Inspectie: gebruik commerciële hacksoftware door politie blijft risico
Het gebruik van commerciële hacksoftware door de politie blijft een risico, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader, zo laat de Inspectie Justitie en Veiligheid vandaag weten in haar verslag over de inzet van de hackbevoegdheid door politie.
De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. De politie heeft vorig jaar 28 keer van de hackbevoegdheid gebruikgemaakt om telefoons, laptops en andere systemen van verdachten binnen te dringen.
In de meeste zaken (23) werd hierbij gebruikgemaakt van commerciële hacksoftware. Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde.
De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren. Werkzaamheden die de leverancier uitvoert, kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. De Inspectie merkt hierbij op dat deze wijze van toegang door de leverancier gebruikelijk is in de markt voor deze commerciële software. De politie stelt dat er geen alternatief voorhanden is dat dezelfde functionaliteit biedt zonder deze nadelen.
Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie zegt er begrip voor te hebben dat deze software in het belang van de opsporing wordt ingezet, maar signaleert dat hierdoor spanning ontstaat met het rechtskader. In het rechtskader is namelijk aangegeven dat de verkregen gegevens uitsluitend toegankelijk mogen zijn voor de door de korpschef aangewezen ambtenaren.
Logging
Verder stelde de Inspectie vast dat de logging door de politie begin vorig jaar niet compleet was. Het politieteam dat de hackbevoegdheid toepast moet de handelingen die het uitvoert bij het binnendringen van systemen vastleggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging.
Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal vastleggen. De logging was begin vorig jaar echter niet compleet, aldus de Inspectie. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ten opzichte van 2020 ook het journaal verbeterd.
De Inspectie stelt in de conclusie dat het geen aanwijzingen heeft dat de politie in 2021 de hackbevoegdheid heeft ingezet buiten de in de bevelen aangegeven systemen. Verder stelt de Inspectie dat de keuringsdienst van de politie, ondanks de kwetsbare personele bezetting, de keuringsprocedure heeft nageleefd. Wel laat de Inspectie weten dat een kwaliteitsvoorziening voor het gehele hackproces, om zo risico's te beperken, nog steeds niet is ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.
Ahja, en daarom weet de inspectie wel wat er tijdens die periodes is gebeurd natuurlijk.
Zoals alles bij de overheid en Nestapo, stinkt dit ook weer.
#CristallenBol
En weinig natte vinger nodig om dat met aan zekerheid grenzende waarschijnlijkheid deze stelling te stellen.
Kortom,
Politie is niet transparant en niet concreet of het zich aan de wet houdt (feit).
Dan is de speculatie invullen makkelijk:
De Politie WIL niet zeggen dat het buiten de wet gaat (makkelijke speculatie).
Ergens klopt daar iets niet.
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
https://nos.nl/artikel/2430914-privacy-verdachten-opnieuw-in-gedrang-door-hackbeleid-politie-ziet-inspectie
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
Ergens klopt daar iets niet.
Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.
Peter
Als complete n00b heb ik wel e.e.a meegekregen over de beschikbaarheid van een dozijn verschillende smaken van consumenten modem/ router architectuur lang geleden, en dat dat grondig veranderd is. Marktwerking zegt men dan, of 'dat is wat de consument nou eenmaal wil' - Maar of dat ooit daadwerkelijk significante factoren geweest zijn in dit proces? Ik betwijfel het ten zeerste. Als je zeer beperkt zeggenschap hebt over 'het kastje dat met de buitenwereld communiceert' haalt 90% z'n schouders op en denkt wellicht, 'vooruitgang'. Ok wellicht een beetje sarcastisch, maar voor de niet zo kritische consument telt voornamelijk 'werkt het bijna altijd?' en zijn de meeste andere overwegingen totale bijzaak of niet aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
