Door een bijzondere samenwerking tussen antivirusbedrijf McAfee en het Openbaar Ministerie is een 20-jarige cybercrimineel opgepakt. Zulke publiek-private samenwerkingen moeten er meer komen, vindt officier van justitie Wieteke Koorn. Wat zijn de voordelen van zo’n samenwerking? 

Wie kent het niet? Je leest je mail en opent per ongeluk een bijlage. Zonder dat je het weet, worden er allerlei programma’s geïnstalleerd op je computer. Kwaadwillende programma’s die gegevens bekijken of zelfs gebruikersnamen en wachtwoorden overnemen. Zulke malware is een ramp, niet alleen voor particulieren, maar ook voor bedrijven. Er zijn talloze voorbeelden van bedrijven die worden getroffen door een cyberaanval en daardoor veel schade lijden. Sites gaan plat, gebruikersprofielen liggen op straat, bedrijfssoftware wordt overgenomen.

"Om te weten waar cybercriminelen mee bezig zijn, zitten we op dezelfde fora als zij"

Criminelen die erachter zitten, praten met elkaar op allerlei internetfora. Zo ook de 20-jarige maker van het malwareprogramma ‘Rubella’. Met dit programma, een macro-builder, maakt hij het voor andere kwaadwillenden mogelijk om Office-bestanden te infecteren en zo computers te kunnen hacken.  Wat hij niet weet is dat hij op het forum zijn product niet aan een mede-crimineel aanbiedt, maar aan John Fokker. Fokker is woordvoerder van het bedrijf McAfee, een internationaal computerbeveiligingsbedrijf. Bedrijven als McAfee zijn constant bezig om dit soort malware vroegtijdig op te sporen. “We hebben een signaleringsfunctie, we willen vroegtijdig tegenmaatregelen kunnen nemen om onze klanten te beschermen. Om te weten waar cybercriminelen over praten en welke nieuwe types malware zij op de markt brengen, zitten we op dezelfde fora als de criminelen,” zegt Fokker. 

John Fokker
John Fokker

Rapportages

Zijn bedrijf start een onderzoek naar de malware. Wat doet ‘Rubella’? En wie heeft het gemaakt? Op een van de fora komt Fokker in 2018 in contact met de maker van het programma. Wie dat is, weet Fokker op dat moment nog niet, want de maker gebruikt allerlei aliassen. Fokker: “In feite faciliteerde hij anderen om met zijn programma snel en automatisch geïnfecteerde bestanden te kunnen versturen. Dat trok onze aandacht, want zijn malware kon potentieel heel gevaarlijk zijn voor onze klanten.” Fokker, zelf oud-politieman, gaat op onderzoek uit. En met succes. Al snel is er een vermoeden dat de maker van Rubella mogelijk een Nederlander is, want op screenshots die hij toont om zijn product te verkopen is te zien dat hij een Nederlandstalige versie van Word gebruikt.

Via verder onderzoek naar de bijnamen, foutjes in de software en eerder door de maker van Rubella aangeboden programma’s, krijgt Fokker steeds beter een beeld wie de maker is. Als Fokker met hem chat en zich voordoet als een potentiele koper, biedt de maker zelfs andere programma’s aan. Hij loopt te koop met programma’s die nog beter zouden werken dan Rubella. Reden genoeg voor Fokker om een rapportage te maken en over te dragen aan het Team High Tech Crime van de politie. Tegelijkertijd krijgt dit team via de NCSC, het Nationale Cyber Security Center, ook een melding van het Israëlische computerbeveiligingsbedrijf YinYang Security. Bij hen is de maker van Rubella ook opgevallen. Daarmee heeft het OM twee rapportages liggen om met het onderzoek aan de slag te gaan.

Op het maken en verspreiden van malware staat twee jaar cel

De maker van Rubella blijkt een 20-jarige man uit Utrecht. De maximale straf voor het maken en verspreiden van dit type malware dat hij maakte, de macro-builder, is twee jaar cel. Iemand die daadwerkelijk geïnfecteerde bestanden verstuurd, inbreekt op iemand anders computer (in juridische termen; computervredebreuk plegen) en vervolgens bestanden steelt, kan zelfs veroordeeld worden tot vier jaar cel.

