Transcript Interview Ronald Prins - Fox-IT

10
Interview Ronald Prins
het Tijdschrift voor de Politie – jg.78/nr.9/16
“Online is de
pakkans nihil”
Wouter Jong en
Marcel Bruinsma.
Ronald Prins is mede-oprichter van Fox-IT, het Delftse bedrijf dat is
gespecialiseerd in cybersecurity. Hij denkt sinds 1999 mee over de
beveiliging van staatsgeheimen, en test bedrijven op verzoek op hun
robuustheid. Hij zit op de eerste rij bij elke nieuwe ontwikkeling en ziet
welke bedreigingen er op Nederland afkomen. “Wij zijn kwetsbaar. Als
internet uitvalt, is er geen plan B.” Terwijl de bedreigingen door de
juridische complicaties niet altijd in toom kunnen worden gehouden. Iets
wat Prins grote zorgen baart.
R
onald Prins is in meerdere opzichten geen onbekende van de politie. Hij bracht vorig jaar drie
uur in een cel met dronken Duitsers door, nadat
hij met zijn drone opnamen had gemaakt van de
vuurwerkshow in Scheveningen. Maar Prins kent zijn
rechten en vrijspraak volgde. Het is volgens Prins tekenend voor het probleem van de huidige ontwikkelingen.
“De regelgeving over drones is voor een groot deel nog
gebaseerd op de regelgeving voor modelvliegtuigen. De
wetgever heeft moeite de ontwikkelingen bij te houden.
Online zie je hetzelfde. De politie is nog erg rond delicten
in het fysieke domein georganiseerd. Terwijl je online
delicten op een wezenlijk andere manier moet aanpakken.”
“Van tijd tot tijd komen er teams en is er geld voor
cybercrime. Maar dat wordt dan weer binnen de oude
structuren weggezet. Team High Tech Crime is opgezet om
van nieuwe typen delicten te leren en die kennis over te
brengen in de eenheden. Maar je kunt je afvragen of je dat
überhaupt moet doen. Volgens mij zou het beter zijn om
een landelijk team te hebben, waarbij mensen ook online
De politie hier
kan veel leren van de FBI,
bij hen is het kwartje allang
gevallen
met elkaar samenwerken. Zodat je niet meer langs de
wijkagent hoeft om aangifte te doen, maar ook op een hoger
niveau de zaken met elkaar kunt verbinden. Dat je de
samenhang tussen verschillende ransomware-incidenten
ziet. Ergens moet een plek zijn waar de verschillende
sporen bij elkaar komen. Dat is voor de online wereld nog
onvoldoende geregeld.”
“Team High Tech Crime doet binnen de grenzen wat het
kan. Maar het team is ingebed in de politiecultuur. Bij de
start moesten ze zich verantwoorden waarom ze niet met de
standaard Fujitsu-computers uit de voeten konden. Want
dat waren de computers die in de mantelovereenkomst
zaten. Bij Fox-IT werkt iedereen met Macbooks. Het is het
instrument waarmee je werkt. Je moet de mensen geven
wat ze nodig hebben. In die zin kan de Nederlandse politie
veel leren van de FBI. Die zijn een stuk losser met hun
mensen. Bij hen is het kwartje allang gevallen dat online
een andere dynamiek heeft, waar mensen ook anders
willen werken.”
Die andere manier van werken vertaalt zich
ook door naar de inzet?
“Uiteraard zoeken we wel eens de grenzen op. In Nederland is een keer een Botnet-netwerk ontmanteld. De BBC
opende met de kop Dutch police use unusual tactics in
botnet battle.1 Je zou denken dat de Nederlandse politie
daar trots op mag zijn. Maar het eind van het liedje was dat
minister Opstelten zich in de Tweede Kamer moest verantwoorden over de vraag of het wel volgens de regels was
gegaan.”
Dat opzoeken van de grenzen lijkt wel kenmerkend voor hackers.
