Kamerbrieven over cybercrime en cybersecurity voorjaar 2020

Kamerbrief over ‘Citrix-problematiek en WRR-rapport over digitale ontwrichting

Op 20 maart 2020 heeft de minister van Justitie en Veiligheid de kabinetsreactie gestuurd op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek aan.

Het valt daarbij op dat de minister veel aanbevelingen dan de WRR niet overneemt of er slechts indirect op ingaat. De WRR beval bijvoorbeeld aan een ‘helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen te creëren en de noodzaak van een aparte regeling voor overheidshandelen gericht op tegengaan van escalatie te onderzoeken’. Vervolgens wijst de minister op de al bestaande ‘nationale crisisstructuur’ en het ‘Nationaal Crisisplan Digitaal’ dat in februari 2020 is gepubliceerd, waar we waarschijnlijk uit moeten afleiden dat dit voldoende wordt geacht.

De WRR wees er ook op dat private dienstaanbieders vaak geen belang hebben in opsporing of attributie van aanvallen. De minister reageert daar indirect op door aan te geven dat ‘onder bestaande wettelijke kaders kan worden ingegrepen wanneer dit toch nodig is. Vakdepartementen hebben hierin bevoegdheden om in te grijpen op basis van sectorale wetgeving’.

Wel zegt de minister toe deze bevoegdheden in kaart te brengen zodat het gehele instrumentarium voor ingrijpen bij crises met digitale elementen inzichtelijk wordt en zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Hierbij worden onder meer de ‘Coördinatiewet uitzonderingstoestanden’ en de ‘Wet buitengewone bevoegdheden burgerlijk gezag’ betrokken.

Verder is interessant dat de minister in de Kamerbrief melding maakt van een nieuw samenwerkingsplatform op het gebied van cybersecurity, waar op dezelfde fysieke locatie samengewerkt wordt door politie, OM, NCSC, de AIVD en de MIVD met als doel informatie over cyberdreigingen en incidenten bijeen te brengen en gezamenlijke analyses te verrichten.

De minister benadrukt een aantal keer in de Kamerbrief dat alle organisaties primair zelf verantwoordelijk zijn voor digitale weerbaarheid. Tijdens de Citrix-problematiek werd duidelijk dat er nog veel sectoren zijn die niet over een eigen computercrisisteam of samenwerkingsverband beschikken. Uiteindelijk moet elk bedrijf en organisatie ergens terecht kunnen voor informatie en advies. Deze moeten in beginsel worden opgericht door de sectoren zelf, aldus de minister.

Om de betrouwbaarheid van cybersecuritydiensten te borgen is een subsidie verstrekt ‘om te komen tot een risicomodel en een kwaliteitsregeling voor leveranciers van cybersecuritydiensten’.

Persoonlijk vind ik het nog lastig een mening te vormen over deze kabinetsreactie. In de lange formele brief lees ik tussen de zinnen door geen enthousiasme voor de aanbevelingen in het rapport en vraag ik mij af of de overheid nu voldoende een vuist kan vormen bij ernstige incidenten bij cybersecurity. Ook wordt tamelijk summier ingegaan op de Citrix-problematiek. Daarvoor zou ik meer onderzoek willen lezen om er echt een oordeel over te kunnen vormen.

Michel van Eeten (prof. cybersecurity aan de TU Delft) schreef laatst overigens ook mooi en een prikkelend stuk over het WRR-rapport en hoe de oplossing niet altijd moet worden gezocht in meer bevoegdheden of een nieuwe overheidsinstantie. Zeker het lezen waard!

 Kamerbrief over de aanpak van cybercrime door regionale eenheden van de politie

In opdracht van het ministerie van Justitie en Veiligheid heeft een onderzoeksbureau in februari 2020 een ontnuchterend rapport afgeleverd over de aanpak van cybercrime door regionale eenheden van de politie’. Het rapport vond ik punten toch schokkend. Met al het geld en investeringen die zijn vrijgemaakt voor de politie om cybercrime  beter te bestrijden, vallen de resultaten op regionaal niveau – uitgaande van dit rapport – mij tegen.

