Topicpagina, Computable 25 2008

Boevenvangers kiezen dievenpad

Op het opiniedeel van het Topic Security is een bijdrage terug te vinden over de politie die er eigentijdse opsporingsmethoden op na houdt. Reden voor onze experts om eens te gaan discussiëren over wat de politie wel en niet mag in opsporing met behulp van ict.

Expert Sinclair Koelemij, operations team leader network solutions & security services bij Honeywell Process Solutions, was duidelijk in zijn mening en kopte zijn bijdrage binnen onder de kop ‘Boevenvangers op het dievenpad?'.Hij verwondert zich over de vrijheid die de politie zichzelf gunt bij het opsporen van criminelen door middel van ict. "Onlangs las ik een artikel onder de titel ‘Politie hackt computer verdachten misdrijven'. Wat is de juridische basis voor deze activiteiten, mag dit zo maar, hoe doen ze dit dan? Het argument van de politie is dat traditionele methoden zoals telefoontaps steeds minder op leveren omdat de criminelen hun communicatie verleggen naar het internet en Skype. De politie moet met zijn tijd mee en voegt een nieuw wapen aan het arsenaal toe. Het idee is eenvoudig, we installeren bijvoorbeeld een trojan horse op de pc van een crimineel en luisteren vervolgens mee met de chatsessies, onderzoeken zijn documenten en als er ook nog een camera geïnstalleerd is, is het helemaal feest bij onze speurneuzen. De overheid begeeft zich in deze in het schaduwgebied tussen wet en illegaliteit. Voor mij lijkt het er sterk op dat onze boevenvangers het dievenpad hebben gekozen."

Rein de Vries
Adviseur en partner
LBVD Informatiebeveiligers

"Je hebt via IDS, IPS, antimalware software, goed beheer, etc. wellicht het nodige gedaan om (onopgemerkte) inbraak onmogelijk te maken. Desondanks zal een hack toch mogelijk zijn, ook door de politie. Het lijkt mij echter dat je om een aantal redenen hierover niet (te) veel zorgen moet maken. De politie staat niet boven de wet en is zich hiervan bewust. Men zal terughoudend zijn wegens de publieke opinie en aansprakelijkheid (schade is zo veroorzaakt). Ook hoe het elders uitpakt, zoals in Duistland, zal meewegen. Verder is actuele detailkennis nodig die moeilijk zelf te genereren is en betrokkenheid van andere partijen impliceert, ten minste als we andere inside-bronnen uitsluiten. Operaties stilhouden zal lastig zijn. Verder lijkt me wel dat hacks van binnenuit min of meer legitiem in te brengen zijn in undercover-operaties. Dat is echter speculeren over een tamelijk duistere kant van het opsporingswezen. Als het zover is..."

Anthony van Geest
Manager security solutions
Intermedio Security Technology

"Technische oplossingen gaan wel vaker voor wet- en regelgeving uit. De vraag is of het reëel is de politie op te zadelen met ‘ouderwetse' opsporingsmethoden terwijl de misdaad zich wel vernieuwt. Al in 1998 verschenen de eerste artikelen over privacy op internet en het probleem dat internetverkeer wordt afgetapt. Dat dit tot op vandaag nog niet is gedaan is rampzalig voor de ontwikkeling van ons informatielandschap. Hacking vanuit een undercover-positie moet legitiem te maken zijn. Men zet daar niet voor niets een opsporingsambtenaar in. Het hacken van een computer van buitenaf moet naar mijn idee tegengegaan worden. Niet alleen vanwege privacyaspecten, maar ook omdat bijvoorbeeld niet na te gaan is of je wel op de juiste computer bezigbent. Ik denk wel dat het tijd wordt om solide wetgeving te ontwikkelen die past bij de hedendaagse vormen van informatie-uitwisseling."

René Visser
Senior consultant
Oversite

"Elke organisatie dient rekening te houden met dit soort ongewenste toegang tot resources. Het zou een goede ethische en juridische discussie kunnen zijn of een (lokale) opsporingsinstantie deze techniek mag gebruiken. De techniek is voorhanden en er zullen altijd individuen, organisaties en overheden zijn die jouw informatie interessant zullen vinden. Het maakt voor een risicoanalyse dus niet uit of een script kid, een concurrent, de lokale overheid of een vreemde mogendheid als China of de Verenigde Staten zich deze toegang wil verschaffen. Belangrijke informatie dient dus beschermd te worden met (control) maatregelen. Verder lijkt het me wel een leuke vervolgdiscussie opleveren indien de lokale overheid heimelijk malware mag instaleren en dezelfde overheid bedrijven oproept zich te wapenen tegen cyberterreur. Een interessante paradox."

Lex Borger
Principal consultant
Logica

"Als het gaat om inbreken op de computers van verdachten zelf, dan heeft de politie niet meer middelen in huis dan de gemiddelde hacker. Als je dus jezelf tegen hackers beveiligd hebt, ben je ook veilig voor de politie, los van discussie over rechtmatigheid. Waar het verschil zit is de toegang tot jouw gegevens bij jouw internetprovider. Hier heeft de politie meer middelen dan de hacker en alleen daarom al hoort dit zeker via de rechter geregeld te worden. Hier zijn dan ook gelukkig regels voor."

Peter Westerveld
Managing partner en security consultant
Sincerus

"Ook de politie moet zich houden aan wet en regelgeving en kan zich dus niet zomaar toegang verschaffen op pc's van verdachten. Artikel 138a in het Wetboek van Strafrecht, Computervredebreuk, stelt het opzettelijk en wederrechtelijk binnendringen van geautomatiseerd werk strafbaar. Dit is ook bij onze oosterburen zo, maar een interessante ontwikkeling en heel actueel is een Duitse wet die het ‘Bundes Kriminal Ambt', de federale recherche, toestemming geeft om online pc's van particulieren te doorzoeken. De enige beperking die hierin geldt, is dat de woning waar de pc staat niet mag worden betreden om bewakingssoftware te installeren. Lijkt mij nog maar een kwestie van tijd voor een dergelijke wet voor de verruiming van opsporingsbevoegdheden ook in Nederland van kracht wordt."