“Het zijn inderdaad die ‘unusual tactics’ die typerend zijn
voor de hackersgemeenschap. In de kern is het een heel
11
Foto‘s: Roel Dijkstra, Joep van der Pal
Interview Ronald Prins
creatief vak. Toen ik met NFI-collega Menno van der
Marel in 1999 startte, besloten we ons bedrijf Fox-IT te
noemen. Dat was een samentrekking van forensic experts
en IT. Maar de vos verwijst ook naar een bepaalde sluwheid. Altijd bezig om zijn prooi te zoeken. Dat is wat wij als
hackers continu doen.”
“Mensen hebben van hackers het beeld van de nerd op
zijn zolderkamer, maar het zijn bij uitstek mensen die
graag willen leren en beter willen worden. Ze zoeken
vanzelf andere plekken op waar ook veel hackers zitten. Er
is een grote onderlinge saamhorigheid. Dat is een van de
redenen dat Fox-IT een magneet voor talent is. Wij krijgen
uit heel Europa open sollicitaties. Omdat we gave dingen
doen en er al veel slimme mensen aan boord zijn die faam
hebben in het wereldje.”
Maar formeel mogen jullie niet hacken?
“Wij krijgen een vrijwaring als we in opdracht hacken.
Vroeger kwam van bedrijven het verzoek om door hun
beveiliging te breken. Nu is het anders en vraagt bijvoorbeeld een bank of het ons lukt om vijf miljard euro weg te
sluizen. Het gaat niet per definitie om het binnendringen
in een systeem en daar gegevens uit stelen. Het gaat ook
om creativiteit. Lukt het om jezelf ongezien op de loonlijst
van een bedrijf te plaatsen? Dat doen kwaadwillende
hackers immers ook. Het vraagt om een creatieve manier
van denken die verder gaat dan het old skool hacken van
een technisch doosje.”
“De principes zijn hetzelfde als toen ik nog studeerde, maar
binnen een vakgebied dat erg in beweging is. Recent legde
de Vrije Universiteit in Amsterdam het beveiligingslek
‘Drammer’ in het werkgeheugen van Android-toestellen
bloot. Het is een variant op de eerder gevonden Rowhammer-bug. Daarbij wordt gebruik gemaakt van een volledig
nieuwe techniek. Dat is baanbrekend voor het veld. Maar
tegelijkertijd komt het er in de kern op neer dat een hacker
altijd zoekt naar programmeerfouten. Omdat de techniek en
tooling steeds in ontwikkeling is, moet je ook als verdediger
bijblijven.”
“Daar ligt voor veel instanties het probleem. Omdat je
als multinational wel een Digital Security Operations
Center kan opzetten, maar het weinig zin heeft om daar met
drie IT-ers te wachten tot je wordt aangevallen. Dit is een
vak waar je continu uitgedaagd moet worden. Intern hebben wij hier een dergelijke meldkamer die voor honderd
van onze klanten de boel in de gaten houdt. Dan gebeurt er
elke dag wel wat en maak je vlieguren. Dan zie je dat bij
een klant in de VS een nieuw trucje wordt gebruikt, waarna
wij ontrafelen wat er precies is gebeurd. Met die kennis
beveiligen we de rest.”
“Als je een museum runt, is het makkelijk. Dan houd je
met een aantal camera’s de zalen in de gaten en zie je wie
er met een schilderij aan de haal gaat. Maar in dit werk is
het niet zo zwart-wit. Want als wij zien dat er terrabytes aan
data worden gekopieerd, is dat een operator die middenin
de nacht besluit om een backup te draaien, of is het een
12
Interview Ronald Prins
het Tijdschrift voor de Politie – jg.78/nr.9/16
de private partijen zelf. Die zijn in alle eerlijkheid niet
allemaal in staat om zichzelf te beschermen. Want wie had
destijds met de DigiNotar-crisis kunnen bedenken dat het
bijna omvallen van een bedrijfje uit Beverwijk met 55
werknemers ertoe kon leiden dat er in Nederland mogelijk
geen belasting meer kon worden geïnd?”
