Inspectie: gebruik commerciële hacksoftware door politie blijft risico
Het gebruik van commerciële hacksoftware door de politie blijft een risico, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader, zo laat de Inspectie Justitie en Veiligheid vandaag weten in haar verslag over de inzet van de hackbevoegdheid door politie.
De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. De politie heeft vorig jaar 28 keer van de hackbevoegdheid gebruikgemaakt om telefoons, laptops en andere systemen van verdachten binnen te dringen.
In de meeste zaken (23) werd hierbij gebruikgemaakt van commerciële hacksoftware. Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde.
De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren. Werkzaamheden die de leverancier uitvoert, kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. De Inspectie merkt hierbij op dat deze wijze van toegang door de leverancier gebruikelijk is in de markt voor deze commerciële software. De politie stelt dat er geen alternatief voorhanden is dat dezelfde functionaliteit biedt zonder deze nadelen.
Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie zegt er begrip voor te hebben dat deze software in het belang van de opsporing wordt ingezet, maar signaleert dat hierdoor spanning ontstaat met het rechtskader. In het rechtskader is namelijk aangegeven dat de verkregen gegevens uitsluitend toegankelijk mogen zijn voor de door de korpschef aangewezen ambtenaren.
Logging
Verder stelde de Inspectie vast dat de logging door de politie begin vorig jaar niet compleet was. Het politieteam dat de hackbevoegdheid toepast moet de handelingen die het uitvoert bij het binnendringen van systemen vastleggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging.
Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal vastleggen. De logging was begin vorig jaar echter niet compleet, aldus de Inspectie. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ten opzichte van 2020 ook het journaal verbeterd.
De Inspectie stelt in de conclusie dat het geen aanwijzingen heeft dat de politie in 2021 de hackbevoegdheid heeft ingezet buiten de in de bevelen aangegeven systemen. Verder stelt de Inspectie dat de keuringsdienst van de politie, ondanks de kwetsbare personele bezetting, de keuringsprocedure heeft nageleefd. Wel laat de Inspectie weten dat een kwaliteitsvoorziening voor het gehele hackproces, om zo risico's te beperken, nog steeds niet is ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.
Ahja, en daarom weet de inspectie wel wat er tijdens die periodes is gebeurd natuurlijk.
Zoals alles bij de overheid en Nestapo, stinkt dit ook weer.
#CristallenBol
En weinig natte vinger nodig om dat met aan zekerheid grenzende waarschijnlijkheid deze stelling te stellen.
Kortom,
Politie is niet transparant en niet concreet of het zich aan de wet houdt (feit).
Dan is de speculatie invullen makkelijk:
De Politie WIL niet zeggen dat het buiten de wet gaat (makkelijke speculatie).
Ergens klopt daar iets niet.
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
https://nos.nl/artikel/2430914-privacy-verdachten-opnieuw-in-gedrang-door-hackbeleid-politie-ziet-inspectie
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
Als complete n00b heb ik wel e.e.a meegekregen over de beschikbaarheid van een dozijn verschillende smaken van consumenten modem/ router architectuur lang geleden, en dat dat grondig veranderd is. Marktwerking zegt men dan, of 'dat is wat de consument nou eenmaal wil' - Maar of dat ooit daadwerkelijk significante factoren geweest zijn in dit proces? Ik betwijfel het ten zeerste. Als je zeer beperkt zeggenschap hebt over 'het kastje dat met de buitenwereld communiceert' haalt 90% z'n schouders op en denkt wellicht, 'vooruitgang'. Ok wellicht een beetje sarcastisch, maar voor de niet zo kritische consument telt voornamelijk 'werkt het bijna altijd?' en zijn de meeste andere overwegingen totale bijzaak of niet aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.