Interview. Nederland loopt voorop in de bestrijding van cybercrime. 10 Blauw Opsporing 5 november 2011 nummer 21

Transcriptie

1 Nederland loopt voorop in de bestrijding van cybercrime 10 Blauw Opsporing 5 november 2011 nummer 21

2 Tekst: Erik van der Veen Foto s: Josje Deekens De politie moet ook kunnen hacken Ronald Prins (42) is mededirecteur van Fox-IT. Dit bedrijf levert wereldwijd bijzondere security en intelligence oplossingen voor overheden en organisaties. De kernactiviteiten zijn het beschermen van staatsgeheimen en het uitvoeren van digitale rechercheonderzoeken. Prins pleit voor een meer daadkrachtige aanpak van cybercrime. We zijn al zo vaak door het oog van de naald gekropen. In 94 trad u in dienst van het Gerechtelijk Laboratorium, voorloper van het NFI, op de afdeling Computeronderzoek. Hoe kwam u daar terecht? Ik speelde al heel lang met computers, maar tijdens mijn studie Wiskunde kwam echt de fascinatie voor de beveiliging van computers naar boven. De ultieme beveiliging is gebaseerd op cryptografie en daarom ben ik binnen mijn studie die kant op gegaan. Toen de afdeling Digitale Techniek werd opgestart, ben ik op bezoek gegaan en mocht blijven. Al vrij snel onderzocht ik zaken waar nog nooit iemand naar had gekeken. En ik haalde daar leuke resultaten uit. Wat voor zaken waren dat? Bijvoorbeeld onderzoeken naar Etienne Urka en naar kinderporno. Maar ook naar de ETA, op verzoek van de Guardia Civil. Ik kraakte dan de communicatie en dataopslag. Die beveiligde informatie legde ik bloot. Dat lukte best vaak. We tapten ook internetverkeer af. Raar dat het bij het Gerechtelijk Laboratorium gebeurde, maar verder was nergens de expertise. We waren pioniers op dat gebied. Vervolgens stapte u over naar de AIVD. Wat deed u daar? Ik werkte krap een jaar bij de Directie Bijzondere Inlichtingen en Middelen. Wat ik precies deed, laat ik graag in het midden. Het was moeilijk opereren. Ik had heel veel ideeën en wilde innovatieve technieken inzetten, maar de cultuur was er nog niet helemaal naar. En daarnaast: de teams hadden veel behoefte aan mijn kennis, maar de juridische bevoegdheden waren erg belemmerend. Ik vond het legitiem dingen te doen, die later werden afgekeurd. Bijvoorbeeld inbreken in computers. Dat mocht toen nog niet. Met de nieuwe Wet op de Inlichtingendiensten uit 2002 is dat wel geregeld. Ik ben nooit over de rand gegaan, maar ik voelde me in mijn vrijheid beknot. En dat was het begin van Fox-IT? Ja, een oud-collega bij het gerechtelijk lab en ik besloten voor onszelf te beginnen. We leveren recherchediensten, dus forensisch onderzoek, en daarnaast bouwen we beveiliging. We hadden gezien hoe makkelijk je digitale beveiligingen kon doorbreken. En we wisten natuurlijk hoe we dat wel veilig konden krijgen. Die kennis wilden we eigenlijk aan het bedrijfsleven aanbieden, maar onze eerste grote klant was de politie. De toenmalige kernteams wilden bijvoorbeeld veilig werken. Ze maakten liever gebruik van onze kennis dan van de VtSPN. Jullie werken niet exclusief voor de politie. Sterker nog, ook bedrijven die wellicht willen voorkomen dat bepaalde informatie uitlekt, kunnen een beroep op jullie doen. Hoe houden jullie het zuiver? Soms ontstaat een dilemma. We hebben bijvoorbeeld gewerkt voor de NMA, maar ook voor bedrijven die aangeven dat ze willen voorkomen dat de NMA van alles vindt bij Blauw Opsporing 5 november 2011 nummer 21 11

3 een inval. Maar met een klant die duidelijk probeert zich te verstoppen voor de overheid, gaan we niet in zee. Aan de andere kant: als een verdachte het forensisch onderzoek door het NFI niet vertrouwt en om contraonderzoek vraagt, dan sta ik rustig tegenover mijn vrienden van het NFI. Want wij doen objectief onderzoek, net als zij. Wat is de doelstelling van Fox-IT? We willen de maatschappij veiliger maken. Als het specifiek om internet gaat, is ons streven dat mensen zonder angst kunnen genieten van een open en vrij internet. We lopen zeker niet aan de leiband van de overheden. We willen vooral bezig zijn met innovatie. Bijvoorbeeld op gebied van het detecteren van spionage. Dergelijke