Inspectie: politie houdt zich niet altijd aan regels bij inzet hackbevoegdheid
De politie houdt zich niet altijd aan de regels wanneer het de hackbevoegdheid inzet, zo concludeert de Inspectie Justitie en Veiligheid in een vandaag verschenen verslag (pdf). De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie JenV houdt toezicht op de inzet van deze hackbevoegdheid.
Vorig jaar heeft het Openbaar Ministerie voor acht zaken in totaal zeventien bevelen afgegeven voor het inzetten van de hackbevoegdheid. Op alle acht inzetten heeft de Inspectie JenV toezicht gehouden. De inzet ging niet altijd volgens de regels, zo blijkt uit het jaarverslag. In de wet staat dat bij de uitvoering van de hackbevoegdheid doorlopend en automatisch gegevens worden vastgelegd in logbestanden.
Het gaat dan om de handelingen die worden verricht voor het uitvoeren van het bevel, de toegang tot een technisch hulpmiddel, de gegevens die al dan niet met een technisch hulpmiddel zijn verkregen en het functioneren van de technische infrastructuur. Wanneer de gegevens niet automatisch zijn vast te leggen moet dit handmatig gebeuren. In alle acht de zaken waarbij de hackbevoegdheid vorig jaar werd ingezet is de logging niet geheel volgens de wet uitgevoerd.
"In alle acht zaken is de logging van uitgevoerde handelingen niet volledig. Dit heeft de mogelijkheden tot interne controle door de politie en de toezichthoudende taak van de Inspectie bemoeilijkt. Daardoor heeft de Inspectie JenV niet kunnen vaststellen of zich gedurende de uitvoering van de bevelen een onregelmatigheid heeft voorgedaan, die van invloed is op de betrouwbaarheid van de met de onderzoekshandelingen verkregen gegevens", zo laat de Inspectie weten.
Technisch hulpmiddel
Het doorzoeken van een laptop of computer kan handmatig of met een technisch hulpmiddel worden uitgevoerd. Bij zes van de acht zaken vorig jaar werd door de officier van justitie bevolen om het onderzoek via een technisch hulpmiddel te verrichten. De Inspectie stelt vast dat in geen van deze zes zaken onderzoek is uitgevoerd met een vooraf goedgekeurd technisch hulpmiddel.
Bij de overige twee zaken moest het onderzoek handmatig worden uitgevoerd. In een van deze zaken maakte de politie gebruik van een zelf ontwikkeld script. Volgens de Inspectie is gezien de functionaliteit van het script er sprake van een technisch hulpmiddel.
Testen
De Inspectie stelt ook vast dat de politie in een aantal zaken bij de toepassing van de hackbevoegdheid de uitgevoerde handelingen niet vooraf volledig heeft getest. Dit zorgde bij de uitvoering van die zaken voor technische problemen die volgens de Inspectie te vermijden waren geweest als de politie wel had getest. De problemen hadden geen negatieve gevolgen voor het onderzochte apparaat of systemen van derden.
Verder beschikte de politie vorig jaar niet over een intern kwaliteitssysteem om eventuele tekortkomingen in de toepassing van de hackbevoegdheid tijdig te identificeren en te verhelpen. "Daardoor kan zij zelf niet aantonen dat de verwerking van de politiegegevens in overeenstemming wordt verricht met de wettelijke eisen en dat passende beveiligingsmaatregelen zijn getroffen", merkt de Inspectie op.
Zero-days
Om het systeem van een verdachte binnen te dringen kan de politie gebruikmaken van "binnendringsoftware", die bijvoorbeeld gebruikmaakt van een kwetsbaarheid in het systeem van de verdachte. Handmatig binnendringen kan bijvoorbeeld via verkregen inloggegevens. De politie zou via een onbekende kwetsbaarheid, een zogenoemde zeroday, toegang tot het systeem kunnen krijgen.
