|
|
Politie - Offensief hacken - Nederlandse terughackwet - Wetgeving
misdaadbestrijding
telefoon- en briefgeheim
politie
computercriminaliteit
| 23/5/2013 | Verzending vraag |
| 17/9/2013 | Rappel |
| 12/12/2013 | Antwoord |
Ook gesteld aan : schriftelijke vraag 5-9092
De Nederlandse minister van Veiligheid en Justitie wil bij wet de mogelijkheid invoeren dat de politie kan inbreken op systemen van criminelen. Het betreft de zogenaamde terughackwet. Indien nodig moet de politie ook gegevens kunnen overnemen of ontoegankelijk maken. Dat blijkt uit een wetsontwerp dat hij voor advies naar verschillende instanties heeft gestuurd. In navolging van de Nederlandse plannen zou ook op Europees niveau worden gedacht aan offensief hacken.
Ik had graag volgende vragen voorgelegd aan de minister:
1) Hoe reageert de minister op het voornemen van haar Nederlandse evenknie om de politie toe te staan offensief te hacken? Is daar bij ons eveneens behoefte aan? Heeft zij vragen hiervoor ontvangen van de ordediensten of andere diensten? Kan dit uitvoerig worden toegelicht?
2) Kunnen de ordediensten onder de bestaande wetgeving al computers hacken? Zo ja, kan ze dit toelichten? Hoeveel maal gebeurde dat al? Wat waren de resultaten?
3) Heeft de regering plannen in die richting? Zo ja, kan de minister de planning en de inhoud ervan toelichten?
4) Vreest de minister niet dat dit kan leiden tot een zogenaamde digitale oorlogvoering? Kan ze dat toelichten?
5) Klopt de berichtgeving dat Europa erover denkt aan de overheden hackbevoegdheden toe te kennen?
1. In het Nederlandse regeerakkoord werd het voornemen opgenomen om de toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity het hoofd te bieden door het juridisch instrumentarium aan te passen naar aanleiding van de ontwikkelingen op het gebied van de informatie- en communicatietechnologie (Bruggen slaan, Regeerakkoord VVD – PvdA, 29 oktober 2012, p. 28). Er werd daarbij voorgesteld om te komen tot een uitbreiding van de strafvorderlijke bevoegdheden van een aantal strafbepalingen. Er werd een “wetsvoorstel tot Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III)” neergelegd in het Nederlandse Parlement.
In het Nederlandse wetsvoorstel is de invoering voorzien van een nieuwe bevoegdheid voor bepaalde opsporingsambtenaren, met name om een geautomatiseerd werk (daaronder wordt verstaan: een inrichting die bestemd is om langs elektronische weg gegevens te verwerken en op te slaan of over te dragen) dat in gebruik is bij een verdachte op afstand heimelijk binnen te dringen met het oog op de opsporing van ernstige strafbare feiten. Daarbij kan de beveiliging worden doorbroken of kunnen technische handelingen worden verricht om zich toegang te verschaffen tot het geautomatiseerde werk. Ook kan heimelijk software worden geïnstalleerd met behulp waarvan op specifieke punten de beveiliging wordt doorbroken of omzeild en waarmee de versleuteling van gegevens ongedaan kan worden gemaakt. Deze bevoegdheid zou onder bepaalde omstandigheden tevens kunnen worden toegepast ten aanzien van een geautomatiseerd werk dat zich niet op het Nederlandse grondgebied bevindt, maar waarbij de gevolgen van het strafbare feit zich in Nederland voordoen.
In het Belgische regeerakkoord van 1 december 2011 staat in dit verband vermeld dat “meer in het algemeen terrorisme en cybercriminaliteit nieuwe bedreigingen (vormen) van niet-militaire aard voor onze veiligheid. België zal zich in het kader van de internationale samenwerkingsverbanden krachtig inzetten voor de bestrijding van deze fenomenen”. In het licht van de snelle en diepgaande informatisering van het privé en professioneel leven en gezien het feit dat criminelen steeds meer gebruik maken van de nieuwe en ruimere mogelijkheden van de informatietechnologie (“IT”), vind ik de Nederlandse voorstellen interessant.
Politie en justitie zijn ook in België vragende partij om de wettelijke bevoegdheid te krijgen om te kunnen inbreken in communicaties en informatiesystemen van criminelen. De politiediensten wijzen er op dat cybercriminelen steeds vaker gebruik maken voor hun communicaties, het leveren van criminele diensten en voor de opslag van illegale inhoud (zoals kinderpornografie) van beveiligde systemen die worden afgeschermd door encryptie en beveiligingssystemen.
De traditionele manieren voor bewijsgaring worden hierdoor inefficiënt. Telefoontaps en internetintercepties verlenen hoe langer hoe minder toegang tot de effectieve inhoud van communicaties. Bovendien kunnen telecom-operatoren vaak ook niet langer meewerken om toegang te geven tot de inhoud van de communicaties omdat de encryptie gebeurt end-to-end. Dit wil zeggen dat de gegevens zowel vercijferd als ontcijferd worden op de eindapparatuur van de internetgebruiker. Het veel gebruikte Skype is hiervan een goed voorbeeld.