De belangrijkste verandering die in rapport wordt besproken is dat naast het Team High Tech Crime (THTC) sinds 2016 ook op regionaal niveau binnen de politie-eenheden aandacht gekomen in de vorm van acht gespecialiseerde ‘cybercrime teams’. Maar in de eenheid Den Haag en Oost Nederland bestaat dat nog niet uit 10 FTE, waardoor het formeel niet voldoende capaciteit heeft voor een ‘cyberteam’. In het rapport worden nogal wat problemen bij de cyberteams gesignaleerd. Ook gaat het bij de intake van cybercrime nog steeds niet goed, omdat misdrijven te vaak niet herkend en geregistreerd worden als cybercrime.

Het gaat überhaupt niet goed met de kennis en kunde over cybercrime bij de politie volgens de onderzoekers. In het rapport staat:

“voor de cyberteams in de onderzochte eenheden geldt dat er een grote behoefte is om de specialistische digitale kennis binnen de generieke opsporing te versterken. De dieptekennis op digitaal vlak is met name voorhanden bij de Landelijke Eenheid (THTC) en bij de teams digitale opsporing. De cyberteams werken regionaal en pakken landelijk nauwelijks zaken op, terwijl cybercrime uiteraard niet regionaal van aard is”.

Door de cyberteams wordt nu wel voor meer cybercrimezaken door het OM vervolgd, omdat meer zaken worden aangedragen. Het accent ligt daarbij op veel voorkomende cybercriminaliteit, zoals phishing. Maar in deze zaken komt men weinig tot een veroordeling van een verdachte, omdat cybercriminelen vaak buiten beeld blijven. Mede hierom wordt vaker ingezet op ‘barrières tegen digitale criminaliteit’. Dat gaat dan koste van capaciteit van de opsporing, vraag ik mij af? En is de toezicht op deze acties van de politie voldoende?

Door de aanpak van cybercrime met specifieke cyberteams blijft verder de expertise binnen de reguliere opsporing achter, zo signaleren de onderzoekers. Bij andere teams is er daardoor weinig aandacht voor de digitalisering van criminaliteit. Dat lijkt mij een ernstige probleem. Kijk ook naar de laatste cijfers van maart 2020 van het CBS over criminaliteit, waar wordt gesignaleerd dat traditionele criminaliteit daalt en cybercrime stijgt. Internet en computers faciliteren simpelweg bepaalde vormen van criminaliteit, zoals oplichting en zedendelicten. Sterker nog, zij transformeren deze vormen van criminaliteit waar de politie uiteraard op moet inspelen. De regering komt later dit jaar met een meer uitgebreide reactie over de aanpak van cybercrime.

Kamerbrief over aanpak van ‘pedohandboek’

In de Kamerbrief van 10 februari 2020 over de aanpak van het ‘pedohandboek’ dat circuleert op het darkweb, geeft de minister van Justitie en Veiligheid aan dat vervolging voor het verspreiden van teksten uit een pedohandboek reeds mogelijk is. Het vervaardigen, bezit of verspreiding van het handboek valt volgens de minister onder het delict opruiing (artikel 131 Sr e.v..).

Op dit moment brengt volgens het OM een zelfstandige strafbaarstelling van het pedoboek geen extra mogelijkheden voor opsporing en vervolging mee. Toch laat de minister verkennen wat de (wettelijke) mogelijkheden zijn om de verspreiding van het ‘pedohandboek’ als zelfstandig strafbaar feit aan te pakken. Hierover wordt de Tweede Kamer nog voor de zomer geïnformeerd.

Wetsvoorstel ‘Zerodays afwegingsproces’

Op voorstel van Tweede Kamerlid Verhoeven (D66) is een wetsvoorstel naar de Tweede Kamer gestuurd over een ‘regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid’ (Wet Zerodays Afwegingsproces). Hier volgt een korte samenvatting van het wetsvoorstel en kritiek van de Raad van State daarop.

