Op 15 oktober werd bekend dat minister Opstelten politie en justitie een terughackbevoegdheid wil geven. Hoewel het doel – de bestrijding van cybercrime – belangrijk is, is het maar de vraag of dat een goed idee is. Zo een terughackmogelijkheid brengt namelijk serieuze risico’s voor de veiligheid van Nederlandse internetters – en daarmee voor cybersecurity – met zich.

Terughacken in drie smaken: inbreken, bespieden en vernietigen

Minister Opstelten stelt in een brief aan het parlement (Pastebin, maar waarschijnlijk authentiek) drie nieuwe bevoegdheden voor:

Het inbreken op computers (en dus ook mobiele telefoons) via het internet en het installeren van spyware, waarmee de computer door de politie kan worden overgenomen.

Het inbreken op computers via het internet en die computers vervolgens doorzoeken, ook in het buitenland.

Het inbreken op computers en de gegevens daarop vernietigen, ook in het buitenland.

Ook zou het strafbaar worden om (digitale) gegevens te helen.

Deze bevoegdheden zouden nodig zijn om cybercrime te bestrijden. Uit de brief blijkt ook dat de politie het afgelopen jaar al heeft ingebroken in computers, die computers heeft doorzocht en zelfs gegevens heeft vernietigd op servers in het buitenland – maar het is de vraag of ze daar een wettelijke bevoegdheid voor had, zo blijkt nu.

Hoewel het doel van deze bevoegdheden belangrijk is, heiligt het doel niet alle middelen. Wij noemen een paar belangrijke risico’s:

Terughacken maakt systemen kwetsbaar

Als de politie bij computers moet kunnen inbreken, heeft ze er belang bij dat die systemen kwetsbaar blijven. Van die kwetsbaarheid profiteert echter niet alleen de politie. Ook cybercriminelen en buitenlandse mogendheden zullen makkelijker op Nederlandse computers kunnen inbreken. Vergelijk het met de inbraakbeveiliging van een woning: wanneer de politie aanbiedt aan om woningen beter te beveiligen tegen inbraak, wordt het ook voor haarzelf moeilijker om bij een onderzoek in die woningen in te breken.

Spyware is moeilijk binnen de perken te houden

In Duitsland hebben ze al ervaring met spyware. En geen goede ervaring. Uit onderzoek van de Chaos Computer Club bleek dat stiekem door de politie geïnstalleerde afluistersoftware makkelijk te hacken was – via het internet. Zodat niet alleen de politie een computer kon overnemen met behulp van spyware, maar dat ook criminelen diezelfde computer konden overnemen omdat de spyware zélf gehackt was.

Hacken in het buitenland kan zich tegen ons keren

Opstelten stelt ook voor om servers in het buitenland te kunnen hacken, zonder rechtshulpverzoek als de locatie van een server niet achterhaald kan worden. Dat klinkt wellicht aantrekkelijk, totdat je je realiseert dat andere landen – denk: China – hetzelfde zouden kunnen doen bij computers die in Nederland staan. Dit kan in het minst erge geval lopende Nederlandse opsporingsonderzoeken blokkeren. Maar in het ergste geval kunnen hierdoor ook computers van volstrekt onschuldige Nederlanders het slachtoffer worden van hackpogingen van buitenlandse overheden.

Zeker als niet alleen inbreken, maar ook vernietigen mogelijk wordt

Die bevoegdheid om in buitenlandse computers in te breken blijft niet beperkt tot het doorzoeken van die computers: het zou ook mogelijk worden om de hele computer te vernietigen. Het is duidelijk dat als China op willekeurige Nederlandse computers zou inbreken en gegevens zou vernietigen, dat op zijn minst tot een diplomatieke rel zou leiden, zo niet erger.

Privé-gegevens van onschuldige Nederlanders in het vizier van de opsporing

Bij het aftappen van telefoongesprekken wordt niet alleen de verdachte maar ook degene aan de andere kant van de lijn afgeluisterd. Datzelfde geldt natuurlijk ook bij het doorzoeken van computers, maar dan tien keer zo erg: alle mailtjes, alle foto’s en alle berichten die een verdachte met onschuldige Nederlanders heeft uitgewisseld komen in het vizier van de opsporing. Dat is een serieus privacyprobleem.

Bovendien: misbruik ligt op de loer

Dan hebben we het nog niet eens over het probleem dat deze bevoegdheden erg makkelijk misbruikt kunnen worden. Juist doordat deze opsporingshandelingen digitaal zijn is het moeilijk na te gaan of bewijs is gefabriceerd of juist is achtergehouden. Een hieraan gerelateerd voorbeeld: in Duitsland is gebleken dat de spyware die bedoeld was om alleen Skype gesprekken af te luisteren, in de praktijk ook ingezet kon worden voor het op afstand aanzetten van de camera. In Duitsland trokken onderzoekers dan ook de conclusie dat deze software niet geschikt was voor bewijsvergaring.

Onderzoek naar risico’s voor cybersecurity is noodzakelijk

Kortom: terughackbevoegdheden zijn een serieus risico voor cybersecurity. Daarbij komt dat veel incidenten met simpele maatregelen, zoals regelmatig updaten van je computer, al voorkomen of beperkt kunnen worden. Het is daarom noodzakelijk dat onderzoek wordt gedaan naar de risico’s die aan deze bevoegdheden zijn verbonden voordat dit soort verstrekkende maatregelen überhaupt worden overwogen.