Wieteke Koorn
Wieteke Koorn

Ontzettend schadelijk

Wieteke Koorn is de officier van justitie die het strafrechtelijke onderzoek doet. Zij ziet de gevaren van de programma’s die de 20-jarige man aanbiedt. “Als je als maker van malware en ransomware je producten aanbiedt, is dat eigenlijk hetzelfde als een soort service verlenen aan criminelen”, legt ze uit: “Als je een bedrijf of instelling plat weet te leggen, dan werkt dat ontzettend ondermijnend. Het is echt heel erg schadelijk voor de maatschappij.” Voor het Openbaar Ministerie is een publiek-private samenwerking zoals met McAfee dan ook van groot belang, vindt ze: “Doordat zij een uitgebreid onderzoeksrapport aan ons hebben gegeven, hebben wij als OM en politie een sterke informatiepositie en kunnen we snel aan de slag. Omdat we sneller kunnen ingrijpen, kunnen we meer slachtoffers door deze malware voorkomen. We kunnen echt de schade beperken.”

De voordelen van aangifte doen bij cybercrime

Officier van justitie Wieteke Koorn merkt dat sommige bedrijven huiverig zijn voor het doen van aangifte, bijvoorbeeld uit angst voor reputatieschade: “Maar stel dat er door malware gebruikersnamen en wachtwoorden van medewerkers of cliënten op straat liggen. Dan is er ook sprake van een datalek en moet dit gemeld worden bij de Autoriteit Persoonsgegevens.  Als je dan geen aangifte gedaan hebt of niets hebt gemeld is je reputatieschade nog veel groter want dan was men op de hoogte én heeft vervolgens niets gedaan.” Bovendien zitten er nog andere voordelen aan het doen van aangifte. Zo kan er niet alleen onderzoek gedaan worden naar een specifieke aanval, maar ook naar de makers van de software. Het probleem kan zo bij de wortel aangepakt worden. De officier: “Je kan als bedrijf  je geleden schade verhalen. Daarvoor moet er wel een strafzaak zijn en moet de verdachte veroordeeld worden. Om daar te komen, moet je wel aangifte doen. Mijn advies is dan ook om bij een cyberaanval altijd aangifte te doen en melding te maken.”

Als een bedrijf een cyberaanval te verduren krijgt, dan gaan de technische diensten daarmee aan de slag om de aanval af te slaan en de problemen op te lossen. Daarmee krijgen ze een boel informatie over de malware zelf. Die kennis kunnen andere bedrijven weer gebruiken om zich te beschermen. “Daarom is het delen van die kennis belangrijk”, stelt Wieteke Koorn. “Je hebt als bedrijf een maatschappelijke verantwoordelijkheid. De problematiek van malware is tegenwoordig zo wijdverspreid en zo veranderlijk, dat het voor politie en justitie ondoenlijk is om alle aanvallen op te lossen.” Volgens haar is het ook een verantwoordelijkheid van bedrijven zelf om zich goed te beveiligen. Cybersecuritybedrijven kunnen daarbij helpen, denkt Koorn.

Nog een slag te winnen

Volgens John Fokker van McAfee is er nog wel een slag te winnen bij de publiek-private samenwerkingen. “Denk bijvoorbeeld aan de voorlichting over de vraag hoe we omgaan met jonge cybertalenten. Het project Hack_Right (waar jeugdige cyberdeliquenten geplaatst worden om hun talenten voor een goede zaak in te zetten, red.), is een hele goede ontwikkeling, maar dat wordt pas ingezet als iemand gepakt wordt en dus met justitie in aanraking komt. Ik zou het toejuichen als we al aan de voorkant gaan zitten, zodat ze niet met justitie in aanraking hoeven te komen. Daarmee bedoel ik dat we een positieve vibe moeten uitdragen naar jonge mensen met kennis van zaken, of een publiek-private plek creëren waar deze jonge mensen terecht kunnen. Hopelijk worden ze dan niet verleid om naar criminele fora te gaan.”

