Hack_Right

Een interventie voor jonge, naïeve cybercriminelen

“Hacken is een systeem binnendringen zonder toestemming. Dat kan met techniek, maar je hackt ook  als je zonder toestemming iemand zijn gegevens gebruikt”, zegt Floor Jansen, strategisch adviseur voor Team High Tech Crime van de politie. “Iets simpels als het wachtwoord van je leraar overnemen en hiermee inloggen verstaan we eveneens onder cybercrime”, voegt Lisanne van Dijk, coördinerend beleidsadviseur High Tech Crime cluster van het Landelijk Parket, hieraan toe.

Floor Jansen en Lisanne van Dijk stonden drie jaar geleden al aan de wieg van het nieuwe Hack_Right-project. Zij vergaderden wekelijks in het Nationaal Cyber Security Centrum. In deze overleggen bespraken zij het groeiende probleem: “Het probleem is dat jonge mensen  op een relatief simpele manier grote schade veroorzaken. Vaak beseffen ze niet  hoe groot de consequenties zijn voor de slachtoffers”, vertelt Jansen. 

Jansen geeft een voorbeeld van een jongen die een grote internetserviceprovider hackte. Om gratis video’s te kunnen kijken probeerde hij uit hoe ver hij in het systeem kon binnendringen. Wegens een update-fout had hij toegang tot de routers van het bedrijf. Hierdoor was hij in staat om tachtig procent van al het internet- en telefoonverkeer in Nederland plat te leggen. Hij koos er voor om niets met deze informatie te doen, maar schepte online op over zijn bevindingen. De persoon aan de andere kant van de wereld waar hij mee sprak, besloot de politie in te lichten. Waarna het balletje is gaan rollen en de Nederlandse politie werd ingelicht. Zij heeft hier groot op ingezet. Met veel mankracht werd er geprobeerd het bedrijf overeind te houden. De politie verwachtte een grote criminele organisatie op te rollen, maar kwam uiteindelijk in een jongenskamer ergens in Nederland uit. “We merkten aan cybercrime-officieren dat zij vaak zaken als deze zagen, waarin de jongeren niet doorhadden hoe ernstig het feit is dat zij pleegden. De officieren wisten dan niet welke interventie het beste past. De daders hebben namelijk iets heel ernstigs gedaan, maar zijn nog jong en wijken vaak af van de traditionele daders”, legt Van Dijk uit. 

Vier puzzelstukjes

Voor die groep jonge daders is het Hack_Right-programma, dat nu in de pilotfase zit, opgezet. Hack_Right is een alternatief of aanvullend straftraject, gericht op jonge daders van 12 tot 23 jaar, met als doel om recidive te voorkomen. Dit moet bereikt worden door een passende interventie te bieden die gericht is op resocialisatie en recidivepreventie. Jansen: “Hack_Right bestaat uit vier modules, je kan het zien als vier puzzelstukjes: herstel, training, alternatief en coaching. Elke module voegt iets toe aan de gedragsverandering van de jongeren. De modules kunnen op verschillende manieren worden uitgevoerd. Dat is afhankelijk van de doelgroep en het juridische kader waarbinnen de interventie wordt ingezet.”

De officier van justitie bepaalt in samenspraak met de Raad van de Kinderbescherming of Reclassering welke modules de jonge dader moet doorlopen. In de meeste gevallen legt de officier Hack_Right als voorwaarde op om geen andere straf te krijgen, maar het idee is dat in de toekomst ook de rechter het als straf kan opleggen. Van Dijk: “Dat is nog een beetje toekomstmuziek, want dan moet het eerst een erkende gedragsinterventie zijn. Hiervoor moeten de resultaten eerst wetenschappelijk ondersteund worden. Daar zijn we nu, in de pilot, mee bezig. We hopen op korte termijn bij enkele tientallen jongeren per jaar deze interventie in te zetten.” 

Baksteen door ruit

Vier jongeren hebben de Hack_Right-interventie afgerond en er is al een handvol nieuwe aanmeldingen. Hack_Right is nu nog vooral maatwerk. Voor elke jonge dader wordt gekeken welke modules het beste bij zijn zaak passen en hoe de modules worden ingevuld. “We hopen van maatwerk meer naar standaardisering te gaan”, vertelt Jansen. “Dan wordt het voor de officieren van justitie duidelijker wat het aanbod is en hoe de verschillende modules kunnen worden ingezet. Binnen de eerste module wordt de dader geconfronteerd met het slachtoffer, zodat hij ziet wat voor schade hij veroorzaakt. Daarna komen de trainingen om de hoek kijken. Het is voor jongeren niet altijd duidelijk waar ze de grens over gaan en wanneer hun hacks strafbaar zijn. Iedereen weet dat een baksteen door de ruit gooien niet mag, maar online zijn die grenzen een stuk minder duidelijk”, zegt Van Dijk.

Daarom krijgen de jonge hackers trainingen over de juridische grenzen op het internet. In de volgende module krijgen de jongeren inzicht in de alternatieven. Jansen legt uit dat hacken namelijk niet altijd fout is. “We reiken de daders alternatieven aan om ethisch te hacken. Bijvoorbeeld bij een cyberwerkplaats of hackerspace. We willen ze ook laten zien dat ze met hun skills en interesse ook een baan kunnen krijgen waar een leuk salaris bij hoort. Vaak zijn deze mogelijkheden hen totaal onbekend.” In de vierde en laatste module worden de jongeren gecoacht. “Een ethisch hacker, iemand die zijn skills op een positieve manier inzet, begeleidt de jonge hackers naar hun toekomst. Ze mogen bijvoorbeeld binnenkijken bij het bedrijf of lopen een korte stage. Er wordt samen gekeken naar de problemen waar de jonge hacker tegenaan loopt, waar hij zich in zou willen ontwikkelen, maar ook naar de opties van opleidingen en banen.”