“Wij leven in een bubbel en beseffen nauwelijks hoe
afhankelijk wij van internet zijn. Hier bankiert 98 procent
van de mensen online. Ter vergelijking, in Engeland is dat
40 à 50 procent. Die grote afhankelijkheid maakt ons
interessant voor anderen die kwaad in de zin hebben. Er
zijn buitenlandse mogendheden die op zoek zijn naar
ingangen om ten tijde van een toekomstig conflict hier de
stroom uit te kunnen zetten. Kun je van een energiebedrijf
verlangen dat het zich tegen een buitenlandse geheime
dienst kan wapenen?”
“Enerzijds zou de overheid dwingender moeten zijn
richting de vitale sectoren, anderzijds zouden diensten als
de AIVD ook online veel actiever moeten worden. Net
zoals je op straat kijkt of er geen spionnen rondlopen die
met ambtenaren van Buitenlandse Zaken contacten leggen, moet je dat ook op het internet doen. Dat mag nu niet.
Dat merk je aan alle kanten. Zowel in het politie- als in het
inlichtingendomein loopt de wetgeving hopeloos achter bij
de issues die spelen.“
Als je hulp wordt ingeroepen, spoor je bedrijven dan aan om aangifte te doen?
hacker die met de data aan de haal gaat? Het is een weinig
theoretische, vooral praktische omgeving waarin we werken.”
Houd je het als directeur zelf nog bij?
“Ik probeer in de lunch aan te haken bij de mensen in de
control room. Om feeling te houden met het proces. Daarnaast onderhoud ik het contact met klanten, om te bespreken hoe technische risico’s worden vertaald naar business
risico’s.“
Heeft zo’n bedrijf ook oog voor de maatschappelijke implicaties van een hack?
“Ja, zeker in de vitale sectoren is dat besef er wel. Het
probleem zit ‘m erin dat een bedrijf zich in de praktijk
vooral beveiligt voor hun primaire bedrijfsproces. Voor een
energiebedrijf bestaat het businessmodel uit het verkopen
van energie. Als de stroom een dagje uitvalt, kost dat bij
wijze van spreken een miljoen euro. Maar voor de mensen
die ervan afhankelijk zijn, is de schade een veelvoud
daarvan. Maar het proces wordt beveiligd voor dat miljoen.”
“Daarom vind ik dat de overheid wel dwingender zou
mogen zijn jegens die vitale partijen. Die willen zelf ook
vaak wel meer investeren om veiliger te worden, op voorwaarde dat het voor alle spelers in de sector geldt. Ik vind
dat de overheid nu nog te veel leunt op de afwegingen van
“In alle eerlijkheid, aangifte heeft vaak geen nut. Bedrijven doen het wel, als onderdeel van hun compliance. Maar
meer dan een check-the-box is het vaak niet. Dat zie je ook
bij het ransomware-verhaal, waar veel mensen nu last van
hebben. De politie zegt tegen ouderen die alle foto’s van
hun kleinkinderen kwijt zijn om vooral niet te betalen en
aangifte te doen. Die mensen zitten in dubio. Als je betaalt,
heb je de foto’s terug. Bij aangifte wordt de dader zeer
waarschijnlijk nooit opgespoord, en schiet je er als burger
weinig mee op. Veel mensen zullen dan toch betalen.”
“Verder moet je je ook niet blindstaren op de grote
bedrijven. Ongeveer 80% van de mensen werkt bij het
MKB. Ook daar wordt voor tonnen gestolen, vaak door
buitenlandse daders. Aangifte heeft vooral nut als daders
achterhaald kunnen worden en de goederen terugkomen.
