Inspectie: politie houdt zich onvoldoende aan regels voor inzet hackbevoegdheid
De politie mag sinds 2019 apparaten van verdachten binnendringen, maar ook in 2022 werd er niet voldaan aan diverse regels die gelden voor de inzet van de hackbevoegdheid, zo stelt de Inspectie Justitie en Veiligheid. Het gaat onder andere om het gebruik van commerciële hacksoftware, waardoor politie niet kan uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens. De Inspectie adviseert de minister van Justitie en Veiligheid om te bepalen of en hoe de wet die de hackbevoegdheid van de politie regelt, moet worden aangepast.
De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. Vorig jaar heeft een speciaal team van de politie in 31 zaken de hackbevoegdheid ingezet op bevel van de officier van justitie. In 2020 en 2021 ging het nog om respectievelijk 14 en 28 zaken. De Inspectie heeft alle zaken onderzocht.
Vorig jaar werd in 25 zaken commerciële 'binnendringsoftware' ingezet en werd er in drie zaken 'door de politie aangetroffen onbekende kwetsbaarheden' ingezet. De Inspectie stelt vast dat de politie in het overgrote deel van de zaken binnen de reikwijdte van de afgegeven bevelen heeft gehandeld. Een onderdeel waar de politie niet aan de regels voldoet betreft de inzet van commerciële software.
Net als de afgelopen jaren heeft de politie ook in 2022 in het merendeel van de zaken (25) gebruikgemaakt van commerciële software. Bij deze software is de functionaliteit voor het binnendringen gecombineerd met een technisch hulpmiddel voor het uitvoeren van onderzoekshandelingen. Voor zowel de politie als de Inspectie is deze software een ‘black box’. De politie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.
Evenals in voorgaande jaren stelt de Inspectie vast dat in het merendeel van de zaken een commercieel technisch hulpmiddel is ingezet, dat niet vooraf goedgekeurd is. Het gaat dan om software voor het binnendringen van mobiele telefoons. "Dit is niet in lijn met het door de wetgever gestelde uitgangspunt dat technische hulpmiddelen in beginsel vooraf goedgekeurd zijn als deze worden ingezet", aldus de Inspectie.
Daarnaast is tijdens de parlementaire behandeling van het wetsvoorstel toegezegd dat de markt voor onbekende kwetsbaarheden (zerodays) zo min mogelijk moet worden gestimuleerd. De Inspectie signaleert, evenals over de drie afgelopen jaren, dat in de praktijk het voorgeschreven licentiemodel juist leidt tot extra kosten voor de politie en daarmee mogelijk tot een extra stimulans van voor deze markt.
Logging
Een ander punt waar de politie opnieuw niet aan de regels voldeed betreft logging. De Inspectie constateert dat voor de inrichting en toepassing van de logging de politie vooral als uitgangspunt heeft genomen wat technisch standaard voorhanden is binnen de gebruikte toepassingen, in plaats van wat op basis van een risicoanalyse nodig is en wat door het Besluit onderzoek in een geautomatiseerd werk (Bogw) wordt vereist. De politie beschikt dan wel over logging, maar kan niet aantonen dat die voldoende effectief is.
Verder stelt de Inspectie dat beschikbare logging door de politie veelal op ad-hocbasis gebruikt wordt om zowel tijdens de uitvoering van het bevel als achteraf toe te zien en eventuele afwijkingen of onregelmatigheden te signaleren. Zoals ook in eerdere jaren door de Inspectie is gerapporteerd, is niet door de politie uitgewerkt op welke wijze, door wie en wanneer het structureel monitoren vanuit een interne verantwoordelijkheid plaatsvindt.
Informatiebeveiliging
De Inspectie komt ook tot het oordeel dat de informatiebeveiliging nog steeds niet op niveau is. Zo blijkt onder andere dat het autorisatiebeheerproces voor de eigen systemen en toepassingen van het speciale politieteam og niet goed is ingericht. Het proces voor het aanvragen, accorderen, uitvoeren, controleren en intrekken van autorisaties en het beleggen daarvan is nog in ontwikkeling.
