Er wordt al geruime tijd door een grote verscheidenheid aan partijen gediscussieerd over de (terug)hackbevoegdheid van de overheid. Aanleiding? De nieuwe Wet inlichtingen- en veiligheidsdiensten (Wiv) bepaalt dat zowel de AIVD als de politie meer mogelijkheden krijgen om in te breken op computers wanneer zij dit nodig achten voor hun onderzoek.
Laten we gelijk maar duidelijk maken dat wij deze ontwikkeling juist een zeer kwalijke zaak vinden. Het staat namelijk haaks op ons gedachtegoed dat iedereen het recht heeft op een vrij en veilig internet. Als één van de leidende internetsecuritybedrijven zetten wij ons vol in om zowel de vrijheid als veiligheid van internetters wereldwijd te waarborgen. Daar hoort geen overheid bij die, wanneer ze het zelf nodig vinden, meekijkt op je netwerk of harde schijf.
Waarom de overheid en hacken niet samengaan
Herinner je je Stuxnet nog? Van Stuxnet en veel andere prominente en minder prominente malware is bekend dat het geproduceerd – of op z’n minst gesponsord – moet zijn door nationale overheden. De complexiteit van de malware overstijgt die van elke commerciële variant.
De focus ligt in deze malware regelmatig op industriële spionage. Bedrijfsgevoelige informatie wordt buitgemaakt, informatie die de economie kan schaden. Het enige dat de slachtoffers gemeen hebben is dat ze verder zijn dan de concurrerende bedrijven. Interessant hierbij is dat de inlichtingendiensten uit zowel het westen als het oosten er hetzelfde moreel op na houden: informatie halen daar waar het beschikbaar is en het voor eigen gewin gebruiken.
Vooral hierom is het onze taak als producent van internetsecurity om potentiële slachtoffers te beschermen. Voor de hand liggen de grote, invloedrijke bedrijven en instanties, zoals de beheerders van een kerncentrale in België of vliegtuigbouwers in Frankrijk. Maar het gaat ook om kleinere bedrijven die een belangrijke uitvinding hebben gedaan of werken met gevoelige informatie. En het gaat zelfs om jou als individueel. Want iedereen kan mogelijk voor de overheid relevante informatie bezitten. Iedereen kan verdachte zijn, zonder het zelf te weten.
De roep om overheidsinstanties de ruimte te geven om informatie te hacken, houdt in dat ze de vrijheid krijgen om malware te ontwikkelen om dit doel te bereiken. Onze visie blijft echter hetzelfde: alle malware is slecht, of deze nu door de overheid wordt gebruikt om te spioneren of door een groep criminelen die creditcardinformatie probeert te stelen.
Bewerkelijk bewijs
Zodra een overheid de zogenaamde hackbevoegdheid heeft, zijn zij in staat om bewijs te creëren en te manipuleren. Zij hebben immers toegang tot de computer van de verdachte. In het verleden is het voorgekomen dat bewijs bewust gefabriceerd is. Dat is wat ons betreft al een reden op zich om de overheid geen hackbevoegdheid te geven. Vaak is het mogelijk om met old skool politiewerk achter de verdachten te komen en de misdaad op te lossen. En wanneer het om cybercriminaliteit gaat, heeft samenwerking tussen instanties en analyserende securitybedrijven aangetoond zeer effectief te kunnen zijn. Op die manier zijn bijvoorbeeld de ontwikkelaars van de ransomware Coinvault opgepakt.
Dat voorbeeld toont aan dat de overheid zich niet als een cybercrimineel hoeft te gedragen om zijn werk te kunnen doen. Laten we dat vooral zo houden, want als ze de bevoegdheid om te hacken daadwerkelijk krijgen, worden de mogelijkheden onbeperkt en – niet onbelangrijk – wie kan ze nog controleren?
Jouw netwerk en alle verbonden apparaten, of het nu een laptop, tablet of smart-tv is, ze zijn van jou. En niemand anders dan jij hebt er iets op te zoeken. Geen Rus, geen AIVD en zeker geen cybercriminelen. Niemand, behalve jijzelf.
Je hebt gelijk. Helaas denken vele van de europese overheden daar anders over met duitsland onderleiding van IM Erika (=Merkel) voorop.
De overheid (lees elite) kan niet meer zonder dit soort middelen om politieke dissidenten onder de duim te houden en indien nodig definitief aan te pakken.