software is heel hard nodig. We willen voorop blijven lopen. In Nederland vond heel snel een enorm hoge internetpenetratie plaats. Maar dat heeft ook allerlei ellende aangetrokken en Nederland wordt nu ook als eerste daarmee geconfronteerd. Toen het NFI in 94 begon met die digitale afdeling was het de eerste in de wereld. En nog altijd loopt Nederland voorop in de bestrijding van cybercrime. Maar er werken hier ook voormalig hackers. Hoe rijmt dat? Iedereen verdient een tweede kans. Maar we schiften wel. We hebben hier een hacker zitten die ervoor heeft gezorgd dat hij bovenaan de lijst van woningzoekenden in zijn woonplaats kwam te staan. Dat vind ik nog wel ludiek. Maar ga je trots zeggen dat je voor je vorige werkgever bij de concurrent in het systeem bent geweest, dan heb je een rode vlag. Het gaat erom dat je ethisch besef hebt. Dat is een gevoelskwestie. En daarna worden onze medewerkers natuurlijk door allerlei overheidsinstanties beoordeeld. Onze hele cultuur is zo dat het wordt gemeld als iemand rare dingen doet. Een goede sociale controle is uiteindelijk een van de beste waarborgen. In een ander medium zei u: Wij zijn slagvaardiger en creatiever dan de politie. Uiteindelijk moet de politie doen wat wij nu doen. Wat bedoelt u daarmee? Het is voor de politie heel moeilijk om onder een alias online te gaan. Dat moet keurig via werken onder dekmantel en allerlei commissies. Maar werken wij bijvoorbeeld voor een bank, dan zitten wij gewoon onder een schuilnaam op hackerfora. Om te kijken wat zich daar afspeelt. Dat kan niemand ons verbieden. Zo kunnen we heel slagvaardig zijn. En komt er opsporingsinformatie uit, dan kan die rustig naar de politie. Zolang we maar niet gestuurd worden. Ik vind wel dat de politie ook moet kunnen hacken. Anders loop je vast in de digitale wereld. Soms kun je alleen achter iemands identiteit komen door in te breken op zijn computer of te infiltreren. Het verschil zit er ook in dat de politie uiteindelijk op zoek gaat naar de dader die voor een rechtbank veroordeeld moet worden. Dat is niet per se ons doel. Maar wie de berichtgeving van de laatste tijd volgt, denkt dat het een grote gatenkaas is. Ja, dat is het ook. Doordat Nederland voorop loopt, merk je hier ook als eerste dat het een gatenkaas is. In de rest van de wereld zijn die gaten er ook. Maar hier merken we het eerder, omdat iedere gemeente online is en veel diensten ook digitaal worden afgehandeld. Wij zijn heel snel geweest met het uitrollen van functioneel gebruik van internet, maar de beveiliging hobbelt erachteraan. Uw medewerkers komen in aanraking met uiterst gevoelige informatie, ondermeer van de politie. Hoe waarborgt u de vertrouwelijkheid? Ik denk dat het beveiligingsregime hier veel zwaarder is dan bij de politie. Zowel bij de politie als hier kun je foute mensen hebben. Maar wij zijn zo n specifiek beveiligingsbedrijf, dat iedereen er veel meer van doordrongen is hoe je daarmee moet omgaan. Je kunt hier niet zomaar even door het gebouw lopen. We zijn ons er goed van bewust dat we de tent kunnen sluiten als we een blunder maken. 12 Blauw Opsporing 5 november 2011 nummer 21

4 Wij willen weten welke bank volgende week wordt aangevallen, zodat we de hackers voor kunnen zijn. Met dat hacken komt wel de privacy in gevaar. Ja, dus het zou alleen moeten mogen als het proportioneel en subsidiair is. Soms weet je niet eens wie je verdachte is. Dan moet je wel hacken om een spoor naar de dader te vinden. Uiteindelijk is deze ontwikkeling niet te stoppen. Maar dan moet wel netjes en bijna letterlijk worden uitgeschreven in welke zaken het geoorloofd is. Het moet niet zo zijn dat de politie bij elke verdachte op afstand in zijn computer kan kijken. Het is belangrijk dat mensen niet angstig worden de digitale middelen te gebruiken omdat dat zo n pretpark is voor de politie. Aan de andere kant worden regelmatig overheidssites gehackt. Wat doet dat met het vertrouwen? Dat is heel ernstig, maar je kunt ook blij zijn dat het een goede wake up call is. Het dilemma is dat veiligheid op computers geld kost en privacyinbreuken met zich