Krampachtig

Door onderzoeken en kant-en-klare rapporten van cybersecuritybedrijven als McAfee heeft het Openbaar Ministerie een voorsprong. “Zij kunnen hele specifieke technische zaken benoemen en aan ons doorgeven, waar we makkelijk mee aan de slag kunnen zodat de capaciteit van de politie slim wordt ingezet”, zegt officier Koorn. Dat snapt John Fokker van McAfee ook: “Als we een rapport opmaken, benoemen we stap voor stap onze bevindingen zodat deze makkelijk na te lopen en te controleren zijn. We hebben maar liefst een miljard sensoren waar we vroegtijdig malware en virussen zien opkomen en kunnen onderzoeken. Komen we iets potentieel strafbaars tegen, dan zullen we het niet nalaten dit aan de politiediensten te geven waar we mee samen werken.”

Daar zitten voor McAfee twee voordelen aan, geeft Fokker toe. Want naast dat de maker van de malware vervolgd kan worden en zo het probleem aangepakt wordt, toont het ook maatschappelijk bewust ondernemen. “We geven een signaal af als we gezamenlijk met politie een slag slaan om de digitale wereld veiliger te maken. Zo’n samenwerking is belangrijk voor McAfee”, legt hij uit. “Steeds meer bedrijven in Nederland lijken door privacyregelgeving ‘krampachtig’ te zijn geworden in het delen van informatie met opsporingsinstanties.” Hij snapt dan ook niet waarom andere bedrijven nog maar weinig samenwerken met opsporingsinstanties.

"Veel bedrijven denken dat ze met het melden bij ons in de knel komen met de AVG, maar er is meer mogelijk dan je denkt"

Zonde, vindt ook officier van justitie Koorn: “Veel bedrijven denken al snel dat ze in de knel komen met de AVG, maar je kan als organisatie meer informatie aan ons doorgeven dan je denkt. Technische gegevens, modus operandi, dat soort zaken kan je gewoon melden. Het is minder privacygevoelig dan je misschien zou denken.” Maar er ligt ook een verantwoordelijkheid bij de opsporingsinstanties, geeft ze toe: “We kunnen niet alleen blijven vragen om zaken, maar moeten daar ook mee aan de slag. Het is belangrijk dat we niet wachten tot iets ons wordt aangedragen, maar dat we proactief moeten optreden. Dat de politie 145 fte erbij krijgt om cyberzaken op te pakken, zal daar zeker bij helpen.”

Wat kunnen de cybersecurity-industrie en politie/justitie voor elkaar betekenen?

In Londen zijn onlangs tijdens het VirusBulletin Congres nog ervaringen uitgewisseld tussen cybersecurity bedrijven en opsporingsinstanties. Officier van justitie Martijn Egberts was ook aanwezig en onder de indruk van de kennis en informatiepositie van die bedrijven en ziet allerlei mogelijkheden:

“Het is goed om met dit soort bedrijven te praten en te kijken wat hun mogelijkheden en gedachten zijn. Zij hebben zicht op het internetverkeer van hun klanten en monitoren diverse technische kenmerken over het hele internet. Zij kennen de wijze waarop bekende kwetsbaarheden worden gebruikt door criminelen beter dan wij, omdat zij hierop toegespitst zijn. En natuurlijk willen wij als Openbaar Ministerie en politie weten wat er hier in Nederland gebeurt; welke risico’s er spelen, maar vooral ook hoe Nederlandse digitale infrastructuur wordt misbruikt om bedrijven en overheden in binnen- en buitenland aan te vallen. Informatie hierover is ontzettend belangrijk om als politie en justitie de juiste onderzoeken te starten en die ook op een efficiënte wijze uit te voeren.” 

“Aan de andere kant hebben we ook aan verwachtingsmanagement gedaan. Want als al die bedrijven nu ineens alles aan ons gaan melden, kunnen we niet allemaal oppakken. Daar hebben we nu nog niet de capaciteit voor, daar moeten we ook realistisch in zijn. We willen in samenwerking met de industrie nadenken welke zaken het belangrijkste zijn om op te pakken en op welke wijze wij ook door informatie te delen met de industrie hen in staat kunnen stellen hun klanten beter te beschermen. Attributie is het werk van politie en justitie, maar dat betekent niet dat je elkaar niet kan helpen op weg naar die attributie”