Dat is per definitie iets voor de fysieke wereld. Want in de
online wereld is de pakkans nihil.”
“Ook het Team High Tech Crime, dat ik hoog heb zitten,
loopt stuk op Russischsprekende criminelen die niet zo
gauw deze kant op komen. Soms zijn de namen van de
verdachten zelfs bekend. Een beruchte speler is Evgeniy
Bogachev. Er staat drie miljoen dollar op zijn hoofd. Vooralsnog woont hij in een mooi huis langs de Zwarte Zee en
wordt hij door de Russische overheid met rust gelaten.
Zolang je in Rusland geen strafbaar feit pleegt, is het in
hun ogen prima. Er is een sterk vermoeden dat hij zijn
criminele botnets ook heeft ingezet tijdens de inval in de
Oekraïne en zo de overheid weer heeft geholpen. In som-
Interview Ronald Prins
13
Hoe gaan andere Westerse landen daarmee
om?
Zowel in het politieals het inlichtingendomein
loopt de wetgeving hopeloos
achter
mige landen lopen criminele groepjes soepel door naar
lokale diensten. Wij kunnen ons daar met onze westerse
blik weinig bij voorstellen.”
Is dat onder gelijkgestemde landen beter
geregeld?
“Ook binnen de Europese Unie loop je tegen problemen
aan. Neem iets simpels als dat je fiets in Arnhem wordt
gestolen en je ziet hem terug op een Duitse Marktplaats. In
Nederland is het al lastig om onder dekmantel te werken
en een afspraak te maken om de fiets te bezichtigen. Laat
staan als je dat over landsgrenzen heen doet.”
“Een gestolen fiets is dan nog een vrij overzichtelijk
fysiek gegeven. De kern van het probleem is dat de wetgeving zich op dat fysieke richt, terwijl de fraude online
gebeurt. Waar ook andere mores gelden. Na de IRTaffaire is de lat veel hoger gelegd voor uitlokking en de
inzet van pseudokopers, ook als het burgers zijn. Dat
werkt goed voor het fysieke domein, maar als ik online
een pizza bestel, doe ik dat ook niet onder mijn eigen
naam. Het is online heel gewoon om je onder een alias te
begeven. Dat zou voor de politie ook veel makkelijker
moeten zijn.”
Brengt de Wet Computercriminaliteit III daar
verandering in?
“Die wet geeft de politie de hackbevoegdheid die echt
nodig is om daders te kunnen achterhalen. Nu zie je vaak
dat er met digitale incidenten wel sporen zijn, maar die
stoppen bij een of ander apparaat dat in het buitenland
gehost wordt. Met allerlei rechtshulpverzoeken moet de
politie daar dan achteraan. Tegen de tijd dat alles is vertaald, is de server alweer offline.”
“Als je de mogelijkheid krijgt om te hacken, dan heb je
een grote kans om vrij snel sporen van die dader in het
fysieke domein te vinden. Dan is de server minder relevant,
omdat je de zaak kunt voortzetten met het rijtje standaardbevoegdheden in het fysieke domein. Je kunt de verdachte
dan onder de tap zetten, volgen, desnoods infiltreren. Maar
je hebt die eerste stap nodig om van online naar offline te
kunnen gaan. Die belangrijke schakel ontbreekt vaak.”
“De Russen hebben de Democratische partij in Amerika
aangevallen. Dat liep nota bene via servers die hier in
Nederland staan. Nederland krijgt dan een rechtshulpverzoek, maakt een kopie van de server en stuurt die op
naar de VS. Maar omgekeerd moeten wij ook de afweging
maken wat wij willen doen als Nederlandse burgers worden bedreigd vanuit buitenlandse servers.”