meebrengt. Maar ik heb liever dat de Nederlandse overheid meekijkt dan de Iraanse. Juist om onze privacy te waarborgen, is het van belang dat de overheid iets meer armslag krijgt op internet. Is het überhaupt wel mogelijk internetsites waterdicht te maken? De lat kan nog veel hoger, maar goede beveiliging is duur en vergt aandacht. De overheid heeft veel vertrouwen in leveranciers. Bovendien kan de overheid in het huidige systeem met Europese aanbestedingen niet de beste beveiliging kopen. Want je kiest in dat systeem de meest economische oplossing. Hoe is deze tendens om te buigen? Er moet een economische prikkel komen, waardoor er wél geïnvesteerd wordt in beveiliging. Je mag best wat verantwoordelijkheid leggen bij de bedrijven of overheid zelf. Ik stel voor dat zij boetes krijgen, als blijkt dat ze hebben gefaald. Stel: het adressenbestand met vijfhonderdduizend adressen en rekeningnummers van een uitgeverij wordt gehackt. Dan zou je bijvoorbeeld vijfhonderdduizend maal twee euro moeten aftikken als boete. Zo komt die prikkel er wel. De bestrijding van digitale criminaliteit schiet te kort op dit moment. De awareness is goed vanwege alle mediaaandacht, maar op de werkelijk kritische plekken moeten we constructiever met elkaar nadenken over hoe het in te richten. Van mij mag het zover gaan dat de overheid in vitale omgevingen een minimaal beveiligingsbeleid voorschrijft en sancties kan uitdelen. Waarbij de overheid dus dwingende maatregelen oplegt? Ja, of hulp biedt. Neem bijvoorbeeld spionage, dat is een groot risico. Kun je van een bedrijf verlangen dat het in staat is een buitenlandse inlichtingendienst buiten de deur te houden? Nou, dat lukt niet altijd. Wij als Fox-IT tuigen een enorm circus op om dat voor onze meest kritische klanten te doen. De overheid zou alle bedrijven waar vitale dingen gebeuren, moeten bijstaan om te zorgen dat niet de Chinezen hier het licht uit kunnen zetten. Ik denk dat de kerncentrale in Borssele een dergelijk initiatief met open armen zou ontvangen. In Engeland helpen inlichtingendiensten de industrie al. Zij kijken actief mee of er geen rare dingen gebeuren. Zo moet het. Wij kunnen dat ook en het hoeft niet zoveel te kosten. De overheid heeft die verantwoordelijkheid. Er zijn digitale deltawerken nodig. Nederland wil uitgroeien tot de digital gateway to Europe. Is dat haalbaar? Dat denk ik wel. Nederland heeft een enorme ambitie, wil een voorbeeldfunctie hebben in de omgang met internet. Daar past ook bij dat je laat zien hoe je met internetellende omgaat. Blauw Opsporing 5 november 2011 nummer 21 13

5 Heeft de Nederlandse politie kennis en capaciteit om die ambitie waar te maken? Wel de expertise, maar soms iets te weinig hands on ervaring. Bijvoorbeeld als het gaat om inbreken. Wij testen de hele dag voor bedrijven of het mogelijk is in te breken. En die vingervlugheid heb je soms nodig om hackers te achterhalen. Er zitten heel capabele mensen bij de politie, maar omdat die dit soort dingen minder vaak doen, zijn ze iets minder handig dan wij. En daarnaast zit je met een capaciteitsprobleem. Te veel zaken, te weinig mensen. Er werken volgens mij nu dertig mensen bij het Team High Tech Crime. Dat mag nog flink groeien. Ik ben benieuwd waar ze die mensen vandaan gaan halen. Is er wel voldoende uitdaging bij de politie voor de echte computerfreaks? Ik heb het gevoel dat dat beter wordt. De politie zoekt nu mensen die echt iets met een computer kunnen. Daarbij is geld niet eens het probleem. Mensen haken af vanwege het blauw verven. De jongens die de politie nodig heeft, zitten niet te wachten op een briefing om acht uur s ochtends. Dat zijn types met een andere mentaliteit. Dat heeft men bij de politie nu ook wel door. Als wij onze mensen tegen politiemensen aanplakken, dan gaan zij helemaal los op de computer terwijl de agent naast hen een proces verbaal aan het tikken is en het stap voor stap wil beschrijven. Dat maakt het proces ineffectief. Hacken is een zeer dynamisch proces. De politie wil dat er eerst een aanvalsplan ligt. En lukt het één keer, dan moet het de volgende keer weer net