Zerodays

Zerodays, oftewel onbekende kwetsbaarheden, zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. Een breed scala aan actoren zoekt actief naar en/of gebruikt zerodays, zoals statelijke actoren, criminelen, bedrijven en ethisch hackers. Het in stand houden van zero days zou de software onnodig onveilig houden, zo is het idee.

Inhoudsindicatie wetsvoorstel

Het wetsvoorstel ‘Zerodays Afwegingsproces’ beoogt een wettelijk geborgd afwegingskader te bieden voor alle zerodays die de overheid ontdekt, aankoopt of anderszins in bezit krijgt. Het doel daarvan is dat er een goede, objectieve afweging plaats kan vinden tussen de verschillende belangen die gemoeid zijn bij het geheimhouden of laten dichten van zerodays. Hiertoe zou een nieuw orgaan moeten worden opgericht onder het Nationaal Cyber Security Centrum. Daarin zouden de verschillende belangen op het gebied van opsporing en inlichtingen, privacy, economie, vitale infrastructuur en cybersecurity vertegenwoordigd zijn. Ook krijgen vertegenwoordigers van partijen uit de vitale infrastructuur een adviserende rol om ervoor te zorgen dat beslissingen over zerodays met voldoende informatie over de vitale infrastructuur genomen worden.

De betrokken ministers zouden als besluitvormend orgaan fungeren en het idee is dat de CTIVD met als nieuwe taak achteraf op deze wet toezicht houdt. Zie ook de memorie van toelichting van het wetsvoorstel voor het uitgebreide verhaal.

Raad van State adviseert tegen wetsvoorstel

De afdeling advisering van de Raad van State is zeer kritisch over het wetsvoorstel en adviseert Verhoeven het voorstel in te trekken. Op dit moment bestaat al een regeling voor het gebruik van zero days door opsporingsdiensten (zie parlementaire discussie hierover) en inlichtingen- en veiligheidsdiensten (zie de discussie hier). Ook wordt het kader in deze uitgebreide Kamerbrief over het gebruik van onbekende kwetsbaarheden door overheidsinstanties nog eens uiteengezet.

In de kern is de regeling vergelijkbaar, namelijk dat in beginsel onbekende kwetsbaarheden gemeld moeten worden, tenzij een zwaarwegend belang (het opsporingsbelang, inlichtingenbelang of nationale veiligheid) daar tegen op weegt. Het adviesorgaan van de regering merkt fijntjes op dat “anders dan de initiatiefnemer in zijn toelichting lijkt te veronderstellen, is voor de opsporingsdiensten de hoofdregel dat opsporingsdiensten onbekende kwetsbaarheden aan de fabrikant melden, wettelijk vastgelegd”.

De afdeling advisering van de Raad van State acht het wetsvoorstel kortgezegd niet noodzakelijk vanwege de al bestaande regeling en bestaand toezicht daarop. Voor inzet van de hackbevoegdheid door de opsporingsdiensten is bijvoorbeeld al een machtiging van de rechter-commissaris nodig. Het adviesorgaan wijst er ook op op dat bij de totstandkoming van de Wiv 2017 is aangegeven dat de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de rechtmatigheidstoetsing van hackoperaties van de AIVD en de MIVD ook het eventuele gebruik van onbekende kwetsbaarheden moet toetsen. Verschillende instanties houden bovendien achteraf toezicht op de naleving van de regeling (de Inspectie Justitie en Veiligheid en de CTIVD).

Verschillende wettelijke regimes voor opsporing en nationale veiligheid

De Raad van State merkt op dat ‘hoewel de bevoegdheden en de activiteiten op elkaar lijken en inlichtingen- en veiligheidsdiensten en opsporingsdiensten elkaar geregeld tegenkomen, in Nederland is bewust gekozen voor een gescheiden institutionele inrichting en aparte wettelijke regimes. De Wiv 2017 en het Wetboek van Strafvordering vertonen op hoofdlijnen overeenstemming, ingegeven door onder meer grondrechtelijke en Europeesrechtelijke normen, maar verschillen in hun uitwerking. Het belang van de nationale veiligheid vereist immers een andere afweging dan het belang van de opsporing. Dat deze belangen elkaar kunnen raken is daarbij een gegeven. De diensten kunnen waar noodzakelijk voor afstemming zorgen’.