“Stel dat hier iets speelt, waarbij een server in Chili
wordt gebruikt. De echte dader zit misschien niet in Chili,
maar in Venezuela, Mexico, Armenië of Amsterdam. Als je
daarachter wilt komen, moet je inbreken in de computer in
Chili. Wij zien dat Amerikanen wel in Nederland hacken,
maar omgekeerd doen we het niet zonder rechtshulpverzoek. Is dat principieel juist of zijn we dan Roomser dan de
Paus? Als we zien dat er in Nederland geld wordt weggesluisd en Chili neemt de telefoon niet op, kunnen we dan
zelf optreden? Zeker als zo’n server wordt gehuurd door
een crimineel die er 10 euro per maand voor betaalt en de
Chilenen er niet mee lastigvalt, valt er wat voor te zeggen
om zelf in te grijpen. Met Nederlandse slachtoffers hebben
we misschien nog wel meer rechtsgrond om op te treden
dan de Chilenen zelf, maar het is juridisch een lastig
domein om helemaal af te leggen.”
“Bovendien zit er ook een politieke component achter.
Want als wij vinden dat we daar mogen binnentreden
omdat er iets gebeurt wat wij strafbaar vinden, dan vinden
China en Erdogan dat misschien ook ten aanzien van onze
Nederlandse servers. Dus dan krijg je m net zo hard weer
terug. Die discussie moet gevoerd worden, maar in de
Tweede Kamer is het vooralsnog angstvallig stil op dit
thema.”
En een verzoek aan de eigenaar van de server?
“De wereld zit anders in elkaar. Soms lukt het om aan een
hostingpartij te vragen de stekker eruit te trekken. Maar er
zijn ook zogeheten bullet proof hosters die er hun business
van hebben gemaakt iedereen met rust te laten die er zijn
troep ophangt. Zelfs als je die van buitenaf zou weten plat
te gooien, hebben ze de server binnen een half uur weer
ergens anders draaien. Dus zo eenvoudig is dat niet.”
Dat betekent dat het internationaal vrij spel is?
“Nu kan het nog niet, maar met CC3 wordt de gedachtegang dat de Nederlandse politie mag hacken in apparaten
in Nederland, en op servers waarvan de locatie niet is vast
te stellen. Anders zouden er computers zijn die je nooit
kunt hacken. Het gaat dan met name om de computers in
het TOR-netwerk met de .onion-adressen die zich op
Nederland richten. Het is een soort zeerecht dat in de loop
der tijd is ontstaan. In internationale wateren geldt de wet
van het land waar het schip geregistreerd staat. Je zou ook
op die manier naar de jurisdictie kunnen kijken. Als een
computer zijn pijlen op Nederlandse slachtoffers richt,
mag je er vanuit Nederland ook onderzoek op doen.”
14
Interview Ronald Prins
“Maar het is tekenend voor de juridische context, die moeite
heeft de ontwikkelingen bij te houden. Vaak draaien we aan
een paar kleine schroefjes, met een klein beetje nieuwe
wetgeving maken we de situatie passend binnen de
bestaande. Maar eigenlijk zou je opnieuw moeten beginnen
en voor dit domein een heel eigen wetgeving moeten
maken.”
Is dat de grootste complicatie in de
bevoegdheden?
“Ja, in combinatie met het attributieprobleem. Als er een
incident is, weet je op voorhand niet of het een Rus, een
Iraniër of een crimineel uit Nederland is. Vaak weet je pas
op het eind van een onderzoek of het een spionagepoging
is die in het domein van de inlichtingendiensten thuishoort, of dat het een criminele casus is waar de politie
achteraan moet. Waarbij online bedrijfsspionage bij ons
niet in het domein van de inlichtingendiensten valt,
terwijl dat in veel andere landen wel zo is. Omdat die
diensten de spionage ten behoeve van bedrijven uit hun
eigen land zelf faciliteren.”
“Maar de kern van het probleem is dat je vooraf niet
weet waar de dreiging vandaan komt en in welke context je
het moet zien. Andere landen gaan daar pragmatischer
mee om. Groot-Brittannië heeft een GHCQ, de Government Communications Headquarters, de centrale afluisterdienst. Het is de evenknie van de Amerikaanse NSA.
