Experts maken gehakt van hackwet politie: zelfs pacemakers niet veilig
Met een nieuw wetsvoorstel wil de politie verdachten hacken. Experts uiten felle kritiek op de conceptwet.
Vandaag werd een rondetafelgesprek in de Tweede Kamer gehouden over de Wet Computercriminaliteit III, ofwel de conceptwet waarmee de politie in de toekomst verdachten kan hacken. Dit is volgens minister Van der Steur van Veiligheid en Justitie nodig omdat internetcriminelen vaker van encryptie gebruikmaken, waarmee ze zich afschermen voor de opsporingsdiensten. Denk hierbij aan een verspreider van kinderporno. De verspreider versleutelt zijn bestanden, waardoor de politie bij een inval in het huis niet bij het bewijsmateriaal kan komen. Door te hacken kan de politie inbreken, nog voor de encryptie van de kinderporno plaatsvindt, en het bewijsmateriaal veiligstellen.
Dat klinkt toch heel goed?
Het voorbeeld van kinderporno wordt, samen met de term terrorisme, vaak door de minister aangehaald als voorbeelden waarom de hackwet nodig is. Maar de wet is veel breder in te zetten. Bij een misdrijf waar vier tot acht jaar celstraf voor staat, mag de politie al hacken. Dat is bijvoorbeeld openlijke geweldpleging of wietteelt.
Op dit moment mag de politie apparaten hacken als het daar fysiek toegang tot heeft, bijvoorbeeld na een huiszoeking waarbij een smartphone en laptop in beslag zijn genomen. Met de Wet Computercriminaliteit III wordt het ook mogelijk om dit op afstand te doen. Op afstand kan de politie onder andere spyware of een keylogger installeren, waarmee respectievelijk de microfoon of camera wordt ingeschakeld of de getypte tekst wordt bijgehouden. Ook mag de politie met het wetsvoorstel computers in het buitenland hacken.
De voorstanders
Het Openbaar Ministerie en de politie zijn door de Tweede Kamer uitgenodigd om het wetsvoorstel te verdedigen. Het OM meldt dat criminelen vaker gebruik maken van digitale middelen waarmee hun anonimiteit wordt gewaarborgd, zoals de anonieme browser Tor of een VPN-verbinding. "We moeten terrein terugwinnen op een gebied van criminaliteit dat we zijn verloren", aldus cybercrime-officier Martijn Egberts. "Als iemand zijn software niet updatet, kunnen we inbreken via de ingangen die daardoor ontstaan", zegt Egberts. Het OM benadrukt dat er nu al afluisterapparaat wordt opgehangen bij verdachten. "En doen we dat altijd? Nee. Hetzelfde geldt voor het hacken. Stel: we vallen een huis binnen op het moment dat een verdachte een strafbaar feit pleegt. Waarom zouden we dat niet online mogen", vraagt Egberts zich af.
De politie zegt dat het niet in de 'normale burger' is geïnteresseerd. "We neuzen niet rond in uw computer, zoals sommigen proberen te suggereren", zegt Inge Philips, afdelingshoofd bij de politie. "Wij kicken erop om boeven te vangen, maar digitaal zijn we de strijd aan het verliezen. Voor ons is het belangrijk om bewijsmateriaal op afstand veilig te stellen."
Ontoegankelijk maken
Met bewijsmateriaal veiligstellen bedoelt de politie bijvoorbeeld het ontoegankelijk maken van kinderporno voor de eigenaar van de bestanden. Philips: "We behandelden laatst een zaak waarin twee buurmannen een kinderpornonetwerk draaiden. Beide buurmannen hadden de mogelijkheid om de stekker van de ander eruit te trekken als de politie binnen zou vallen. Dan wordt in één keer al het bewijs gewist."
Maar hoe gaat de politie hacken? Dat gebeurt via kwetsbaarheden in software. Een kwetsbaarheid ontstaat omdat software niet wordt geüpdatet, maar ook door de handel in zogeheten zero days. Dit zijn lekken die nog niet bij de maker van de software bekend zijn en worden misbruikt door overheden of criminelen om in te breken. "We gaan niet actief handelen in zero days, maar als we een kwetsbaarheid vinden die nog niet is ontdekt, gaan we die eerst zelf gebruiken en dan pas melden."