zo. Maar in de computerwereld verandert het iedere dag. Dus die benadering schrikt af of is een reden op te stappen. Maar we zijn samen aan het leren, en als we nu computersystemen op afstand betreden voor de politie maken we een continue film van dat proces. Daarmee kan alles altijd gereconstrueerd worden. Hoe moet de politie dat potentieel dan toch bereiken? Belangrijk is dat de politie verder aan haar imago werkt, laat zien dat ze er is. Hackertjes in chatfora lachten zich wezenloos om de aanpak door de politie. Sinds een aantal recente aanhoudingen is dat aan het veranderen. Het heeft uiteindelijk met marketing te maken. Het zou goed zijn als er eens een documentaire over het Team High Tech Crime zou worden gemaakt. Zowel om te laten zien wat ze kunnen als om nieuwe mensen aan te trekken. Ze doen daar echt heftige dingen en werken bijvoorbeeld heel nauw samen met de FBI. Maar daarbij is jullie hulp haast onontbeerlijk. Ik ben erg gesteld op de relatie met de politie, maar ik vind dat we nu te vaak ingeschakeld worden. Er is kennelijk geen andere oplossing. De overheid moet zelf ook minimaal een team hebben dat groot genoeg en vaak genoeg inzetbaar is. Het Team High Tech Crime mag alleen maar innovatieve zaken doen. Daarnaast moeten dit onderzoeken zijn naar zware en georganiseerde vormen van cybercrime met potentieel grote economische, politieke of financiële impact. Soms dienen zich mooie zaken aan, maar dan hebben ze zoiets al gedaan. Zij moeten het dan leren aan de regio s, maar die hebben niet altijd dezelfde expertise. De politie leunt regelmatig op ons, maar ik wil ze ook niet de deur wijzen. Eind februari is de Nationale Cyber Security Strategie (NCSS) gepresenteerd. De strategie bevat een integrale aanpak van cyber security. Wat verwacht u daarvan? Een hoop, maar ik word steeds banger. Ik merk dat het politieke draagvlak er niet helemaal is. Er is een studie gedaan en daaruit zijn twee initiatieven ontstaan. Er is al een cyber security raad en er komt een cyber security centrum. Die raad moet regie voeren over hoe Nederland in de breedte met cyber security omgaat. Daaronder komt het centrum, waarin publieke en private partijen hun kennis en expertise bij elkaar brengen. Ik hoop niet dat het een soort Europol wordt, waar van alle aangesloten landen een liaison aanwezig is. Er zijn juist mensen nodig die fenomenen kunnen oppakken, zoals de strijd tegen botnets. Dat soort zaken vallen nu tussen wal en schip omdat daders en slachtoffers onbekend zijn. Daarin zou het centrum een rol moeten spelen. Ook kan het centrum in actie komen als zo n affaire als Diginotar aan het licht komt, en het niet altijd weer Fox-IT is dat moet bijspringen. Een vaak geciteerde uitspraak van u is: de volgende oorlog wordt een digitale. Wat bedoelt u daarmee? In een volgende grote oorlog zal de digitale omgeving een enorme rol spelen. Als je Nederland wilt aanvallen, moet je geen raket sturen, maar zorgen dat we een maand lang niet kunnen pinnen. Of alles onder water zetten door sluizen te manipuleren. En vooralsnog is dat mogelijk? Ja, we doen heel veel onderzoek naar incidenten die nu voorkomen en moeten elke keer vaststellen dat we blij zijn dat de aanval weer is mislukt. We zijn al heel wat keren door het oog van de naald gekropen. Niet zozeer wat betreft terreuraanslagen, maar dat hackers zeer grote sommen geld hadden kunnen buitmaken. Wat betreft spionage geldt hetzelfde: bij ministeries wordt informatie weggehaald. Maar onze onderzoeken betreffen incidenten die bij toeval aan het licht zijn gekomen. Ofwel vanwege een tip uit het buitenland of omdat een computer kuren gaat vertonen. Dan heeft de hacker dus gefaald, en daar moeten we dan maar blij om zijn. Maar hoe vaak falen ze niet en gaat er vertrouwelijke info het land uit? Onze grootste bezit in Nederland is kennis. Grote bedrijven pompen miljarden in research, maar het is niet de bedoeling dat de resultaten ook in China liggen. En dat zien we vaak genoeg gebeuren. n Wilt u reageren op dit artikel? Mail naar erik.van.der.veen@politieacademie.nl 14 Blauw Opsporing 5 november 2011 nummer 21