Strafblad

Verschillende grote bedrijven hebben al aangegeven dat ze zich graag aan het project verbinden. Zij kunnen de jongeren vooral in de twee laatste modules bijstaan. Een van die bedrijven is Deloitte. “Ik heb tijdens opdrachten voor klanten zelf weleens jongens meegemaakt die een DDOS-aanval op hun eigen school uitvoerden”, vertelt Kevin Jonkers, senior manager bij Deloitte Cyber Risk Services. “Als je die jongens daarna spreekt, merk je dat ze niet doorhebben dat ze de hele school een dag hebben platgelegd. Ze hebben geen idee wat de gevolgen zijn voor anderen. Je zou denken dat bedrijven of scholen graag aangifte doen tegen deze hackers, maar in praktijk zie ik dat onze klanten vaak terughoudend zijn om aangifte te doen, omdat de hackers nog zo jong en vaak onwetend zijn.”

Volgens Van Dijk is het juist belangrijk dat bedrijven aangifte doen tegen de jonge hackers en ze hoopt dat Hack_Right daar voor gaat zorgen. “Bij kleine bedrijven en scholen zien we inderdaad dat er niet altijd aangifte wordt gedaan tegen jonge daders. Ze willen het leven van jonge mensen niet verpesten door hen een strafblad te bezorgen. Maar we kennen oudere cybercriminelen die als kind kleinere cybermisdrijven hebben gepleegd, waar geen aangifte van is gedaan. Zij plegen nu zwaardere feiten. Het is dus belangrijk dat aangifte wordt gedaan, anders wordt de overheid de kans ontnomen om die jongeren bij te sturen.”

“Bij baldadigheid of winkeldiefstallen worden jongeren constant bijgestuurd. Door de wijkagent die hen corrigeert of door ouders die merken dat het niet goed gaat. Die bijsturing mis je bij cybercrime vaak. Jongeren sluiten zich op in hun kamer en veroorzaken geen ellende op straat. Hierdoor wordt het afglijden naar criminele activiteiten gemist en wordt dat pas opgemerkt als het in een groot delict tot uiting komt. Met Hack_Right willen we dit voorkomen en hopen we dat er eerder aangifte wordt gedaan”, vertelt Van Dijk. Een strafblad is volgens Jonkers funest voor jongeren die bijvoorbeeld een toekomst als ethisch hacker in een cyberbedrijf ambiëren. Je komt in de cyber security business nergens aan de bak, als je geen VOG kan laten zien. In een aantal gevallen moet je zelfs aanvullend worden gescreend. Als er dan naar boven komt dat je op je 17e je school voor een dag hebt plat gelegd, kan je zo’n carrière wel vergeten. Dan word je bijna genoodzaakt aan de ‘dark side’ te blijven, als je je passie wilt blijven beoefenen.

Ernstig misdrijf

Niet elke jonge cybercrimineel kan de Hack_Right-interventie doorlopen. De belangrijkste voorwaarde is dat het de eerste keer moet zijn dat de dader in aanmerking komt met justitie. Jansen: “Dan is de kans op bijsturing het grootst. Daarnaast is de leeftijd en de wil van iemand om mee te doen belangrijk. Het werkt niet als je iets tegen iemand zijn wil gaat doen. Als de dader geen interesse heeft in Hack_Right, wordt het normale strafproces toegepast. We toetsen ook waar de interesses van de jongeren liggen. Is iemand echt een techneut en wil iemand daar meer over leren, of was het strafbare feit maar een trucje, waarmee per ongeluk schade is aangericht. De ernst van het delict is het lastige. Het misdrijf mag namelijk niet te ernstig zijn, want dan staat het niet in verhouding tot de genoegdoening naar de maatschappij. Maar bij computercriminaliteit hangen de gevolgen niet alleen af van de dader, ook de beveiliging van het slachtoffer speelt een rol. Als deze niet goed is, kan de hacker met een kleine handeling al voor veel problemen zorgen. Daar moet naar worden gekeken.”

Jansen en Van Dijk krijgen regelmatig de vraag of Hack_Right wel een gepaste straf is. “In het programma ligt deels de nadruk op genoegdoening naar het slachtoffer en de maatschappij. Dit kan in de vorm van een taakstraf of op een andere manier. Met Hack_Right worden andere straffen, zoals bijvoorbeeld een gevangenisstraf, niet uitgesloten. Hack_Right kan naast de reguliere straf worden opgelegd. Alleen minderjarigen kunnen een strafblad ontlopen door het succesvol afronden van een Halt-afdoening. Centraal staat de vraag wat belangrijk is om een gedragsverandering te bereiken. De interventie is gebaseerd op de ‘what works’-beginselen. Een wetenschappelijk onderbouwde manier van kijken naar wat de elementen van een nieuwe interventie kunnen zijn. Interventies moeten aan deze beginselen voldoen om effectief te zijn. We kijken hierbij vooral naar de factoren die het delict hebben veroorzaakt: waarom heeft iemand het delict gepleegd? Kunnen we op die factoren bijsturen? Alleen op die manier wordt de kans op herhaling verkleind.”

Ze hopen in de nabije toekomst tientallen jongeren per jaar deze interventie te kunnen opleggen. Op deze manier kunnen de teruggetrokken jongeren met een hoog IQ hun talenten op een positieve inzetten en wordt de ‘dark side’ een stuk minder aantrekkelijk.