De Inspectie laat weten dat de politie vorig jaar geen enkele keer eigen ontwikkelde of ingekochte informatie over onbekende kwetsbaarheden heeft ingezet om het systeem van een verdachte binnen te dringen. Wel maakte de politie in drie van de acht gebruik van commerciële binnendringsoftware. Dergelijke software mag uitsluitend worden ingezet wanneer minder ingrijpende middelen niet voldoende zijn.
"Ondanks dat het hackteam nog in de opbouwfase verkeerde, heeft de politie deze nieuwe hackbevoegdheid goed opgepakt. Zij heeft zich aan vrijwel alle wettelijke eisen gehouden die gelden voor dit heimelijk binnendringen en onderzoeken", zo stelt de Inspectie. Wel zijn er verbeteringen nodig bij logging, de inzet van technische hulpmiddelen, bij het testen van uit te voeren handelingen en bij het aantoonbaar beheersen van beveiligingsrisico's.
Daarnaast zijn er natuurlijk zat mogelijkheden om wanneer je eenmaal toegang hebt, gewoon informeel eens rond te neuzen. En als je dan weet wat je zoekt eea. nog een keer te doen, nu met logging, en dan zomaar te vinden wat je zoekt.
Van de eerste ronde heb je de informatie wel, die kun je alleen niet als bewijslast gebruiken omdat die 'onrechtmatig verkregen is'...
En zie werkt dus duidelijk, Men kan nu aan de bevindingen werken en voorkomen voor in de toekomst.
En zie werkt dus duidelijk, Men kan nu aan de bevindingen werken en voorkomen voor in de toekomst.
Ja zo lust ik er nog wel e e n.
Je bent pas crimineel als je veroordeeld bent en crimineel af als je je straf hebt uitgezeten. Er lopen dus geen crimnelen op straat (op een ontsnapte veroordeelde daar gelaten) het systeem werkt dus.
En zie werkt dus duidelijk, Men kan nu aan de bevindingen werken en voorkomen voor in de toekomst.
Ja sure, het systeem heeft gewerkt, niemand vervolgd of veroordeeld.
https://nos.nl/artikel/2344801-inspectie-politiehackers-niet-zorgvuldig-genoeg.html
https://www.trouw.nl/binnenland/terughackers-van-de-politie-houden-zich-niet-altijd-aan-de-regels~bee5bd63/
Persbericht Inspectie JenV met publicaties
https://www.inspectie-jenv.nl/actueel/nieuws/2020/08/20/werkwijze-hackteam-politie-op-onderdelen-verbetering-nodig
De framing dat zoiets betekent dat de politie zich niet aan de wet houdt is een rare journalistieke kronkel. Later smaad is strafbaar.
Het rapport stelt als conclusie juist dat ze zich naar de mogelijkheden gied aan de wet houden. Wat nu?
De framing dat zoiets betekent dat de politie zich niet aan de wet houdt is een rare journalistieke kronkel. Later smaad is strafbaar.
Het rapport stelt als conclusie juist dat ze zich naar de mogelijkheden gied aan de wet houden. Wat nu?
Karma4, heer en meester in het weglaten van zeer relevante informatie:
De Inspectie JenV concludeert dat de politie bij de toepassing van de
hackbevoegdheid heeft voldaan aan de wettelijke eisen, met uitzondering van
de eis tot het doorlopend vastleggen van gegevens in logbestanden, doordat in
alle zaken de logging niet compleet is. De Inspectie heeft geen aanwijzing dat
hierdoor onregelmatigheden onopgemerkt zijn gebleven die van invloed waren
op de betrouwbaarheid en integriteit van de vastgelegde gegevens of dat er
buiten de reikwijdte van het bevel is gehandeld. Wel heeft het de
mogelijkheden tot interne controle door de politie en de toezichthoudende taak
van de Inspectie bemoeilijkt.