Conclusie
De Inspectie concludeert dat de politie na vier jaar nog onvoldoende inhoud en opvolging geeft aan de regels en uitgangspunten voor het toepassen van de hackbevoegdheid. Veel van de bevindingen die vorig jaar werden gedaan zijn gelijk aan de eerdere drie verslagen die zijn gepubliceerd. Dit betekent volgens de Inspectie dat de afgelopen vier jaar, ondanks de inspanningen die daartoe zijn geleverd, te weinig vooruitgang is geboekt door het politieteam.
Het gaat dan om het verbeteren van het proces en de technische inrichting om te kunnen voldoen aan de wettelijke vereisten en de toezeggingen die zijn gedaan door de (toenmalige) minister van Justitie en Veiligheid. De minister wordt dan opgeroepen om een standpunt in te nemen of de wet moet worden aangepast, om zo mogelijke knelpunten die de politie ervaart weg te nemen.
Want zo werkt dat met de overheid in Nederland. Sch**t aan de burgers.
De oplossing zal wel worden de wet aan te passen aan de praktijk. Dan klopt het op papier.
Ze mogen het al 4 jaar. Dat is geen "gloednieuwe bevoegdheid". Als jij een proces inricht, dan kun je na 4 jaar niet met droge ogen zeggen dat het een "gloednieuw proces" is. Servers die 4 jaar draaien zijn ook niet "gloednieuw ingericht". Ze zullen beter hun best moeten doen en moeten beseffen welke regels ze zelf na moeten leven. Dit is niet goed genoeg.
Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.
Het niet aan de wet houden door overheidsorganen en politici is één van de redenen waardoor het vertrouwen in de overheid en politici laag is.
Het niet aan de wet houden door overheidsorganen en politici is één van de redenen waardoor het vertrouwen in de overheid en politici laag is.
Dat is er al jaren ingeslopen. En komt van rechts. Nou wil ik niks slechts over gezond rechts zeggen, want ik heb er wel wat mee. Met gezond rechts.
Het is al heel lang dat bijvoorbeeld de burger "klant" van de overheid wordt genoemd. Of dat er in de zorg ineens "zorgmanagers" verschenen. Veel semi-overheid dat al tijden een soort van eigen bedrijfje speelt. Met persberichten en marketingcampagnes. Terwijl het helemaal geen ondernemingen zijn. Om te beginnen al omdat ze geen concurrentie hebben. Het zelfde heb je ook bij de politie. De regering kan niet zeggen, we zetten ze allemaal op straat en we outsourcen alles wel naar de Belgische flikken of naar de Duitse veldwachters. Een overheid is geen bedrijf. Het is geen firma. Het heeft geen klanten. Een overheid moet er voor zorgen dat de lampen op de snelweg branden. De vuilnisbakken worden geleegd. Dat er genoeg scholen en ziekenhuizen zijn. Dat is geen bedrijf. Het kan wel een hele onderneming zijn, maar ondernemers zijn het zeker niet. Als een overheid die illusie gaat wekken, dan is het logisch dat mensen daar hun vertrouwen in verliezen. Dan krijg je tegenpartijen en extreem rechts (wat helemaal niet rechts is maar alleen maar komt vloeken).
Het NFI lijkt meer gericht op het doorbreken van encryptie maar dat is alleen gebaseerd op recente artikelen die ik van hen heb gelezen.
Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.
Ik ben eigenlijk wel benieuwd bij hoeveel lezers hier een lichtje gaat branden bij Dijkstra in relatie tot software...
Niet alleen dat het onrechtmatig is, doordat het een blackbox is kunnen ze niet eens zeggen of het bewijs echt is. Deepfakes zijn zo goed tegenwoordig dat je mensen alles kan laten zeggen.
Ge kunt beter stellen dat JenV niet alt veel van software begrijpt.
Het bewijs van goede betrouwbare software was met Dijkstra al niet goed mogelijk. Met de vele tools welke tegenwoordig gebruikt worden is het onmogelijk om nog echt overzicht te hebben. Laat ze eens bewijzen hoe ze tot de betreffende uitspraak gekomen zijn.
Rutte's razor:
"Never attribute to stupidity that which is adequately explained by stupidity malice."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
