Op 15 oktober 2012 stuurde minister Opstelten van Veiligheid en Justitie een brief (Wetgeving bestrijding cybercrime) aan de Tweede Kamer over nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet, na een eerdere positieve reactie in een antwoord van 24 augustus op Kamervragen over terughacken van D66. Dat volgde weer volgde op een openbaar pleidooi van Ronald Prins van beveiligingsbedrijf Fox-IT.
Volgens de minister zijn deze nieuwe bevoegdheden noodzakelijk in de strijd tegen cybercrime. Een belangrijk onderdeel is de mogelijkheid om 'terug te hacken'. De politie moet kunnen inbreken op computers in binnen- en buitenland, om spionagesoftware (laten we dat policeware noemen) te installeren, of om gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. In feite krijgt de politie zo de bevoegdheid om 'computervredebreuk' te plegen. Dit voorstel gaat om verschillende redenen veel te ver.
De internationale reikwijdte van de voorstellen is zorgelijk. Als wij ons als Nederland het recht voorbehouden om in het buitenland in een PC in te breken, dan moeten we niet raar opkijken als de Chinezen en Amerikanen dat ook doen. Nou kun je zeggen dat ze dat toch al doen, maar dat is nog geen reden om dergelijk illegaal gebruik dan maar te legaliseren.
Bij het opruimen van het Bredolab botnet in 2010 verspreidde de politie, via het botnet, waarschuwingen aan gebruikers van geïnfecteerde PCs in binnen- en buitenland. Nederlanders zouden vreemd opkijken zijn als een vergelijkbare mededeling van de FBI (of de Chinese politie) op het beeldscherm zou verschijnen! Zulke acties versterken het gevoel dat er altijd iemand met je meekijkt, en hebben dus een grote impact op de privacy beleving van de burger.
De vraag is bovendien wanneer terughacken legitiem is. Om Wikileaks de mond te snoeren? Of de Pirate Bay voor goed uit de lucht te halen? We moeten niet vreemd opkijken als de VS op basis van strikte naleving van copyright wetgeving in Nederland gaat terughacken. Ze kregen Nieuw Zeeland immers al zover om een inval te doen bij Megaupload.
Onaangename consequenties
Ten derde is het ontoegankelijk maken of verwijderen van gegevens, of het installeren van policeware niet zonder risico's. Er kan hierbij wat fout gaan waardoor de PC crasht of trager wordt. Dit kan onaangename consequenties hebben. Als je niet weet waar de computer staat, kan het maar zo zijn dat je de controller in een kerncentrale, op een operatiekamer, of op de beursvloer reset.
Ten vierde is er, ook volgens de minister in de brief, een groot gebrek aan technisch-inhoudelijke kennis bij de overheid. Die expertise is absoluut noodzakelijk om dergelijke nieuwe opsporingstechnieken verantwoord toe te passen. Zonder die expertise heeft het geen zin om verruiming van de mogelijkheden te vragen. We kunnen commerciële partijen als Fox-IT niet voor dit soort klusjes laten opdraaien. Je verwacht immers ook geen Securitas werknemer op de stoep als je gearresteerd wordt...
Om policeware te kunnen installeren moet er een zwakheid in de beveiliging van het systeem zitten. De overheid heeft er dus belang bij om deze zwakke plekken voor zichzelf te houden, in plaats van ze openbaar te maken en aan te dringen op het ongedaan maken van de zwakheid.
Daarnaast moet voorkomen worden dat gebruikers de policeware op hun PC detecteren. Zal de overheid van antivirusbedrijven verwachten (of eisen) dat ze dergelijke policeware juist niet detecteren, en daarmee hun klanten kwetsbaar laten? Dit alles staat op gespannen voet met het algemeen belang van een betrouwbare digitale infrastructuur.
Fundamenteel onacceptabel
Het zesde, en laatste argument is fundamenteel van aard. De politie neemt normaal gesproken een passieve rol aan bij het verzamelen van gegevens tijdens een onderzoek, zoals bij een huiszoeking. Een actieve benadering, bijvoorbeeld infiltratie, is risicovol omdat daarbij het gevaar bestaat van beïnvloeding of manipulatie door de politie. Uitlokking is bij infiltratie daarom expliciet verboden.
Voor het installeren van policeware zijn echter systeembeheer rechten nodig. Hierdoor vervalt het onderscheid tussen passief en actief politie optreden. Een systeembeheerder mag immers per definitie alles: lezen, maar ook schrijven. De politie neemt dus een actieve rol aan, en heeft dus de mogelijkheid om het hele systeem en alle data die daarop opgeslagen staat naar believen te wijzigen.
Dit is een fundamenteel onacceptabele ontwikkeling: je kunt niet eerst iemands computer overnemen en hem vervolgens op basis daarvan beschuldigen. Daar waar bij een fysieke huiszoeking de rechter commissaris toeziet op fair play van de politie, en bij forensisch onderzoek naar ICT systemen strikte procedures moeten voorkomen dat er met bewijs geknoeid wordt, is dat bij computervredebreuk ten principale onmogelijk.
Zowel de internationale reikwijdte van het terughacken, als de per definitie actieve rol van policeware, ondermijnen de fundamenten van onze rechtstaat. Cybercrime kan nog zo veel schade aanrichten, maar om nou (bij wijze van spreken) het paleis met de grond gelijk te maken om de inbraak van de eeuw te voorkomen…