Dus wat staat hier nou eigenlijk:
Men heeft zich aan de wet gehouden op e e n belangrijk onderdeel na namelijk logging waardoor de toezichthouder bemoeilijk wordt in het uitoefenen van hun taak. Er kan wegens het ontbreken van de logging niet aangetoond worden of er buiten de reikwijdte van de wet is gehandeld.
Dat is VOLLEDIG iets anders dan dat ze zich aan wet wet hebben gehouden Karma4
Ik houd me ook aan de wet, ja ik steel wel eens iets maar voor de rest houd ik me aan de wet .... snap je hem?
Wat een bijzondere zin.
Ik houd mij als ik de snelweg op ga ook vrijwel altijd aan de regels. Maar als ik per ongeluk een keer een paar kilometer te hard rijd omdat 120 nog in mijn systeem zit krijg ik bij controle gewoon een boete i.p.v. een compliment.
Daarbij hoort natuurlijk ook dat we de politie absolutie verlenen voor alle gevallen waarin niet opgetreden wordt omdat niet vooraf, volledig en geheel gedocumenteerd aan de voorwaarden is voldaan.
De consequenties van het niet-optreden zijn daarbij natuurlijk voor ons als leden van de maatschappij die deze eisen oplegt. Het gaat immers niet aan iets te beslissen en de consequenties daarvoor niet zelf te aanvaarden.
Daarbij hoort natuurlijk ook dat we de politie absolutie verlenen voor alle gevallen waarin niet opgetreden wordt omdat niet vooraf, volledig en geheel gedocumenteerd aan de voorwaarden is voldaan.
De consequenties van het niet-optreden zijn daarbij natuurlijk voor ons als leden van de maatschappij die deze eisen oplegt. Het gaat immers niet aan iets te beslissen en de consequenties daarvoor niet zelf te aanvaarden.
Je kan ook doorslaan, het gaat hierbij niet over acute interventies maar zaken die wel volgens de wet moeten gebeuren.
Ik zou als advocaat van een verdachte het ontberken van logging in elk geval aangrijpen om de bewijslast ter discussie te stellen.
Indien ik mij aan vrijwel alle wetten houdt, geeft mij dit dan het recht sommige wetten te negeren ?
Deze vorm van 'inspectie' (kuch) laat al zien waar het mis gaat.
Het is geen framing. En als je met smaad en laster komt, dan zal de politie dit niet negeren. Maar kennelijk is het je ontgaan dat de toezichthouder stelt dat ze zich *niet* altijd aan de wet houdt. Je reactie is wat dat betreft merkwaardig, je bent zelf aan het framen.
De wet is op iedereen van toepassing, ook op de politie (met aanvullende bevoegdheden). Welke voorbeeld geeft de politie indien ze zichzelf niet houden aan de wet, bij hun taak om overtreders van wetgeving op te sporen.
We hebben niet voor niets wet- en regelgeving.
Ik wil ook wel een toezichthouder die het glad strijkt indien ik wetten overtreedt, en mij vrijwaart van gevolgen.
Indien het werkt, zou de toezichthouder constateren dat de politie conform de wet handelt, omdat deze problemen dan helemaal niet aan de orde zouden zijn.
Het signaal is hier: We zeggen er wat van, maar het is geen probleem. Ga vooral door met het opzoeken van de grenzen van de wet.
De framing dat zoiets betekent dat de politie zich niet aan de wet houdt is een rare journalistieke kronkel. Later smaad is strafbaar.
Het rapport stelt als conclusie juist dat ze zich naar de mogelijkheden gied aan de wet houden. Wat nu?
Altijd bijzonder om te lezen hoe Karma4 artikelen anders kan lezen dan wat er gewoon duidelijk staat.
Ook in dit geval houdt de politie zich gewoon NIET aan de wet, klip en klaar, geen logging terwijl dat wettelijk wel verplicht is.
Hiermee maakt de politie het de toezichthouder moeilijk om misstanden te signaleren en te rapporteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