Conclusie

De Raad van State heeft naar mijn idee een prima kritisch advies geschreven over het wetsvoorstel. Zelf heb ik er nog aan toe te voegen dat de initiatiefnemer van de wet blijkbaar veronderstelt dat de huidige regeling met toestemming en extern toezicht niet werkt. Het wetsvoorstel voegt vooral de input toe van bedrijven toe die de vitale infrastructuur beheren en belegt de beslissing tot melden bij de minister. Misschien moeten eerst wat resultaten van de huidige regeling worden afgewacht, voordat een nieuwe regeling en een nieuwe adviesclub in het leven worden geroepen.

Je kan natuurlijk ook betogen dat het belang van cybersecurity in software, dat vaak ook buiten Nederland wordt gebruikt, opweegt tegen het opsporingsbelang of de nationale veiligheid. Privacyvoorvechter Bits of Freedom is al jaren faliekant tegen het niet-melden van onbekende kwetsbaarheden en vindt het wetsvoorstel niet ver genoeg gaan.

De afweging tussen het algemene belang van cybersecurity en het opsporingsbelang en nationale (veiligheids)belang is lastig te maken en is afhankelijk van de context van het geval. Eerder heeft onze wetgever deze afweging al gemaakt en zij gaat dat in deze wet dat mogelijk opnieuw doen. Ik benieuwd wat de Tweede Kamer ter zijner tijd gaat stemmen en ik houd het (ook) in de gaten!

Cybersecuritybeeld Nederland 2019 gepubliceerd

Posted op 8 juli 2019 op Oerlemansblog

In juni 2019 is een nieuw ‘Cybersecuritybeeld Nederland’ (.pdf) gepubliceerd. Het cybersecuritybeeld is een product van het Nationaal Cyber Security Centrum en biedt inzicht in de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Hieronder volgt een opsomming van lezenswaardige elementen uit het rapport.

Dreiging statelijke actoren

In het cybersecuritybeeld wordt de dreiging door ‘statelijke actoren’ (voornamelijk spionage) gezien als de grootste dreiging op het gebied van cybersecurity. De omvang van de dreiging die uitgaat van statelijke actoren blijft groeien. Landen als China, Iran en Rusland hebben offensieve cyberprogramma’s gericht tegen Nederland. Dit betekent dat deze landen digitale middelen inzetten om geopolitieke en economische doelstellingen te bereiken ten koste van Nederlandse belangen.

Ook cybersabatoge door staten heeft plaatsgevonden. Als voorbeeld wordt de malware ‘GreyEnergy’ genoemd, waarmee Poolse energie- en transportbedrijven in 2018 zijn geïnfecteerd. In het verleden zorgde andere destructieve malware, zoals ‘Industroyer’, al voor verstoring van de energielevering in Oekraïne. De groep die GreyEnergy vermoedelijk heeft ontwikkeld, is door het Verenigd Koninkrijk toegeschreven aan Rusland. GreyEnergy wordt als opvolger gezien van ‘BlackEnergy’, een malwaretoolkit die in verband is gebracht met cyberaanvallen op het energienet van Oekraïne in 2015 en 2016. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) besteedde opnieuw aandacht aan cyberaanvallen op de Duitse energiesector. Duitse bedrijven in verschillende vitale sectoren zouden verscheidene malen doelwit zijn geweest van grootschalige digitale campagnes. Hierdoor hebben de aanvallers toegang verkregen tot het kantoornetwerk van verschillende bedrijven. Het vermoeden bestaat dat de aanvallers uit waren op het verkrijgen van een positie binnen het netwerk om deze op een later moment uit te buiten.

