederland is dat gelukt met bankfraude. Op z’n top werd er 35 miljoen per jaar weggehaald bij de banken hier.

Dat is nu teruggebracht tot drie ton per jaar. De banken gingen samen de strijd aan en ontwikkelden mooie tools waarmee frauduleuze transacties werden gedetecteerd. Maar het is een waterbedeffect. In Nederland zijn ze weg, maar de daders zijn nooit gepakt. Die hebben hun werk-gebied nu verlegd naar banken in Scandinavië.”

Zou de hackbevoegdheid ook voor de politie zelf een uitkomst bieden?“Jazeker. Tijdens de gijzeling in de Joodse supermarkt in Parijs stonden het AT en de DSI klaar om naar binnen te gaan. Toen was het wel fijn dat de politie toegang had tot de camerabeelden in de supermarkt. Dat systeem kon de politie van buitenaf hacken om mee te kijken.”

“Volgens de letter van de wet zou dat hier niet mogen. In de praktijk – en de politie kennende – zal de minister in zo’n uitzonderlijk geval wel toestemming geven en denken ‘ik leg het later wel uit’, maar in de wet is het niet geregeld. Bovendien moet je je realiseren dat de bevoegdheid ook impliceert dat je het moet kunnen waarmaken. Dat er een team ontstaat dat daar structureel mee bezig is en een AT kan ondersteunen bij een instap. Het is geen cybercrime in enge zin, maar gaat dus ook over de digitale middelen die de politie kunnen helpen in hun werk.“

Waar ligt voor jou de prioriteit voor een nieuw kabinet?“Na de aanslagen in Parijs zei de Britse minister van Financiën dat het budget voor de bestrijding van cyber-crime van 3,5 miljard naar 6 miljard ging, omdat hij ervan uitging dat de volgende aanslag net zo goed digitaal kon zijn. In Nederland is er voor de komende jaren 100 of 200 miljoen gereserveerd, terwijl wij digitaal afhankelijker zijn dan de Britten.”

“Maar meer poppetjes en meer geld alleen is niet de oplossing. We gaan echt niet meer cybercrime oplossen door het team High Tech Crime te vergroten. Het gaat ook om platte dingen als de werkprocessen bij de politie. Je moet van voor naar achter door die keten kijken. Hoe doen burgers hun aangiften? Wordt dat efficiënt opgepakt? Zitten daar mensen op die de cyberwereld kennen?”

“In mijn optiek zou cybercriminaliteit net zo’n specia-lisme moeten zijn als milieudelicten of financiële fraude. Omdat het zo de haarvaten van onze samenleving raakt, vind ik ook dat cyberveiligheid het ministersniveau ont-stijgt. Er is in 2010 een regeringscommissaris voor de Deltawerken aangesteld, die dwars door alle ministeries heen mag beuken. Iets vergelijkbaars zouden we ook op cybergebied moeten ambiëren. Met eigen budget en man-daat, die vitale partners kan aansporen en bedrijven als ASML kan helpen om zich te wapenen tegen buitenlandse mogendheden die op zoek zijn naar hun intellectuele eigendom. Want dat gaat de eigen verantwoordelijkheid van het bedrijfsleven te boven. Net zoals de overheid ook kijkt of er geen Russische jachtvliegtuigen deze kant op komen, moet je ook in de gaten houden wat buitenlandse


mogendheden op internet doen. En trouwens, ook de Deltawerken zelf moeten niet ten prooi vallen aan cyberaanvallen.”

Hoe defensief of offensief mag de overheid daarbij zijn?“Om defensief te zijn heb je soms offensieve bevoegdhe-den nodig. Als er een grote DDoS-aanval is op de banken waardoor we niet kunnen pinnen, helpt het als er in de aanvallende server kan worden ingebroken en de boel kan worden uitgezet. Dat zie ik als een overheidstaak, omdat

het zo aan de fundamenten van onze samenleving komt. De overheid heeft het geweldsmonopolie. Een reactie op zo’n DDoS-aanval kun je in het verlengde daarvan zien.”

Wat zou je ten slotte aan de politie willen meegeven?“Door de politie wordt soms het excuus gebruikt dat ze de goede mensen niet kunnen krijgen, omdat die in het bedrijfsleven zitten. Dat vind ik een zwaktebod. Want zoveel lopen de salarissen niet uiteen. Het gaat naar mijn idee vooral om de cultuur die de politie in dit domein opbreekt. Je hebt creatievelingen nodig die niet te vaak ‘zo doen wij dat hier niet’ willen horen.

“Bij Fox-IT werken mensen soms door tot drie uur ’s nachts, omdat ze de ‘puzzel’ willen oplossen. Die komen de volgende dag om elf uur weer binnen. Daar moet je niet moeilijk over doen. Bij de politie heb je roos-ters en hiërarchie. Hackers gedijen het best bij zo min mogelijk sturing. ‘Er is een probleem, ga er maar naar kijken.’ Ga niet voor ze uitdenken hoe ze het moeten oplossen. Laat ze maar. Dat zou mijn advies zijn.”

“Tot slot geldt dat politie en OM de goede prioriteiten moeten stellen. Bij e-crime, waarbij geld van bankrekenin-gen wordt gestolen, zie je dat de katvangers wel worden aangehouden, maar de netwerken erachter nauwelijks worden aangepakt. Terwijl daarmee het inzicht ontstaat hoe die netwerken opereren.”

“Wij hebben Tracks Inspector ontwikkeld om tijdens een huiszoeking snel een harde schijf te kunnen scannen op digitale sporen. Dat gaat de hele wereld over, maar Neder-land wil het niet hebben. Dat zit ’m vaak op hele platte dingen als het inkoopbeleid. Iedereen moet er hier zijn zegje over doen. Het moet worden aanbesteed. In het buitenland is men beter in staat om heel snel mee te gaan in de dynamiek van online.”

“Omdat we in Nederland als samenleving al zo online georiënteerd zijn, is hier veel cybercrime. Dat is aan de ene kant bedreigend, maar er liggen daardoor ook veel mogelijkheden om kennis op te doen hoe je je daartegen kunt wapenen. Daar zou de Nederlandse politie zich veel beter op kunnen profileren. Iets vaker Dutch police uses unusual tactics zou zo gek nog niet zijn.” «Noot1 http://www.bbc.com/news/technology-11635317

Bij de politie heb je roosters en hiërarchie, maar hackers gedijen bij zo min mogelijk sturing

“Online is de pakkans nihil”

Documents

Transcript of “Online is de pakkans nihil”