image

Inspectie: politie houdt zich onvoldoende aan regels voor inzet hackbevoegdheid

donderdag 31 augustus 2023, 14:43 door Redactie, 12 reacties

De politie mag sinds 2019 apparaten van verdachten binnendringen, maar ook in 2022 werd er niet voldaan aan diverse regels die gelden voor de inzet van de hackbevoegdheid, zo stelt de Inspectie Justitie en Veiligheid. Het gaat onder andere om het gebruik van commerciële hacksoftware, waardoor politie niet kan uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens. De Inspectie adviseert de minister van Justitie en Veiligheid om te bepalen of en hoe de wet die de hackbevoegdheid van de politie regelt, moet worden aangepast.

De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. Vorig jaar heeft een speciaal team van de politie in 31 zaken de hackbevoegdheid ingezet op bevel van de officier van justitie. In 2020 en 2021 ging het nog om respectievelijk 14 en 28 zaken. De Inspectie heeft alle zaken onderzocht.

Vorig jaar werd in 25 zaken commerciële 'binnendringsoftware' ingezet en werd er in drie zaken 'door de politie aangetroffen onbekende kwetsbaarheden' ingezet. De Inspectie stelt vast dat de politie in het overgrote deel van de zaken binnen de reikwijdte van de afgegeven bevelen heeft gehandeld. Een onderdeel waar de politie niet aan de regels voldoet betreft de inzet van commerciële software.

Net als de afgelopen jaren heeft de politie ook in 2022 in het merendeel van de zaken (25) gebruikgemaakt van commerciële software. Bij deze software is de functionaliteit voor het binnendringen gecombineerd met een technisch hulpmiddel voor het uitvoeren van onderzoekshandelingen. Voor zowel de politie als de Inspectie is deze software een ‘black box’. De politie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.

Evenals in voorgaande jaren stelt de Inspectie vast dat in het merendeel van de zaken een commercieel technisch hulpmiddel is ingezet, dat niet vooraf goedgekeurd is. Het gaat dan om software voor het binnendringen van mobiele telefoons. "Dit is niet in lijn met het door de wetgever gestelde uitgangspunt dat technische hulpmiddelen in beginsel vooraf goedgekeurd zijn als deze worden ingezet", aldus de Inspectie.

Daarnaast is tijdens de parlementaire behandeling van het wetsvoorstel toegezegd dat de markt voor onbekende kwetsbaarheden (zerodays) zo min mogelijk moet worden gestimuleerd. De Inspectie signaleert, evenals over de drie afgelopen jaren, dat in de praktijk het voorgeschreven licentiemodel juist leidt tot extra kosten voor de politie en daarmee mogelijk tot een extra stimulans van voor deze markt.

Logging

Een ander punt waar de politie opnieuw niet aan de regels voldeed betreft logging. De Inspectie constateert dat voor de inrichting en toepassing van de logging de politie vooral als uitgangspunt heeft genomen wat technisch standaard voorhanden is binnen de gebruikte toepassingen, in plaats van wat op basis van een risicoanalyse nodig is en wat door het Besluit onderzoek in een geautomatiseerd werk (Bogw) wordt vereist. De politie beschikt dan wel over logging, maar kan niet aantonen dat die voldoende effectief is.

Verder stelt de Inspectie dat beschikbare logging door de politie veelal op ad-hocbasis gebruikt wordt om zowel tijdens de uitvoering van het bevel als achteraf toe te zien en eventuele afwijkingen of onregelmatigheden te signaleren. Zoals ook in eerdere jaren door de Inspectie is gerapporteerd, is niet door de politie uitgewerkt op welke wijze, door wie en wanneer het structureel monitoren vanuit een interne verantwoordelijkheid plaatsvindt.

Informatiebeveiliging

De Inspectie komt ook tot het oordeel dat de informatiebeveiliging nog steeds niet op niveau is. Zo blijkt onder andere dat het autorisatiebeheerproces voor de eigen systemen en toepassingen van het speciale politieteam og niet goed is ingericht. Het proces voor het aanvragen, accorderen, uitvoeren, controleren en intrekken van autorisaties en het beleggen daarvan is nog in ontwikkeling.

Conclusie

De Inspectie concludeert dat de politie na vier jaar nog onvoldoende inhoud en opvolging geeft aan de regels en uitgangspunten voor het toepassen van de hackbevoegdheid. Veel van de bevindingen die vorig jaar werden gedaan zijn gelijk aan de eerdere drie verslagen die zijn gepubliceerd. Dit betekent volgens de Inspectie dat de afgelopen vier jaar, ondanks de inspanningen die daartoe zijn geleverd, te weinig vooruitgang is geboekt door het politieteam.

Het gaat dan om het verbeteren van het proces en de technische inrichting om te kunnen voldoen aan de wettelijke vereisten en de toezeggingen die zijn gedaan door de (toenmalige) minister van Justitie en Veiligheid. De minister wordt dan opgeroepen om een standpunt in te nemen of de wet moet worden aangepast, om zo mogelijke knelpunten die de politie ervaart weg te nemen.

Reacties (12)
31-08-2023, 15:16 door Anoniem
Goh... Verbazend. De politie houdt zich niet aan de wet.

Want zo werkt dat met de overheid in Nederland. Sch**t aan de burgers.