In het rapport staat heel duidelijk dat: “verreweg de grootste dreiging op het gebied van economische spionage is afkomstig van China”. Deze spionage wordt gevoed door Chinese economische beleidsplannen, zoals ‘Made in China 2025’ en de ‘Nieuwe Zijderoutes’, waarmee het land zijn economische en geopolitieke invloed kan vergroten. China zet een breed scala aan (heimelijke) middelen in die het verdienvermogen van Nederlandse bedrijven ondermijnen en die op termijn kunnen resulteren in economische en politieke afhankelijkheden. Een van deze middelen is (digitale) economische spionage.

Ten slotte hebben Nederlandse inlichtingendiensten waargenomen dat een aantal Nederlandse ambassades in het Midden-Oosten en Centraal-Azië in 2017 en 2018 doelwit zijn geweest van digitale aanvallen, uitgevoerd door een buitenlandse inlichtingendienst.

Cybercrime en dreigingen door overige actoren

Ook de dreiging van criminelen blijft groot, onder meer door de schaalbaarheid van cybercrime. In de rapportageperiode hebben DDoS-aanvallen ervoor gezorgd dat een aantal Nederlandse banken tijdelijk slecht bereikbaar waren. Ook  de Belastingdienst, de Douane en DigiD waren enkele keren slecht bereikbaar door digitale aanvallen.

In de rapportageperiode zijn geen substantiële aanvallen door hacktivisten tegen Nederland of Nederlandse belangen waargenomen. Scriptkiddies en cybervandalen hebben vooral verstorende aanvallen uitgevoerd op organisaties, meestal met DDoS-aanvallen. Net als vorig jaar lijken criminele actoren verder in te zetten op het creëren van botnets en het verspreiden van cryptominers. De opstellers van het rapport wijzen naar Microsoft die constateert dat besmettingen met ransomware en cryptominers, na een piek begin 2018, de afgelopen periode zijn teruggelopen, zowel wereldwijd als in Nederland. Bedrijven lijken beter voorbereid te zijn op het herstellen van informatie na een ransomwarebesmetting, waardoor er minder losgeld wordt betaald. De inzet van cryptominers lijkt met het teruglopen van de koers van diverse cryptocurrencies af te nemen.

Steeds vaker gegevens van websites met behulp van ‘formjacking’. In dat geval past de aanvaller een website aan zodat informatie die de bezoeker invult bij de aanvaller terechtkomt. Op deze wijze kunnen criminelen bijvoorbeeld creditcardnummers onderscheppen van gebruikers van webwinkels. Volgens het IT-beveiligingsbedrijf Symantec krijgen met name kleine en middelgrote detailhandel krijgt hiermee te maken. De dreiging van insiders is het afgelopen jaar afgenomen. Digitale aanvallen vanuit terroristen zijn ook dit jaar niet waargenomen. Terroristische groeperingen zijn meer gericht op het plegen van fysieke aanslagen.

Weerbaarheid Rijksoverheid

In het rapport wordt verder opgemerkt dat de weerbaarheid van de Rijksoverheid niet op orde is. De Algemene Rekenkamer gaf op Verantwoordingsdag in mei 2018 aan dat op het gebied van ict-beveiliging slechts twee van de elf ministeries hun zaken op orde hadden. De president van de Algemene Rekenkamer stelt dat ‘de politieke en ambtelijke top van ministeries meer aandacht moet geven aan ict-beveiliging’. De veiligheidsmaatregelen zijn niet allemaal uitgevoerd om waterkeringen beter te beveiligen.

In het rapport wordt voorzichtig afgevraagd of er voldoende prikkels bestaan bij de overheid, het bedrijfsleven en bij consumenten om cybersecurity serieus te nemen. Het rapport geeft een alarmerend beeld weer, maar – zoals ook het NRC bijvoorbeeld bericht – het belang van cybersecurity lijkt nog steeds niet helemaal in politiek Den Haag door te dringen.