GHCQ werkt voor zowel defensie als de inlichtingendiensten als de politie. Zij zitten daar met vergelijkbare techneuten als wij hier in huis hebben naar incidenten te
kijken. Onderweg bepalen ze waar het incident thuishoort
en met welke pet op zij verder gaan, en en dus ook met
welke bijbehorende bevoegdheden. Bij ons ligt dat vooralsnog lastiger. De WIV, de Wet Inlichtingen- en Veilig-
het Tijdschrift voor de Politie – jg.78/nr.9/16
heidsdiensten, geeft weer andere bevoegdheden dan de
Politiewet.”
En vergeet ook de privacydiscussie in
Nederland niet.
“Soms is die discussie terecht. Ik heb een uitgesproken
mening over het bewust verzwakken van cryptografie. Dat
werd bijvoorbeeld geopperd toen Whatsapp de beveiliging
aanscherpte. Maar ik denk dat we geen achterdeur moeten
inbouwen om inlichtingendiensten toegang te geven,
omdat die ook door anderen en voor andere doeleinden zal
worden gebruikt. Ik vind dat we dat niet moeten willen.
Wat mij betreft mag een dienst best op zoek naar een
ingang om het verkeer te onderscheppen, maar dat is wat
anders dan er op voorhand in voorzien.”
“Overigens wordt privacy naar mijn mening te vaak
tegenover veiligheid gezet, alsof het om het één of het
ander gaat.”
Maar veiligheid staat of valt toch bij privacy?
“Ik denk niet dat het twee tegenpolen zijn. Onze privacy
wordt om de haverklap geschonden door hackers die in
onze netwerken zitten en met miljoenen gegevens uit
databases aan de haal gaan. Ik denk dat het juist een taak
van de overheid is om ervoor te zorgen dat dat niet meer
gebeurt. Ik vind het zorgelijk dat het parlement geen
duidelijke keuzes durft te maken. De WIV ligt er al drie
jaar. De Wet Computercriminaliteit III ook. Door de rel
rond Edward Snowden heeft de behandeling twee jaar
vertraging opgelopen.”
“Er is, mede door Snowden, het idee ontstaan dat
inlichtingendiensten allemaal hele enge dingen doen.
Maar als je goed inzoomt op wat er is gebeurd, zie je dat het
volledig conform de Amerikaanse wet- en regelgeving is
Interview Ronald Prins
Het sleutelwoord
is ‘waarborgen’: wie mag
wanneer welk instrument
inzetten?
verlopen. Het Amerikaanse congres is er steeds in betrokken. De gedachte dat de diensten eng zijn en dat wij ons
tegen hen moeten beschermen, heeft hier de overhand
gekregen. Terwijl ze er zijn om ons burgers te beschermen.
Maar dan moet je ze wel de tooling geven die daarbij
hoort.“
En dus toch alles in de gaten houden?
“Het sleutelwoord in deze discussie is ‘waarborgen’: wie
mag wanneer welke instrumenten inzetten? Dat geldt
zowel voor de inlichtingendiensten als de politie. Net zoals
een politieagent de systemen niet mag misbruiken om te
zien waar zijn vrouw overdag uithangt en of het nieuwe
vriendje van zijn dochter iets op zijn kerfstok heeft.”
“Er zit ook iets dubbels in. Als een kind wordt ontvoerd
verwachten we van de politie dat ze direct weten waar die
rode VW Golf met dat-en-dat kenteken rijdt. Als je wilt
weten of er over de A13 een rode VW Golf rijdt, ontkom je
er niet aan om al het verkeer te bekijken. Inclusief de
blauwe en groene auto’s die niet aan het profiel voldoen.
De techniek maakt verleidelijke dingen mogelijk.”
“Tegelijkertijd moet het geen glijdende schaal worden.
