Inspectie: gebruik commerciële hacksoftware door politie blijft risico

Inspectie: gebruik commerciële hacksoftware door politie blijft risico

Het gebruik van commerciële hacksoftware door de politie blijft een risico, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader, zo laat de Inspectie Justitie en Veiligheid vandaag weten in haar verslag over de inzet van de hackbevoegdheid door politie.

De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. De politie heeft vorig jaar 28 keer van de hackbevoegdheid gebruikgemaakt om telefoons, laptops en andere systemen van verdachten binnen te dringen.

In de meeste zaken (23) werd hierbij gebruikgemaakt van commerciële hacksoftware. Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een ‘black box’ en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde.

De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren. Werkzaamheden die de
leverancier uitvoert, kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. De Inspectie merkt hierbij op dat deze wijze van toegang door de leverancier gebruikelijk is in de markt voor deze commerciële software. De politie stelt dat er geen alternatief voorhanden is dat dezelfde functionaliteit biedt zonder deze nadelen.

Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie zegt er begrip voor te hebben dat deze software in het belang van de opsporing wordt ingezet, maar signaleert dat hierdoor spanning ontstaat met het rechtskader. In het rechtskader is namelijk aangegeven dat de verkregen gegevens uitsluitend toegankelijk mogen zijn voor de
door de korpschef aangewezen ambtenaren.

Logging

Verder stelde de Inspectie vast dat de logging door de politie begin vorig jaar niet compleet was. Het politieteam dat de hackbevoegdheid toepast moet de handelingen die het uitvoert bij het binnendringen van systemen vastleggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging.

Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal vastleggen. De logging was begin vorig jaar echter niet compleet, aldus de Inspectie. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ten opzichte van 2020 ook het journaal verbeterd.

De Inspectie stelt in de conclusie dat het geen aanwijzingen heeft dat de politie in 2021 de hackbevoegdheid heeft ingezet buiten de in de bevelen aangegeven systemen. Verder stelt de Inspectie dat de keuringsdienst van de politie, ondanks de kwetsbare personele bezetting, de keuringsprocedure heeft nageleefd. Wel laat de Inspectie weten dat een kwaliteitsvoorziening voor het gehele hackproces, om zo risico’s te beperken, nog steeds niet is ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.

Image

Bron: https://www.security.nl/posting/755361/Inspectie%3A+gebruik+commerci%C3%ABle+hacksoftware+door+politie+blijft+risico?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.