Aansluiten op politienetwerk
"Er zijn kwetsbaarheden zat", legt Ronald Prins van het Nederlandse beveiligingsbedrijf Fox-IT uit. Hij is ook een voorstander van het wetsvoorstel. "Neem bijvoorbeeld de gijzeling in de Joodse supermarkt in Parijs. Toen hackte de politie de beveiligingscamera's van de winkel, waardoor een inval kon worden gecoördineerd. Zo'n situatie laat zien dat de politie de hackbevoegdheid moet hebben." In Nederland kunnen bedrijven hun camera's al aansluiten op het netwerk van de politie, om hen snel op de hoogte te stellen van een inbraak of overval.
Het CDA vindt de hackbevoegdheid nog niet ver genoeg gaan. Als het aan de politieke partij ligt, mag de politie van verdachten eisen dat ze hun encryptiewachtwoorden overhandigen. Dit 'decryptiebevel' stond in de vorige versie van Wet Computercriminalieit III, maar is geschrapt omdat verdachten niet mee hoeven te werken aan hun eigen veroordeling. Een verdachte mag zich bijvoorbeeld ook beroepen op zijn zwijgrecht.
De tegenstanders
De twee grote tegenstanders van de hackwet zijn de Nederlandse burgerrechtenorganisatie Bits of Freedom en privacywaakhond Autoriteit Persoonsgegevens (AP). De kritiek is duidelijk: zij vinden de conceptwet te ruim in zijn bevoegdheden. Allereerst zou de hackbevoegdheid alleen mogen worden toegepast bij ernstige criminaliteit, en niet bij een verdachte die een gevangenisstraf van vier jaar of meer boven het hoofd hangt.
"Als het een laatste redmiddel is, zoals de politie benadrukt, waarom is deze dan zo ruim", vraagt Ton Siedsma van Bits of Freedom zich af. "Met deze wet maak je het internet niet veiliger, maar juist onveiliger. De politie heeft er belangen bij om software onveilig te houden." Daarnaast vindt Siedsma dat de hackwet te snel inbreuk op de privacy maakt. Een computer biedt enorm veel informatie van de verdachte, maar ook van degenen waarmee de verdachte communiceert of anderen die hetzelfde apparaat gebruiken. Die data wordt bij het hacken ook buitgemaakt.
Het tweede punt waar Bits of Freedom en de AP het over eens zijn, is dat er onafhankelijk toezicht op de hackbevoegdheid van de politie moet komen. "Privacy is een grondrecht, en er moet structureel onafhankelijk toezicht komen op de hackpraktijken van de politie", legt AP-voorzitter Jacob Kohnstamm uit. Kohnstamm meldt dat bijvoorbeeld de AP de onafhankelijke toezichthouder kan worden.
AP-voorzitter Jacob Kohnstamm
De politie moet, indien het wetsvoorstel wordt goedgekeurd, voor het hacken altijd toestemming aan de rechter-commissaris vragen, die bij elke zaak oordeelt of het noodzakelijk is dat de politie hackt. Dit gebeurt al bij het tappen van telefoongesprekken en computers. Zowel de AP als Bits of Freedom twijfelen aan de kennis van de rechter-commissaris om de hackverzoeken nauwkeurig te behandelen.
De hackverzoeken bij de rechter-commissaris worden gecontroleerd door de Centrale Toetsingscommissie, die is samengesteld uit leden van het openbaar ministerie en politie. Dat is volgens critici niet onafhankelijk genoeg. De Nederlandse Orde van Advocaten sluit zich daarbij aan, en wil ook dat er een onafhankelijk toezicht komt: "De wet kan zelfs worden ingezet om je pacemaker te hacken als je je buurman op zijn gezicht slaat. Dat is volgens ons niet proportioneel, en daarom moeten er voor het hacken striktere eisen gelden."
Zowel de PVV, VVD als D66 zijn kritisch op het wetsvoorstel. De VVD en PVV vragen zich af of de bevoegdheden stand houden als een rechter zich erover buigt. D66 benadrukt net als Bits of Freedom dat het internet juist onveiliger wordt als de politie willens en wetens kwetsbaarheden in software niet meldt. Deze kwetsbaarheden kunnen dan ook door criminelen worden misbruikt.
En nu?
De rondetafelzitting in de Tweede Kamer is één van de eerste discussies over de Wet Computercriminaliteit III. De komende tijd wordt er onder andere nog gedebatteerd over de wet en kunnen er nog veranderingen plaatsvinden, voordat er een definitief besluit over de conceptwet wordt genomen.