Het wetsvoorstel van minister Opstelten dat politie de bevoegdheid geeft om cybercriminelen terug te hacken, zit verschillende Kamerfracties nog niet helemaal niet lekker, zo blijkt uit een debat van de Kamercommissie Veiligheid en Justitie. VVD en PvdA zijn voorstander van de plannen, hoewel de PvdA aangeeft dat er een duidelijk kader nodig is, zoals bij bijvoorbeeld een huiszoekingsbevel. PvdA-Kamerlid Astrid Oosenbrug pleit voor een soort computerzoekingsbevel.

Buitenproportionele bevoegdheden

De PvdA wil vindt dat het doorzoeken van een computer juridisch goed in te kaderen valt. “De lijn van de PvdA is dat je in principe dezelfde regels volgt als bij het doorzoeken van een huis”, zegt Oosenbrug. Diverse Kamerleden uitten in het overleg van de commissie zorgen dat het terughacken van pc’s een veel grotere impact heeft dan traditionele opsporingsmethoden.

"In de openbare ruimte kan een opsporingsdienst iemand een bepaalde tijd volgen, maar online kun je een veel langere periode bekijken", ilustreert Klaas Dijkhoff van de VVD.

Kees Verhoeven (D66) vindt het terughackvoorstel buitenproportioneel. “Zo’n inbraak van de politie op een pc is behoorlijk ingrijpend. Bij een huiszoeking weet je dat het gebeurd is.” Hij vraagt zich bovendien af of nieuwe bevoegdheden wel echt nodig zijn. Hij wist daarbij op de inefficiënte aanpak van het Citadel-botnet Pobelka.

Trage reactie op botnet

Het securitybedrijf Digital Investigation verzamelde informatie en daarop werd lauw gereageerd, stelt medeonderzoeker Erik Loman van Surfright. In februari meldde de NOS dat de overheid laks heeft gereageerd op de hacks en weinig bedrijven heeft geïnformeerd, ook al bleek uit de dataset welke organisaties zijn getroffen door Pobelka. De 750 GB aan data die cybercriminelen hadden ontfutseld is door Digital Investigation aangeboden aan de KLPD, die daar vervolgens niets mee gedaan zou hebben.

In april benaderde de NCSC alsnog bedrijven wiens gegevens waren opgenomen in het botnet. Dat gebeurde na een analyse van de gegevens door diverse Nederlandse opsporingsdiensten.

De minister stelt dat er wel op de informatie is gereageerd, maar dat voornamelijk is gekeken naar de relatie met Dorifel – waar op dat moment een onderzoek naar liep – en de “enkel voor respons noodzakelijke gegevens zijn aangenomen”. Dat het NCSC na de media-aandacht alsnog bedrijven waarschuwde was volgens Opstelten nodig omdat gevoelige informatie uit de data openbaar was geworden en daardoor de kans op misbruik groter was geworden.

Pobelka bewijst voorbarige wetgeving

Verhoeven van D66 wijst wat betreft de nieuwe voorstellen op het inefficiënt aanpakken van het Pobelka-botnet. “We horen steeds dat bevoegdheden nodig zijn voor het aanpakken van DDoS. Hier heb je een voorbeeld waaruit blijkt dat het probleem niet ligt in een gebrek aan bevoegdheden, maar moet de coördinatie beter.” Hij ziet liever dat er meer aandacht wordt besteed aan de juiste inzet van de huidige capaciteit.

Minister Opstelten zegt het ermee eens te zijn dat zoveel mogelijk bestaande instrumenten gebruikt moeten worden. “Voor nieuw instrumentarium moet onomstreden en keihard aangetoond worden dat ze nodig zijn”, aldus de minister. Hij vindt wel dat de huidige strafvorderingsmaatregelen moeten worden uitgebreid om cybersecurityproblemen het hoofd te bieden ( PDF).