Tegelijkertijd moet echter waakzaam worden omgesprongen met deze evoluties en stellen zich daarbij verschillende problemen. Deze nieuwe bevoegdheid inzake computercriminaliteit houdt immers een inperking in van de privacy van verdachten en niet-verdachten tot wiens computer toegang wordt verschaft. Vanuit internationaal en Europees mensenrechtenperspectief dient in een democratische samenleving deze bevoegdheid proportioneel te zijn met het beoogde doel.
In de Cyber Security Strategy, die door de regering werd goedgekeurd op 23 november 2012, staat dat er wordt gestreefd “naar een optimale beveiliging en bescherming van de kritieke infrastructuren en overheidssystemen tegen de cyberdreiging” en dat “vertrekkend van de bestaande wetgeving een wettelijk kader dient te worden gecreeërd met aandacht voor een evenwicht tussen de rechten en de vrijheden van de burger en de noodzakelijke tussenkomsten van de overheid”.
2. Voor politie en justitie bestaat onder de huidige wetgeving de mogelijkheid tot het uitvoeren van een netwerkzoeking (art 88ter WSv). Deze bevoegdheid laat bijvoorbeeld toe aan de onderzoeksrechter om aan de onderzoekers van de politie te bevelen om informatiesystemen van de verdachte die zich niet bevinden op de plaats van een huiszoeking, te onderzoeken.
Net als de interceptie van telecommunicaties is de netwerkzoeking een frequent gebruikte methode om bewijsmateriaal te verzamelen in belangrijke criminele fenomenen.
In de memorie van toelichting bij het artikel over de netwerkzoeking wordt echter gesteld dat deze bepaling aan de politie niet de bevoegdheid geeft om te hacken.
De gevraagde bevoegdheden sluiten echter aan op de instrumenten die reeds bestaan maar deze moeten worden aangepast om de maatschappelijke en technologische evolutie te volgen.
De interceptie van telecommunicaties is geregeld sinds half de jaren negentig.
De wet van 2010 op de bijzondere opsporingsmethodes voor de inlichtingendiensten voorziet expliciet in de mogelijkheid voor deze diensten om binnen te dringen in computersystemen van verdachten.
De informatie- en communicatiesystemen die bestonden ten tijde van de uitwerking van de wet informaticacriminaliteit van 2000, zijn echter op een revolutionaire wijze veranderd.
Vandaag de dag heeft de verdachte niet noodzakelijk nog behoefte aan eigen computersystemen maar kan hij gebruik maken van diensten die steeds vaker “in de Cloud” worden aangeboden.
Denk maar aan doordeweekse producten als Dropbox, Google drive, Office 365, iCloud. Al deze diensten worden door gewone eindgebruikers aangewend om hun gegevens te stockeren in een systeem op afstand. Hij kan zijn volledige werkomgeving bereiken via gelijk welke pc, tablet of smartphone, vanuit een bibliotheek of een hotel. Het feit dat al deze omgevingen afgeschermd zijn met diverse beveiligingssystemen maken het moeilijk of onmogelijk om de bestaande bevoegdheden nog toe te passen.
3. Een werkgroep onder leiding van de Federale procureur met vertegenwoordigers van het College van Procureurs-generaal, parketten, onderzoeksrechters en politie hebben recentelijk voorstellen geformuleerd.
4. Het is duidelijk dat cybercriminelen hun werkterrein steeds verder uitbreiden. Zij maken gebruik van de meest uiteenlopende technieken om in de meest gevoelige systemen van onze samenleving binnen te dringen. Kijk maar naar de samenwerking van cybercriminelen met drugshandelaars in de haven van Antwerpen. Hun gegevens zijn opgeslagen op beveiligde servers en gehackte systemen. Als politie en justitie geen uitbreiding van hun bevoegdheden krijgen, zal de strijd tegen de criminaliteit onmogelijk worden. Dit hoeft niet te leiden naar een digitale oorlogsvoering. De nieuwe bevoegdheden moeten begeleid zijn met de noodzakelijke waarborgen binnen onze democratie.
5. De Europese Commissie legde een voorstel tot richtlijn neer op 30 september 2010 over aanvallen op informatiesystemen . De Raad van de Europese Unie bereikte een akkoord over een algemene aanpak op 10 juni 2011. Het comité van de burgerlijke vrijheden, justitie en binnenlandse zaken heeft op 6 juni 2013 een eerste stemming in eerste lezing gehouden.
In de huidige stand van de tekst is het veeleer de bedoeling om te komen tot een gemeenschappelijke definitie van bepaalde strafbare feiten: onrechtmatige toegang tot een informatiesysteem, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring. Er is volgens onze informatie nog geen sprake van het toekennen van een hackbevoegdheid aan de overheden.