Spring naar de content

Teeven, stop met gedogen van georganiseerde criminaliteit

VVD-Staatssecretaris Fred Teeven heeft weinig op met het bestrijden van georganiseerde criminaliteit. Dat bleek afgelopen week toen hij het Dorifelvirus afdeed als een ‘komkommerverhaal’.

Gepubliceerd op: Geplaatst in de volgende categorieën:
Geschreven door: Brenno de Winter

Eigenlijk was het wel geestig: een ambtenaar bij de gemeente Weert die is veroordeeld tot het werken met de typemachine concludeert op het RTL Nieuws dat het ook wel wat heeft: je hoeft niet meer naar de printer te lopen, want de brief komt meteen uit het apparaat. Maar die gemeente kon werken, omdat de oude typemachines op zolder stonden. Andere gemeenten lagen gewoon plat. ‘Een paspoort aanvragen? Dat kan even niet.’ En nu hebben we het nog over een relatief eenvoudig virus. Het onderstreept nog maar eens mijn column van vorige week dat cyberoorlog via virussen onwenselijk is.

Dorifel
Maar wie naar de feiten kijkt snapt dat de situatie alles behalve geestig is. Een relatief simpel virus legt diverse overheden plat. En dan hebben we het over een nog niet gecoördineerde aanval van niveau. Was dat wel het geval geweest dan had een groot deel van de overheid niet meer gefunctioneerd en er is géén plan B. Wat u nu heeft gezien is een slap aftreksel van de ellende van een serieuze aanval. Misschien is de basis voor die aanval er al en wordt hij weer niet gedetecteerd.

Maar wie beter naar het virus kijkt, snapt dat de problematiek groter is. Want om een organisatie te infecteren is gebruik gemaakt van geïnfecteerde machines met het Citadel-virus. Dat zorgt ervoor dat computers onderdeel worden van een groter kwaadaardig netwerk, een botnet. Dat waart al sinds maanden rond en heeft dus gemeenten, universiteiten en bedrijven geïnfecteerd. Al die tijd zijn documenten en persoonsgegevens van derde partijen dus ook toegankelijk voor onbevoegden.

En niemand had iets door: De organisaties merkten niet dat ze al maanden waren getroffen en misschien ook andere – tijdelijke – kwaadaardige programmatuur op hun computers hadden. Terwijl er oplossingen zijn om dit te detecteren. Ook de antivirusprogrammatuur liet het afweten. Dat zien we helaas vaker. Een Trojaans paard dat bij al uw documenten kan en niemand die iets merkt. Verzin daar eens een leuk scenario bij en wedden dat criminelen of overheden dat ook hebben bedacht?

Georganiseerde criminaliteit
Inmiddels is uit analyse duidelijk dat het de bedoeling van het virus is om aanvullende software te installeren in de toekomst. Met de nodige hulp onderzocht ik de werking van de code van het virus. Uit de zeer technische analyse werd duidelijk dat het mechanisme om het virus bij te werken intelligent in elkaar steekt. Maar dankzij die ontdekking kon door goed werkende ambtenaren van het NCSC worden ingegrepen en is het virus vleugellam gemaakt. In dat onderzoek werd ook duidelijk dat Dorifel in verbinding stond met een computer bedoeld voor het stelen van bankgegevens.

Er is niets onschuldigs aan dit virus. Hier is een crimineel netwerk bezig om een systeem te bouwen: het kwaadaardige botnet, de kwaadaardige software en de servers gericht op massale bankfraude. En door een succesvolle uitrol in Nederland zijn veel partijen getroffen en is pijnlijk duidelijk hoe ons land snel plat te leggen is. Een criminele zaak, waarbij we nou eens mooi furore met een zero-tolerance aanpak.

Komkommerverhaal
Maar staatssecretaris en oud Officier van Justitie Teeven vindt de zaak geen nieuws en noemde tegenover BNR Nieuws Radio ‘komkommerverhaal’. Tsja, je kunt als Mr. Law and Order natuurlijk internationaal opererende criminele bendes zo afdoen. Alleen moet je dan niet verbaasd zijn dat Nederland steeds vaker doelwit van dit soort praktijken wordt. Bij veel internetcriminaliteit worden de daders ook deelname aan een criminele organisatie ten laste gelegd ofwel het is dus gewoon georganiseerde criminaliteit.

Het past wel in het gedoogbeleid van Teeven bij alles wat er rond internetcriminaliteit en in de fasen ervoor gebeurt. Om dit soort ellende te voorkomen moet er goed aan de beveiliging worden gewerkt. Dat is ook verplicht volgens artikel 13 de Wet bescherming persoonsgegevens. Het orgaan dat kan ingrijpen bij bedrijven en overheden is het College bescherming persoonsgegevens (CBP). Dat krijgt er ook daadwerkelijk taken bij om die beveiliging bij vooral datalekken beter te borgen. Maar u voelt hem al: bij de extra taken komt er geen extra budget. Ook al kan het CBP die mankracht betalen uit de boetes die ze straks mag opleggen.

Dus het CBP moet het doen met de huidige 80 mensen en die zijn al overbelast. Meer taken betekent dus effectief minder slagkracht. Het niet goed regelen van de beveiliging kun je op papier wel bestraffen, maar in de praktijk gaat dat dus niet gebeuren. En hoe noemen we dat? Precies, gedogen. Wat zullen de virusmakers, makers van software om bestanden te gijzelen, georganiseerde bendes om bankrekeningen leeg te roven, spionnen en andere criminelen hier blij mee zijn. Zij kunnen naar hartenlust hun goddelijke gang gaan. Teeven, stop met gedogen en wees niet zo slap tegen de georganiseerde criminaliteit!