Het is ontzettend makkelijk als je in ieders mobiele telefoon kan kruipen, omdat je dan geen observatieteam meer
nodig hebt en het hele onderzoek vanachter je bureau kunt
draaien. Maar dan raakt de balans zoek. Er moet wel een
pakkans zijn, maar die moet niet absoluut zijn. Anders
krijg je een politiestaat.”
De pakkans wil iedereen toch zo hoog
mogelijk?
“Als je het hele snelwegennet volhangt met trajectcontroles, wordt het een hele ongezellige samenleving. Dus
ergens bereik je een kantelpunt. Maar de online pakkans
mag inderdaad omhoog. Het is een simpel, criminologisch
gegeven. Als de verdiensten groot zijn, het makkelijk is uit
te voeren en de pakkans nihil is, dan wordt het in korte tijd
heel groot. Je zult de kwetsbaarheid voor dit soort criminele activiteiten moeten verkleinen.”
“In Nederland is dat gelukt met bankfraude. Op z’n top
werd er 35 miljoen per jaar weggehaald bij de banken hier.
15
Dat is nu teruggebracht tot drie ton per jaar. De banken
gingen samen de strijd aan en ontwikkelden mooie tools
waarmee frauduleuze transacties werden gedetecteerd.
Maar het is een waterbedeffect. In Nederland zijn ze weg,
maar de daders zijn nooit gepakt. Die hebben hun werkgebied nu verlegd naar banken in Scandinavië.”
Zou de hackbevoegdheid ook voor de politie
zelf een uitkomst bieden?
“Jazeker. Tijdens de gijzeling in de Joodse supermarkt in
Parijs stonden het AT en de DSI klaar om naar binnen te
gaan. Toen was het wel fijn dat de politie toegang had tot de
camerabeelden in de supermarkt. Dat systeem kon de
politie van buitenaf hacken om mee te kijken.”
“Volgens de letter van de wet zou dat hier niet mogen. In
de praktijk – en de politie kennende – zal de minister in
zo’n uitzonderlijk geval wel toestemming geven en denken
‘ik leg het later wel uit’, maar in de wet is het niet geregeld.
Bovendien moet je je realiseren dat de bevoegdheid ook
impliceert dat je het moet kunnen waarmaken. Dat er een
team ontstaat dat daar structureel mee bezig is en een AT
kan ondersteunen bij een instap. Het is geen cybercrime in
enge zin, maar gaat dus ook over de digitale middelen die
de politie kunnen helpen in hun werk.“
Waar ligt voor jou de prioriteit voor een nieuw
kabinet?
“Na de aanslagen in Parijs zei de Britse minister van
Financiën dat het budget voor de bestrijding van cybercrime van 3,5 miljard naar 6 miljard ging, omdat hij ervan
uitging dat de volgende aanslag net zo goed digitaal kon
zijn. In Nederland is er voor de komende jaren 100 of 200
miljoen gereserveerd, terwijl wij digitaal afhankelijker zijn
dan de Britten.”
“Maar meer poppetjes en meer geld alleen is niet de
oplossing. We gaan echt niet meer cybercrime oplossen
door het team High Tech Crime te vergroten. Het gaat ook
om platte dingen als de werkprocessen bij de politie. Je
moet van voor naar achter door die keten kijken. Hoe doen
burgers hun aangiften? Wordt dat efficiënt opgepakt?
Zitten daar mensen op die de cyberwereld kennen?”
“In mijn optiek zou cybercriminaliteit net zo’n specialisme moeten zijn als milieudelicten of financiële fraude.
