Tag Cyberspionage

Reflectie voorgestelde aanpassingen Wet op de inlichtingen- en veiligheidsdiensten

jjoerlemans

De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.

Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.

1.     Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid

Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.

Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.

Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).

2.     Bulkdatasets

In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.

De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.

3.     Toezicht

De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.

Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.

Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.

4.     Grijsgebieden

Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.

Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.

Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.

Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.

Jan-Jaap Oerlemans & Sophie Harleman

Cybersecuritybeeld Nederland 2023

jjoerlemans Een reactie plaatsen

Het Cybersecuritybeeld Nederland (CBSN) geeft elk jaar een goed inzicht in de belangrijke gebeurtenissen en trends in cybersecurity. In het CBSN was dit jaar veel aandacht voor het conflict tussen Rusland en Oekraïne en de kwetsbaarheid industriële internet of things systemen. In dit blogbericht vermeld ik de dingen die mij het meest opvielen.

Ransomware-incidenten

Ransomware blijft een enorm probleem en heeft soms grote gevolgen. Verschillende energiebedrijven zijn bijvoorbeeld in Europa getroffen door ransomware en het kwam naar buiten dat statelijke actoren aanvallen uitvoerden op bedrijven in de olie- en gassector. Indirect is dit zelfs al voorgekomen toen door een ransomware-aanval op de Duitse windmolenfabrikant Nordex meerdere windmolens op Windpark Oude Maas niet konden proefdraaien. De aanval is opgeëist door criminelen die achter de Conti-ransomware schuilen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd bijvoorbeeld ook getroffen door ransomware. De aanvallers wisten productiefaciliteiten, zoals machines voor het produceren van vaccins, te raken. De machines hebben tijdens de aanval grotendeels door kunnen draaien. Daarnaast zouden de aanvallers e-mails en documenten met wetenschappelijke data, zoals informatie over vaccins, hebben gestolen. Deze gestolen data is (deels) gepubliceerd op het darkweb.

Verder zijn bijvoorbeeld twee Gelderse gemeenten slachtoffer geworden van een datalek nadat aanvallers met SunCrypt-ransomware bestanden konden stelen. De aanvallers hebben 130GB aan data buitgemaakt en gepubliceerd op de leksite van SunCrypt. Onder andere identiteitsbewijzen behoorden tot de gelekte data. Volgens forensisch onderzoek zijn de aanvallers binnengedrongen door gestolen inloggegevens van een leverancier te misbruiken. Ten slotte kunnen we nog wijzen op de ransomware-aanval op ID-ware, een grote leverancier voor toepassingen rondom authenticatie en toegangspassen. De aanvallers hebben gegevens buitgemaakt van klanten van ID-ware en deze gepubliceerd op een leksite. In de dataset bevonden zich onder andere toegangspassen van leden en medewerkers van de Eerste en Tweede Kamer.

Het aantal ransomware-aanvallen (ook op Nederlandse organisaties) leek in 2022 eveneens tijdelijk te dalen, om aan het eind van het jaar weer toe te nemen. Vermoedelijk speelt hier de impact van de Russische oorlog tegen Oekraïne op het cybercriminele ecosysteem een rol. Beide landen zijn belangrijke bronlanden van zware, georganiseerde cybercriminaliteit. Criminelen kozen een kant in de oorlog, wat bestaande samenwerkingsverbanden onder druk zette. Toch moet deze – al dan niet tijdelijke – daling in het juiste perspectief worden gezien. De politiecijfers zijn nog steeds zorgwekkend hoog. Bedrijven, maar ook gemeenten en publieke instellingen lopen onverminderd het risico slachtoffer te worden van ransomware of andere vormen van cybercriminaliteit. Er wordt niet altijd aangifte gedaan, bijvoorbeeld om imagoschade te voorkomen. Uit politieonderzoek bleek dat criminelen buitgemaakte informatie verrijken met andere informatie én doorverkopen.

Conflict Rusland-Oekraïne

Het CSBN 2022 stelde dat cyberaanvallen door statelijke actoren het nieuwe normaal zijn en dat landen de digitale ruimte gebruiken om geopolitieke voordelen te behalen. Ook in deze rapportageperiode zijn cyberoperaties aan het licht gekomen die in verband worden gebracht met statelijke actoren, waaronder spionage, diefstal van intellectueel eigendom en het inzetten van destructieve malware. Volgens de AIVD en de MIVD is de Russische cybersabotagecampagne tegen Oekraïne ‘de meest grootschalige en intensieve uit de geschiedenis’. De Oekraïense digitale infrastructuur wordt vrijwel constant aangevallen. Russische hackers hebben vele verschillende types wiperware ingezet tegen Oekraïense doelwitten, ook binnen vitale sectoren. Opvallend is de betrokkenheid van criminele en hacktivistische actoren in de context van de oorlog. Een verder kenmerkend element in het verloop van de oorlog is dat private bedrijven steun aan Oekraïne verlenen. Dat gebeurt vaak in samenwerking met landen die steun bieden aan Oekraïne.