De oplossing zal wel worden de wet aan te passen aan de praktijk. Dan klopt het op papier.
31-08-2023, 15:32 door Anoniem
Erg belangrijk want een slimme advocaat van een verdachte (die foute dingen heeft gedaan) kan dan sturen op onrechtmatig verkregen bewijs. Terwijl dat uitgeprint op tafel kan liggen. Waardoor een echte dader fluitend de zaal kan verlaten en al die gemaakte extra politiekosten dus ook voor niks zijn geweest.
31-08-2023, 16:29 door Anoniem
Als je het rapport daadwerkelijk leest dan zie je dat het wat genuanceerder is ten opzichte van hoe de media het interpreteert. Ten tweede gaan er ook veel dingen veel beter, het blijft een gloednieuwe bevoegdheid dus de kinderziektes moeten er eerst uit. Om nou gelijk te beweren dat de Politie willens en wetens rechten van verdachten schendt is dan ook erg ongepast, onterecht en overdreven.
31-08-2023, 19:50 door Anoniem
Door Anoniem: Als je het rapport daadwerkelijk leest dan zie je dat het wat genuanceerder is ten opzichte van hoe de media het interpreteert. Ten tweede gaan er ook veel dingen veel beter, het blijft een gloednieuwe bevoegdheid dus de kinderziektes moeten er eerst uit. Om nou gelijk te beweren dat de Politie willens en wetens rechten van verdachten schendt is dan ook erg ongepast, onterecht en overdreven.

Ze mogen het al 4 jaar. Dat is geen "gloednieuwe bevoegdheid". Als jij een proces inricht, dan kun je na 4 jaar niet met droge ogen zeggen dat het een "gloednieuw proces" is. Servers die 4 jaar draaien zijn ook niet "gloednieuw ingericht". Ze zullen beter hun best moeten doen en moeten beseffen welke regels ze zelf na moeten leven. Dit is niet goed genoeg.
31-08-2023, 19:51 door karma4
Door Anoniem: Goh... Verbazend. De politie houdt zich niet aan de wet.

Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.
01-09-2023, 00:42 door Hyper
Het lijkt me logisch dat ze de activiteit niet mogen uitvoeren totdat ze aan de wet voldoen.

Het niet aan de wet houden door overheidsorganen en politici is één van de redenen waardoor het vertrouwen in de overheid en politici laag is.
01-09-2023, 03:44 door Anoniem
Door Hyper: Het lijkt me logisch dat ze de activiteit niet mogen uitvoeren totdat ze aan de wet voldoen.

Het niet aan de wet houden door overheidsorganen en politici is één van de redenen waardoor het vertrouwen in de overheid en politici laag is.

Dat is er al jaren ingeslopen. En komt van rechts. Nou wil ik niks slechts over gezond rechts zeggen, want ik heb er wel wat mee. Met gezond rechts.

Het is al heel lang dat bijvoorbeeld de burger "klant" van de overheid wordt genoemd. Of dat er in de zorg ineens "zorgmanagers" verschenen. Veel semi-overheid dat al tijden een soort van eigen bedrijfje speelt. Met persberichten en marketingcampagnes. Terwijl het helemaal geen ondernemingen zijn. Om te beginnen al omdat ze geen concurrentie hebben. Het zelfde heb je ook bij de politie. De regering kan niet zeggen, we zetten ze allemaal op straat en we outsourcen alles wel naar de Belgische flikken of naar de Duitse veldwachters. Een overheid is geen bedrijf. Het is geen firma. Het heeft geen klanten. Een overheid moet er voor zorgen dat de lampen op de snelweg branden. De vuilnisbakken worden geleegd. Dat er genoeg scholen en ziekenhuizen zijn. Dat is geen bedrijf. Het kan wel een hele onderneming zijn, maar ondernemers zijn het zeker niet. Als een overheid die illusie gaat wekken, dan is het logisch dat mensen daar hun vertrouwen in verliezen. Dan krijg je tegenpartijen en extreem rechts (wat helemaal niet rechts is maar alleen maar komt vloeken).
01-09-2023, 03:54 door Anoniem
Het probleem is dat men daar niet aan ontkomt. Bijvoorbeeld een moderne smartphone binnendringen zal al snel een 0-day vereisen. Als je ziet dat Zerodium daar een bounty van 1 miljoen USD voor uitkeert dan is het voor de politie zo goed als onmogelijk om die capaciteit zelf te ontwikkelen.

Het NFI lijkt meer gericht op het doorbreken van encryptie maar dat is alleen gebaseerd op recente artikelen die ik van hen heb gelezen.
01-09-2023, 07:20 door Anoniem
Door karma4:
Door Anoniem: Goh... Verbazend. De politie houdt zich niet aan de wet.

Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.

Ik ben eigenlijk wel benieuwd bij hoeveel lezers hier een lichtje gaat branden bij Dijkstra in relatie tot software...
01-09-2023, 08:28 door Anoniem
Check Je Hack !
01-09-2023, 10:53 door Anoniem
Door Anoniem: Erg belangrijk want een slimme advocaat van een verdachte (die foute dingen heeft gedaan) kan dan sturen op onrechtmatig verkregen bewijs. Terwijl dat uitgeprint op tafel kan liggen. Waardoor een echte dader fluitend de zaal kan verlaten en al die gemaakte extra politiekosten dus ook voor niks zijn geweest.

Niet alleen dat het onrechtmatig is, doordat het een blackbox is kunnen ze niet eens zeggen of het bewijs echt is. Deepfakes zijn zo goed tegenwoordig dat je mensen alles kan laten zeggen.
01-09-2023, 18:48 door Anoniem
Door karma4:
Door Anoniem: Goh... Verbazend. De politie houdt zich niet aan de wet.

Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.

Rutte's razor:

"Never attribute to stupidity that which is adequately explained by stupidity malice."
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.