Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes in de wereld.
De ‘hackwet’ was vandaag onderwerp van discussie in de Tweede Kamer. In de basis laat deze wet het toe dat de politie via elke mogelijke achterdeur de telefoons en andere verbonden apparaten van burgers zou mogen ‘afluisteren’ om zo berichten en andere gegevens te onderscheppen. De enige mogelijkheid die de politie daartoe – in deze dagen van encryptie op alle vormen van communicatie – nog heeft is het inbreken via achterdeuren in de technologie die we gebruiken om met elkaar te communiceren.
Veel vragen
Dat gaat dan niet alleen over telefoons, maar ook over het Internet of Things. Nu is dat sowieso al zo lek als een mandje, een probleem op zich, maar de politie zou straks een vrijbrief hebben om gebruik te maken van de 0-day hacks die criminelen ook gebruiken. Dat en meer werd besproken in een plenaire vergadering waarbij het er vooral op neerkwam dat er heel veel vragen werden gesteld aan Staatssecretaris Dijkhoff.
Speelruimte
Het kritieke punt dat door de tegenstanders wordt gemaakt is dat de politie door het passeren van de wet wel heel veel speelruimte krijgt. Logischerwijs werden er veel vragen gesteld over de noodzaak van al die bevoegdheden en de nog belangrijkere vraag wie in de gaten houdt of de politie niet te ver gaat met de mogelijkheden die ze hebben.
Toezicht is enorm belangrijk als kwetsbaarheden worden gebruikt die een impact kunnen hebben op kritieke systemen of grote groepen burgers. Toezicht is in de wet wel geregeld, maar de consequenties van onterechte hacks zijn niet duidelijk en de toezichthouders moeten wel de expertise hebben om te weten wat de implicaties zijn van de mogelijkheden waar justitie op dat moment om vraagt.
Noobs
Een groot probleem is dat een aantal van de kamerleden die zich mengen in het debat op zijn zachtst gezegd niet heel bekend zijn met de materie. De aanname dat de Nederlandse politie (plus ingehuurde experts) de kennis in huis heeft om verschillende achterdeuren te kunnen vinden zoals Jeroen Recourt (PvdA) dat schetste in het begin van het debat is redelijk ridicuul.
De realiteit is dat ze de 0-days gewoon moeten inkopen. In die markt moeten kopers echter vaak een NDA (non-disclosure agreement) tekenen die ze verbiedt de exploit te melden bij de kwetsbare partij. Dat maakt het dus principieel onmogelijk om de hacks die de politie gebruikt uiteindelijk te melden bij soft- en hardwaremakers. Wat weer in strijd zou zijn met de wet. Daarnaast werd er gehamerd op de internationale grenzen: hoe weet je of een server in Nederland staat? Wat als dat niet zo is?
Dijkhoff
Staatssecretaris Dijkhoff had dus nogal wat weg te werken. Bijna vijf uur nadat het debat was begonnen mocht hij het allemaal uitleggen. Hij had een goed verhaal, waarin een heel aantal van de vragen van de kamer beantwoord werden. Een groot struikelblok bleef echter het concept ‘onbekende kwetsbaarheid’. De staatssecretaris stelde dat er geen 0-days worden gekocht bij semi-legale bedrijven maar sloot wel het gebruiken van tools niet uit. In die tools kunnen wel indirect onbekende kwetsbaarheden zitten, maar dat weet je als gebruiker niet omdat een tool iets doet maar je niet uitgelegd krijgt hoe dat werkt.