Verder houdt Rusland zich bezig met beïnvloeding van de publieke opinie in westerse landen door onder andere desinformatie te verspreiden. De Russische inlichtingendiensten zijn er bijvoorbeeld enkele malen in geslaagd om de controle over uitzendingen van Oekraïense media tijdelijk over te nemen en Russische boodschappen uit te zenden. Aansluitend werden de systemen van deze media digitaal gesaboteerd. Daarnaast hebben Russische staatsmedia consequent desinformatie naar buiten gebracht.

Vermenging statelijke actoren en criminele actoren

Met betrekking tot cybercriminaliteit is de vermenging tussen statelijke actoren en criminele actoren opvallend. Het rapport noemt hoe de criminele Conti-groep zijn steun betuigde aan Rusland, en gaf aan dat cyberaanvallen op Russische doelwitten zouden worden beantwoord met aanvallen op kritieke infrastructuur. Dat onderschrijft de notie dat criminelen bepaalde doelwitten bewust uitkiezen omdat die in lijn zijn met geopolitieke belangen van bepaalde staten, of dat er zelfs banden kunnen bestaan tussen overheden en cybercriminelen. Statelijke actoren kunnen namelijk cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. Daarnaast kunnen andere partijen, zoals statelijke actoren, zich ook voordoen als criminele organisaties. Hierdoor wordt de scheidslijn tussen financieel gemotiveerde cybercriminelen en statelijke actoren vager en lastiger te onderscheiden. Dat compliceert attributie.

Kwetsbare industriële IoT-systemen

Operationele technologie (OT) binnen industriële netwerken, ook wel aangeduid als ‘Industrial Automation and Control Systems’ (IACS), speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Daarmee fungeert het ook als motor van vitale sectoren. OT raakt steeds meer vervlochten met informatietechnologie (IT). Daarnaast speelt het ‘Industrial Internet of Things’ (IIoT) een steeds belangrijker rol in industriële omgevingen. Dit heeft voordelen voor het optimaliseren van processen, maar het brengt ook risico’s met zich mee. Zo vergroot deze ontwikkeling het aanvalsoppervlak en daarmee het risico dat OT-systemen gecompromitteerd raken. Dit brengt uitdagingen met zich mee voor het beveiligen van dergelijke systemen. Daarbij is onder andere een grotere rol weggelegd voor detectie en mitigatie van digitale aanvallen. Op deze en andere vlakken is er – wellicht eufemistisch gezegd – “ruimte voor verbetering”.

Het CSBN wijst ook op nieuwe malware-soorten die zijn ontdekt voor de sabotage van OT-systemen. De eerste, ‘Industroyer2’, is ingezet tegen een Oekraïense energieleverancier, maar kon tijdig worden geneutraliseerd. ESET en de Oekraïense CERT attribueren Industroyer2 aan de Russische statelijke actor ‘Sandworm’. Ransomware-actoren vormen eveneens een risico voor de continuïteit van operationele systemen en fysieke processen. In juli 2022 is bijvoorbeeld een nieuwe ransomware-variant ontdekt, genaamd Luna. Deze variant bevat een lijst met OT-processen die, indien aanwezig, beëindigd worden alvorens over wordt gegaan tot versleuteling. Een dergelijke lijst wordt ook wel een kill-list genoemd.

Buiten de oorlog zijn ook verschillende wipers waargenomen. Zo werd bekend dat een geavanceerde cyberactor een nieuwe wiper heeft gebruikt bij aanvallen op de toeleveringsketen van organisaties in onder andere Israël. Ook criminelen lijken wiperfunctionaliteiten toe te voegen aan hun operaties. Een voorbeeld hiervan is de LokiLocker-ransomware. Die heeft een ingebouwde wiperfunctionaliteit die kan worden ingezet om slachtoffers af te persen.

Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

jjoerlemans

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid. 

Cybersecuritybeeld Nederland 2019 gepubliceerd

jjoerlemans Een reactie plaatsen

Posted op 8 juli 2019 op Oerlemansblog

In juni 2019 is een nieuw ‘Cybersecuritybeeld Nederland’ (.pdf) gepubliceerd. Het cybersecuritybeeld is een product van het Nationaal Cyber Security Centrum en biedt inzicht in de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Hieronder volgt een opsomming van lezenswaardige elementen uit het rapport.

Dreiging statelijke actoren

In het cybersecuritybeeld wordt de dreiging door ‘statelijke actoren’ (voornamelijk spionage) gezien als de grootste dreiging op het gebied van cybersecurity. De omvang van de dreiging die uitgaat van statelijke actoren blijft groeien. Landen als China, Iran en Rusland hebben offensieve cyberprogramma’s gericht tegen Nederland. Dit betekent dat deze landen digitale middelen inzetten om geopolitieke en economische doelstellingen te bereiken ten koste van Nederlandse belangen.