Omdat het zo de haarvaten van onze samenleving raakt,
vind ik ook dat cyberveiligheid het ministersniveau ontstijgt. Er is in 2010 een regeringscommissaris voor de
Deltawerken aangesteld, die dwars door alle ministeries
heen mag beuken. Iets vergelijkbaars zouden we ook op
cybergebied moeten ambiëren. Met eigen budget en mandaat, die vitale partners kan aansporen en bedrijven als
ASML kan helpen om zich te wapenen tegen buitenlandse
mogendheden die op zoek zijn naar hun intellectuele
eigendom. Want dat gaat de eigen verantwoordelijkheid
van het bedrijfsleven te boven. Net zoals de overheid ook
kijkt of er geen Russische jachtvliegtuigen deze kant op
komen, moet je ook in de gaten houden wat buitenlandse
16
Interview Ronald Prins
het Tijdschrift voor de Politie – jg.78/nr.9/16
het zo aan de fundamenten van onze
samenleving komt. De overheid heeft
het geweldsmonopolie. Een reactie op
zo’n DDoS-aanval kun je in het
verlengde daarvan zien.”
Wat zou je ten slotte aan de
politie willen meegeven?
mogendheden op internet doen. En trouwens, ook de
Deltawerken zelf moeten niet ten prooi vallen aan
cyberaanvallen.”
Hoe defensief of offensief mag de overheid
daarbij zijn?
“Om defensief te zijn heb je soms offensieve bevoegdheden nodig. Als er een grote DDoS-aanval is op de banken
waardoor we niet kunnen pinnen, helpt het als er in de
aanvallende server kan worden ingebroken en de boel kan
worden uitgezet. Dat zie ik als een overheidstaak, omdat
Bij de politie heb je
roosters en hiërarchie, maar
hackers gedijen bij zo min
mogelijk sturing
“Door de politie wordt soms het
excuus gebruikt dat ze de goede
mensen niet kunnen krijgen, omdat
die in het bedrijfsleven zitten. Dat
vind ik een zwaktebod. Want zoveel
lopen de salarissen niet uiteen. Het
gaat naar mijn idee vooral om de
cultuur die de politie in dit domein
opbreekt. Je hebt creatievelingen
nodig die niet te vaak ‘zo doen wij dat
hier niet’ willen horen.
“Bij Fox-IT werken mensen soms
door tot drie uur ’s nachts, omdat ze de
‘puzzel’ willen oplossen. Die komen
de volgende dag om elf uur weer
binnen. Daar moet je niet moeilijk
over doen. Bij de politie heb je roosters en hiërarchie. Hackers gedijen
het best bij zo min mogelijk sturing.
‘Er is een probleem, ga er maar naar
kijken.’ Ga niet voor ze uitdenken hoe
ze het moeten oplossen. Laat ze maar.
Dat zou mijn advies zijn.”
“Tot slot geldt dat politie en OM de goede prioriteiten
moeten stellen. Bij e-crime, waarbij geld van bankrekeningen wordt gestolen, zie je dat de katvangers wel worden
aangehouden, maar de netwerken erachter nauwelijks
worden aangepakt. Terwijl daarmee het inzicht ontstaat
hoe die netwerken opereren.”
“Wij hebben Tracks Inspector ontwikkeld om tijdens een
huiszoeking snel een harde schijf te kunnen scannen op
digitale sporen. Dat gaat de hele wereld over, maar Nederland wil het niet hebben. Dat zit ’m vaak op hele platte
dingen als het inkoopbeleid. Iedereen moet er hier zijn
zegje over doen. Het moet worden aanbesteed. In het
buitenland is men beter in staat om heel snel mee te gaan
in de dynamiek van online.”
“Omdat we in Nederland als samenleving al zo online
georiënteerd zijn, is hier veel cybercrime. Dat is aan de
ene kant bedreigend, maar er liggen daardoor ook veel
mogelijkheden om kennis op te doen hoe je je daartegen
kunt wapenen. Daar zou de Nederlandse politie zich veel
beter op kunnen profileren. Iets vaker Dutch police uses
unusual tactics zou zo gek nog niet zijn.”
«
Noot
1 http://www.bbc.com/news/technology-11635317