Kamerbrief over ‘Citrix-problematiek en WRR-rapport over digitale ontwrichting

Op 20 maart 2020 heeft de minister van Justitie en Veiligheid de kabinetsreactie gestuurd op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek aan.

Het valt daarbij op dat de minister veel aanbevelingen dan de WRR niet overneemt of er slechts indirect op ingaat. De WRR beval bijvoorbeeld aan een ‘helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen te creëren en de noodzaak van een aparte regeling voor overheidshandelen gericht op tegengaan van escalatie te onderzoeken’. Vervolgens wijst de minister op de al bestaande ‘nationale crisisstructuur’ en het ‘Nationaal Crisisplan Digitaal’ dat in februari 2020 is gepubliceerd, waar we waarschijnlijk uit moeten afleiden dat dit voldoende wordt geacht.

De WRR wees er ook op dat private dienstaanbieders vaak geen belang hebben in opsporing of attributie van aanvallen. De minister reageert daar indirect op door aan te geven dat ‘onder bestaande wettelijke kaders kan worden ingegrepen wanneer dit toch nodig is. Vakdepartementen hebben hierin bevoegdheden om in te grijpen op basis van sectorale wetgeving’.

Wel zegt de minister toe deze bevoegdheden in kaart te brengen zodat het gehele instrumentarium voor ingrijpen bij crises met digitale elementen inzichtelijk wordt en zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Hierbij worden onder meer de ‘Coördinatiewet uitzonderingstoestanden’ en de ‘Wet buitengewone bevoegdheden burgerlijk gezag’ betrokken.

Verder is interessant dat de minister in de Kamerbrief melding maakt van een nieuw samenwerkingsplatform op het gebied van cybersecurity, waar op dezelfde fysieke locatie samengewerkt wordt door politie, OM, NCSC, de AIVD en de MIVD met als doel informatie over cyberdreigingen en incidenten bijeen te brengen en gezamenlijke analyses te verrichten.

De minister benadrukt een aantal keer in de Kamerbrief dat alle organisaties primair zelf verantwoordelijk zijn voor digitale weerbaarheid. Tijdens de Citrix-problematiek werd duidelijk dat er nog veel sectoren zijn die niet over een eigen computercrisisteam of samenwerkingsverband beschikken. Uiteindelijk moet elk bedrijf en organisatie ergens terecht kunnen voor informatie en advies. Deze moeten in beginsel worden opgericht door de sectoren zelf, aldus de minister.

Om de betrouwbaarheid van cybersecuritydiensten te borgen is een subsidie verstrekt ‘om te komen tot een risicomodel en een kwaliteitsregeling voor leveranciers van cybersecuritydiensten’.

Persoonlijk vind ik het nog lastig een mening te vormen over deze kabinetsreactie. In de lange formele brief lees ik tussen de zinnen door geen enthousiasme voor de aanbevelingen in het rapport en vraag ik mij af of de overheid nu voldoende een vuist kan vormen bij ernstige incidenten bij cybersecurity. Ook wordt tamelijk summier ingegaan op de Citrix-problematiek. Daarvoor zou ik meer onderzoek willen lezen om er echt een oordeel over te kunnen vormen.

Michel van Eeten (prof. cybersecurity aan de TU Delft) schreef laatst overigens ook mooi en een prikkelend stuk over het WRR-rapport en hoe de oplossing niet altijd moet worden gezocht in meer bevoegdheden of een nieuwe overheidsinstantie. Zeker het lezen waard!

 Kamerbrief over de aanpak van cybercrime door regionale eenheden van de politie

In opdracht van het ministerie van Justitie en Veiligheid heeft een onderzoeksbureau in februari 2020 een ontnuchterend rapport afgeleverd over de ‘aanpak van cybercrime door regionale eenheden van de politie’. Het rapport vond ik punten toch schokkend. Met al het geld en investeringen die zijn vrijgemaakt voor de politie om cybercrime  beter te bestrijden, vallen de resultaten op regionaal niveau – uitgaande van dit rapport – mij tegen.

De belangrijkste verandering die in rapport wordt besproken is dat naast het Team High Tech Crime (THTC) sinds 2016 ook op regionaal niveau binnen de politie-eenheden aandacht gekomen in de vorm van acht gespecialiseerde ‘cybercrime teams’. Maar in de eenheid Den Haag en Oost Nederland bestaat dat nog niet uit 10 FTE, waardoor het formeel niet voldoende capaciteit heeft voor een ‘cyberteam’. In het rapport worden nogal wat problemen bij de cyberteams gesignaleerd. Ook gaat het bij de intake van cybercrime nog steeds niet goed, omdat misdrijven te vaak niet herkend en geregistreerd worden als cybercrime.

Het gaat überhaupt niet goed met de kennis en kunde over cybercrime bij de politie volgens de onderzoekers. In het rapport staat:

“voor de cyberteams in de onderzochte eenheden geldt dat er een grote behoefte is om de specialistische digitale kennis binnen de generieke opsporing te versterken. De dieptekennis op digitaal vlak is met name voorhanden bij de Landelijke Eenheid (THTC) en bij de teams digitale opsporing. De cyberteams werken regionaal en pakken landelijk nauwelijks zaken op, terwijl cybercrime uiteraard niet regionaal van aard is”.

Door de cyberteams wordt nu wel voor meer cybercrimezaken door het OM vervolgd, omdat meer zaken worden aangedragen. Het accent ligt daarbij op veel voorkomende cybercriminaliteit, zoals phishing. Maar in deze zaken komt men weinig tot een veroordeling van een verdachte, omdat cybercriminelen vaak buiten beeld blijven. Mede hierom wordt vaker ingezet op ‘barrières tegen digitale criminaliteit’. Dat gaat dan koste van capaciteit van de opsporing, vraag ik mij af? En is de toezicht op deze acties van de politie voldoende?

Door de aanpak van cybercrime met specifieke cyberteams blijft verder de expertise binnen de reguliere opsporing achter, zo signaleren de onderzoekers. Bij andere teams is er daardoor weinig aandacht voor de digitalisering van criminaliteit. Dat lijkt mij een ernstige probleem. Kijk ook naar de laatste cijfers van maart 2020 van het CBS over criminaliteit, waar wordt gesignaleerd dat traditionele criminaliteit daalt en cybercrime stijgt. Internet en computers faciliteren simpelweg bepaalde vormen van criminaliteit, zoals oplichting en zedendelicten. Sterker nog, zij transformeren deze vormen van criminaliteit waar de politie uiteraard op moet inspelen. De regering komt later dit jaar met een meer uitgebreide reactie over de aanpak van cybercrime.

Kamerbrief over aanpak van ‘pedohandboek’

In de Kamerbrief van 10 februari 2020 over de aanpak van het ‘pedohandboek’ dat circuleert op het darkweb, geeft de minister van Justitie en Veiligheid aan dat vervolging voor het verspreiden van teksten uit een pedohandboek reeds mogelijk is. Het vervaardigen, bezit of verspreiding van het handboek valt volgens de minister onder het delict opruiing (artikel 131 Sr e.v..).

Op dit moment brengt volgens het OM een zelfstandige strafbaarstelling van het pedoboek geen extra mogelijkheden voor opsporing en vervolging mee. Toch laat de minister verkennen wat de (wettelijke) mogelijkheden zijn om de verspreiding van het ‘pedohandboek’ als zelfstandig strafbaar feit aan te pakken. Hierover wordt de Tweede Kamer nog voor de zomer geïnformeerd.