Wel is er een meldingsplicht van dit soort kwetsbaarheden in de wet ingebouwd van vier weken na het verkrijgen ervan, met als enige uitzondering zelfgebouwde tooltjes die criminelen zouden gebruiken en geen invloed zouden hebben op het publiek als ze open bleven. Ook zal de politie niet aan hard- en softwaremakers vragen of ze een kwetsbaarheid open houden omdat er nog een onderzoek loopt. Het terechte punt dat werd gemaakt, dat je door het kopen van tools en exploits wel als overheid een industrie in stand houdt die er baat bij heeft om kwetsbaarheden in stand te houden, werd door Dijkhoff gepareerd met deze uitspraak:
Duurt lang
Er volgden nog verschillende herhalingen van zetten, waarbij vooral Kees Verhoeven (D66), Sharon Gesthuizen (SP), Liesbeth van Tongeren (GroenLinks) en Lilian Helder van de PVV zich kritisch opstelden. De Staatssecretaris, inmiddels zichtbaar geïrriteerd door alle vragen die maar bleven terugkomen, deed het voorkomen alsof veel problemen die de kamerleden schetsten in de praktijk helemaal geen issue zou zijn, maar werd er fijntjes op gewezen dat dit allemaal niet in de wet was vastgelegd.
De kamerleden van de oppositie gingen met een slechter gevoel het debat uit dan dat ze er naar eigen zeggen in gingen, maar uiteindelijk hangt het voornamelijk van de PVV af of de nu al omstreden wet kans van slagen heeft. De PvdA staat, ondanks een aantal kritische vragen van Recourt, nog steeds achter de wet en de VVD vindt het prima, met letterlijk no questions asked. De discussie is nog lang niet voorbij, al blijft het wel belangrijk om stil te staan bij het feit dat het hier om de invulling van de wet gaat en niet om de vraag of de politie überhaupt mag hacken.
Voor die discussie is het te laat, want in één ding heeft de Staatssecretaris in elk geval gelijk: het wordt niet veiliger online door de politie geen mogelijkheden te geven. De kamer moet er nu voor zorgen dat de politie dat kan doen, zonder dat we ons zorgen hoeven te maken dat het ons in een later stadium als burgers kan schaden.
[Afbeelding © Photographee.eu – Fotolia]
Verder lezen over Hacken
Cybercrime29.10.2024
25% van de Nederlandse bedrijven is niet goed voorbereid op cyberdreiging
Cybercrime15.10.2024
Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack
Cybercrime07.10.2024
Nee, LEGO raadt je niet aan de LEGO Coin te kopen
Cybercrime02.10.2024
Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid
Cybercrime28.08.2024
Grote storing legt DigiD en Eindhoven Airport plat
Cybercrime31.07.2024
Google Play bevat al jarenlang malware genaamd Mandrake
Cybercrime21.06.2024
Phishingslachtoffers Bunq krijgen nu wel hun geld terug
Cybercrime05.06.2024
Zo voorkom je dat je te maken krijgt met vakantiefraude
Verder lezen over Politie
Cybercrime25.11.2024
Ook bekende webshops kunnen je oplichten tijdens Black Friday
Mobile07.10.2024
Wanneer mag de politie in je telefoon kijken?
Online12.06.2024
BIMI: zo weet je straks dat het echt de politie is die je mailt
Social Media07.12.2023
WhatsApp-buurtpreventie: geeft dat wel echt een veiliger gevoel?
Cybercrime27.11.2023
Mogen burgers de politie helpen bij het opsporen van cybercrime?
Nieuws17.10.2023
56 kilometer te hard: 1,4 miljoen dollar boete
Jullie dachten dat de Nederlandse verkeersboetes extreem zijn?Nieuws25.09.2023
Wat zijn cashtraps en hoe herken je ze?
De politie waarschuwt ervoorNieuws08.09.2023
Interpol is 100 geworden
195 landen bestrijden samen de (internationale) misdaadVerder lezen over Wetgeving
Nieuws03.10.2024
Waarom goede tattoos steeds duurder worden
Cybercrime01.07.2024
Temu wordt nu zelfs bestempeld als gevaarlijke malware
Technology22.05.2024
Regulering van kunstmatige intelligentie – wat zal de EU AI Act bereiken?
Online17.05.2024
Gebruik van persfoto’s zonder toestemming is auteursrechtinbreuk
Online15.05.2024
Booking.com moet er ook aan geloven: extra checks door EU
Booking.com moet extra gaan oppassen voor de EUCybercrime30.04.2024
Standaardwachtwoorden zijn bij wet verboden in het Verenigd Koninkrijk
Online26.04.2024
Webshop Shein moet oppassen met namaakkleding door EU-regels
Marketing01.04.2024