Politie gebruikt niet goedgekeurde commerciële hacksoftware bij operaties

Politie gebruikt niet goedgekeurde commerciële hacksoftware bij operaties

De politie maakt bij de inzet van de hackbevoegdheid gebruik van niet goedgekeurde commerciële hacksoftware waarvoor het “enkele miljoenen” euro’s betaalt. Daarnaast laat het toezicht op de inzet van de hackbevoegdheid te wensen over, zo blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid.

Op 1 maart 2019 werd de Wet Computercriminaliteit III van kracht, die politie de bevoegdheid geeft om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen, ook wel de hackbevoegdheid genoemd. De wet zou na twee jaar, in twee delen, worden geëvalueerd. Het eerste deel van de evaluatie richt zich specifiek op de hackbevoegdheid.

Vanwege de coronapandemie liep het evaluatierapport enige vertraging op, maar is nu door minister Yesilgöz van Justitie en Veiligheid aan de Tweede Kamer aangeboden. Uit het rapport komen vijf knelpunten naar voren: de manier waarop politie op systemen kan binnendringen, de inzet van commerciële hackmiddelen, de meldplicht bij het gebruik van zerodaylekken, het toezicht door de Inspectie en de keuring van technische hulpmiddelen.

Niet goedgekeurd

Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens de onderzoekers blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten.

Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich verzet tegen een keuring. “Dat betekent dat aan één van de waarborgen, namelijk de keuring, bij een groot deel van de inzetten niet wordt voldaan”, aldus de onderzoekers. “In de praktijk is gebleken dat dat middel hoogstwaarschijnlijk ook niet goedgekeurd kan worden. Het middel maakt namelijk gebruik van een server waartoe de leverancier toegang heeft.” Vanwege het ontbreken van de keuring neemt de politie wel technische en tactische waarborgen om gegevens die met de hacksoftware zijn verkregen te kunnen verifiëren.

“Enkele miljoenen”

Bij de inzet van de hackbevoegdheid blijkt de politie vooral gebruik te maken van zerodaylekken die in de niet nader genoemde commerciële hacksoftware verwerkt zitten. Met deze software kan toegang tot telefoons worden verkregen. “Voor de opsporingspraktijk is dit product onmisbaar, omdat zij anders een groot deel van de inzetten (op een telefoon) niet kan doen”, zo stellen de onderzoekers.

In het regeerakkoord is echter afgesproken dat het gebruik van commerciele hacksoftware moet worden beperkt om de markt van zerodaylekken niet te stimuleren. Hierdoor moet de politie voor elke zaak een aparte licentie aanschaffen. Omdat de commerciële hacksoftware veelvuldig wordt ingezet, wordt geschat dat deze afspraak ertoe heeft geleid dat inmiddels ruim twee keer de aanschafprijs voor het product is betaald. Naar schatting gaat het om “enkele miljoenen”. Gezien het veelvuldige gebruik van de hacksoftware is het onwaarschijnlijk dat het afgesproken licentiemodel ervoor zorgt dat de markt van onbekende kwetsbaarheden minder wordt gestimuleerd, concluderen de onderzoekers.

Meldplicht

Een ander knelpunt dat de onderzoekers signaleren is de meldplicht. Er is afgesproken dat gebruikte zerodaylekken uiteindelijk aan de fabrikant of leverancier van de betreffende software moeten worden gemeld, zodat die een update kan ontwikkelen om zijn gebruikers te beschermen. Deze meldplicht geldt ook voor software die criminelen zelf ontwikkelen, wat inhoudt dat deze personen uiteindelijk moeten worden ingelicht over kwetsbaarheden in hun systemen. De meldplicht zou ook de samenwerking met andere partijen, zowel nationaal als internationaal, bemoeilijken, zo laten de onderzoekers weten.

Toezicht door de Inspectie

De onderzoekers zien ook verschillende knelpunten bij het toezicht op de inzet van de hackbevoegdheid. Op dit moment is het voor de Inspectie namelijk niet goed mogelijk om, vanwege het ontbreken van een kwaliteitssysteem bij de politie, het door de wetgever gewenste systeemtoezicht te houden. Er wordt dan ook geadviseerd om te kijken naar wat in de praktijk georganiseerd zou moeten worden om het systeemtoezicht van de grond te krijgen. Daarnaast is het nodig meer duidelijkheid te krijgen over de wijze waarop het toezicht door de Inspectie tot haar recht kan komen en er ook aandacht is voor de uitvoerbaarheid van de hackbevoegdheid.

Ingrijpende inbreuk

Afsluitend stellen de onderzoekers dat ervoor de inzet van de hackbevoegdheid verschillende waarborgen zijn. “Die waarborgen zijn er niet voor niets. De bevoegdheid vormt een zeer ingrijpende inbreuk op het privéleven van mensen en mag om die reden niet zomaar worden ingezet. Dat neemt niet weg dat het wenselijk is om een aantal van die waarborgen en daaraan verwante onderwerpen nog eens nader onder de loep te nemen.”

In het komend najaar zal naar verwachting een rapport van de Hoge raad verschijnen, over de toepassing van de hackbevoegdheid, gericht op het handelen van het Openbaar Ministerie. Minister Yesilgöz van Justitie en Veiligheid zal in het voorjaar van 2023 met haar reactie op het eerste deel van de evaluatie en het rapport van de Hoge Raad komen. Het tweede deel van de evaluatie van de hackbevoegdheid staat voor 2024 gepland.

Image

Bron: https://www.security.nl/posting/768267/Politie+gebruikt+niet+goedgekeurde+commerci%C3%ABle+hacksoftware+bij+operaties?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.