Dat zei Troels Oerting, chef van het European Cybercrime Centre (EC3) van Europol gisteren bij een KPN-bijeenkomst over beveiliging. Hij besefte ‘de grote teleurstelling’ te zijn omdat reikhalzend was uitgezien naar de grote afwezige, NSA-baas Keith Alexander. Deze bleef in de VS vanwege de Syrië-kwestie.

We vangen vooral idioten

Oerting sprak over één van de grootste vangsten’ van cybercriminelen ooit die hij net achter de rug had. Dat heeft afgelopen weken gespeeld. Maar de openbaarmaking laat nog even op zich wachten. “Met 77 mensen hebben we tien dagen 24 uur per dag achter elkaar gewerkt aan een hele grote zaak. Een groot aantal politiediensten was fysiek bij ons aanwezig waaronder de FBI”, aldus Oerting. Hij wilde niet zeggen om wat voor soort zaak dit gaat. De afgelopen jaren betroffen grote vangsten van cybercriminelen veelal kinderporno omdat de daders traceerbaar zijn door transacties met creditcards. Grote financiële cybercrimezaken werden nauwelijks opgelost.

Oerting zei door toenemende spitsvondigheid in digitale criminaliteit meer en meer op achterstand te komen met de opsporing. Criminelen weten zich steeds beter te verschuilen en opereren meer en meer vanuit vrijhavens waar de Westerse politiediensten niet bij kunnen komen. Ook gebruik van Tor en encryptie verkleinen de vangkans. Bovendien komt het zelden tot vervolging omdat het verzamelen van hard bewijs zo moeilijk is. “We vangen zelden de grote jongens, meestal vooral de idioten”, zei Oerting.

‘Geen achterdeuren’

Hij ontkende dat Europol, al dan niet met de hulp van de FBI, gebruik kan maken van de mogelijkheden die de NSA heeft om encryptie te kraken of te omzeilen en van achterdeurtjes die bedrijven als Microsoft bieden volgens klokkenluider Edward Snowden. “Wij kunnen in opsporing enkel met gerechtelijke toestemming toegang tot data vorderen”, zo beantwoordde Oerting braaf de vraag van WebWereld.

Overigens is net als in de Verenigde Staten in de meeste Europese landen geregeld dat nationale politie en geheime diensten kunnen samenwerken. Dat staat in Nederland in Hoofdstuk 5 van de Wet op de inlichtingen- en veiligheidsdiensten 2002. De AIVD en MIVD werken samen met de Amerikaanse inlichtingendiensten, zo werd recent nog impliciet bevestigd door minister Ronald Plasterk. Die ontkende rechtstreekse toegang tot NSA-data die is vergaard met programma’s als Prism, want die is er wettelijk niet.

Oerting gaf hoog op over de samenwerking tussen de Europese politiediensten, zolang ze maar niet zelf willen scoren. Zodra het gemeenschappelijk resultaat voorrang krijgt, loopt het uitstekend, aldus de ervaren Deense cybercop.

Niet overdrijven

Oerting werd hard aangevallen door hoogleraar Michel van Eeten die hem onzorgvuldig redeneren verweet: “Hoe kun je nu tegelijkertijd zeggen dat de cybercriminaliteit toeneemt en dat je geen goed zicht hebt op de werkelijke omvang ervan?” In de zaal van Pulchri Studio in Den Haag was Van Eeten verder de enige die zijn hand opstak toen moderator Charles Groenhuijsen vroeg wie er van mening is dat de mate van cybercriminaliteit wordt overschat. De overige deskundigen in digitale criminaliteit en prominenten menen dat van onderschatting sprake is.

Vooral kleine organisaties lopen hopeloos achter. Dat beaamde ook Van Eeten die wees op Lektober waarmee Brenno de Winter en Webwereld aantoonden hoe gruwelijk slecht Nederlandse data beveiligd is. Deze tendens zal tot gevolg hebben dat bedrijven ICT vaker gaan uitbesteden. “De nadruk op beveiliging zal ertoe leiden dat meer en meer ICT, vooral door kleine bedrijven, uitbesteed zal worden. De kosten en risico’s worden te hoog”, aldus Van Eeten.

Bescherm Klokkenluiders

Van Eeten vreest evenwel nog meer voor te veel nadruk op beveiliging, waardoor economische groei en vooral innovatie zullen stagneren. Volgens Van Eeten moet de maatschappij het de komende jaren meer en meer hebben van ethische hackers en klokkenluiders.

Mede-panellid tijdens de KPN-bijeenkomst Dick Berlijn, ex-generaal en nu werkzaam voor Deloitte in beveiliging, hield een onverwacht krachtig pleidooi voor bescherming van klokkenluiders en tegen de houding van ‘bondgenoot’ Amerika: “Als een land klokkenluiders als vijand gaat zien in plaats van de systemen waarin ze de fouten en zwakheden aantonen, dan is er iets grondig mis met het zelfreinigend vermogen. Dan ben je dat aan het killen.”