Ook cybersabatoge door staten heeft plaatsgevonden. Als voorbeeld wordt de malware ‘GreyEnergy’ genoemd, waarmee Poolse energie- en transportbedrijven in 2018 zijn geïnfecteerd. In het verleden zorgde andere destructieve malware, zoals ‘Industroyer’, al voor verstoring van de energielevering in Oekraïne. De groep die GreyEnergy vermoedelijk heeft ontwikkeld, is door het Verenigd Koninkrijk toegeschreven aan Rusland. GreyEnergy wordt als opvolger gezien van ‘BlackEnergy’, een malwaretoolkit die in verband is gebracht met cyberaanvallen op het energienet van Oekraïne in 2015 en 2016. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) besteedde opnieuw aandacht aan cyberaanvallen op de Duitse energiesector. Duitse bedrijven in verschillende vitale sectoren zouden verscheidene malen doelwit zijn geweest van grootschalige digitale campagnes. Hierdoor hebben de aanvallers toegang verkregen tot het kantoornetwerk van verschillende bedrijven. Het vermoeden bestaat dat de aanvallers uit waren op het verkrijgen van een positie binnen het netwerk om deze op een later moment uit te buiten.

In het rapport staat heel duidelijk dat: “verreweg de grootste dreiging op het gebied van economische spionage is afkomstig van China”. Deze spionage wordt gevoed door Chinese economische beleidsplannen, zoals ‘Made in China 2025’ en de ‘Nieuwe Zijderoutes’, waarmee het land zijn economische en geopolitieke invloed kan vergroten. China zet een breed scala aan (heimelijke) middelen in die het verdienvermogen van Nederlandse bedrijven ondermijnen en die op termijn kunnen resulteren in economische en politieke afhankelijkheden. Een van deze middelen is (digitale) economische spionage.

Ten slotte hebben Nederlandse inlichtingendiensten waargenomen dat een aantal Nederlandse ambassades in het Midden-Oosten en Centraal-Azië in 2017 en 2018 doelwit zijn geweest van digitale aanvallen, uitgevoerd door een buitenlandse inlichtingendienst.

Cybercrime en dreigingen door overige actoren

Ook de dreiging van criminelen blijft groot, onder meer door de schaalbaarheid van cybercrime. In de rapportageperiode hebben DDoS-aanvallen ervoor gezorgd dat een aantal Nederlandse banken tijdelijk slecht bereikbaar waren. Ook  de Belastingdienst, de Douane en DigiD waren enkele keren slecht bereikbaar door digitale aanvallen.

In de rapportageperiode zijn geen substantiële aanvallen door hacktivisten tegen Nederland of Nederlandse belangen waargenomen. Scriptkiddies en cybervandalen hebben vooral verstorende aanvallen uitgevoerd op organisaties, meestal met DDoS-aanvallen. Net als vorig jaar lijken criminele actoren verder in te zetten op het creëren van botnets en het verspreiden van cryptominers. De opstellers van het rapport wijzen naar Microsoft die constateert dat besmettingen met ransomware en cryptominers, na een piek begin 2018, de afgelopen periode zijn teruggelopen, zowel wereldwijd als in Nederland. Bedrijven lijken beter voorbereid te zijn op het herstellen van informatie na een ransomwarebesmetting, waardoor er minder losgeld wordt betaald. De inzet van cryptominers lijkt met het teruglopen van de koers van diverse cryptocurrencies af te nemen.

Steeds vaker gegevens van websites met behulp van ‘formjacking’. In dat geval past de aanvaller een website aan zodat informatie die de bezoeker invult bij de aanvaller terechtkomt. Op deze wijze kunnen criminelen bijvoorbeeld creditcardnummers onderscheppen van gebruikers van webwinkels. Volgens het IT-beveiligingsbedrijf Symantec krijgen met name kleine en middelgrote detailhandel krijgt hiermee te maken. De dreiging van insiders is het afgelopen jaar afgenomen. Digitale aanvallen vanuit terroristen zijn ook dit jaar niet waargenomen. Terroristische groeperingen zijn meer gericht op het plegen van fysieke aanslagen.

Weerbaarheid Rijksoverheid

In het rapport wordt verder opgemerkt dat de weerbaarheid van de Rijksoverheid niet op orde is. De Algemene Rekenkamer gaf op Verantwoordingsdag in mei 2018 aan dat op het gebied van ict-beveiliging slechts twee van de elf ministeries hun zaken op orde hadden. De president van de Algemene Rekenkamer stelt dat ‘de politieke en ambtelijke top van ministeries meer aandacht moet geven aan ict-beveiliging’. De veiligheidsmaatregelen zijn niet allemaal uitgevoerd om waterkeringen beter te beveiligen.

In het rapport wordt voorzichtig afgevraagd of er voldoende prikkels bestaan bij de overheid, het bedrijfsleven en bij consumenten om cybersecurity serieus te nemen. Het rapport geeft een alarmerend beeld weer, maar – zoals ook het NRC bijvoorbeeld bericht – het belang van cybersecurity lijkt nog steeds niet helemaal in politiek Den Haag door te dringen.