Tekst Pieter Vermaas
Foto Loes Spruijt-van der Meer
Meer dan ooit trekken politie, OM en cybersecuritybranche samen op
Aanvankelijk bracht de naam ‘Melissa’ afgeperste ransomwareslachtoffers tot wanhoop. Inmiddels staat Melissa ook voor een groeiende samenwerking in de strijd tegen ransomwarecriminelen. Politie en OM brengen samen met de cybersecuritybranche en het Nationaal Cyber Security Centrum de aanpak naar een hoger niveau.
Die aardige, goedgemanierde Melissa toch! Dat moet toch wel de ideale werknemer zijn. De klantvriendelijkheid zelve. Empathisch en vriendelijk in onderhandelingen. Altijd op zoek naar oplossingen die de klant niet ontrieven. Getuige ook het opgenomen fragment van een telefoongesprek waarin de klant Melissa complimenteert:
Klant:
“The writing was very friendly and you sound very friendly as well.”
Melissa:
“Thank you. It’s my position. I don’t want to bother people. And I don’t want to be, you know, like negative in talking. Because, any negative things might people start to being mad en nervous; I don’t want this. I’m trying to speak with pleasure and in a friendly matter.”
Zo hoor je met elkaar om te gaan, zou je denken als je niet beter weet. Maar cyberadviseur Liesbeth Holterman, politieman Matthijs Jaspers en officier van justitie Esther Baars – op een kletsnatte novemberdag aanwezig bij Baars’ Landelijk Parket in Rotterdam – weten wel beter. Ze luisteren ernaar met de glimlach van een boer met kiespijn. Want Melissa, dat is een vrouw die namens cybercriminelen onderhandelt met een slachtoffer van een ransomwareaanval. Haar klantvriendelijkheid is nogal relatief. Ja, het slachtoffer kan snel weer bij zijn gegijzelde digitale gegevens. Mits hij diep in de buidel tast.
Inmiddels is Melissa ook de naam van een samenwerkingsverband tussen publieke en private partijen. Onder het Melissa-convenant zijn handtekeningen gezet door vertegenwoordigers van het OM, de politie, het Nationaal Cyber Security Centrum (NCSC) en Cyberveilig Nederland (de belangenorganisatie van cybersecuritybedrijven in Nederland).
Woorden én daden
Holterman, Baars en Jaspers zijn enthousiast. Niet eens zo zeer om de mooie voornemens in het convenant dat op strategisch niveau van de deelnemende organisaties is ondertekend. Maar vooral omdat het convenant afspraken bevestigt en uitbouwt die in de afgelopen twee jaar op operationeel niveau al blijken te werken. Achter de woorden zitten al daden, benadrukken ze, terwijl ze letterlijk schouder aan schouder zitten aan een vergadertafel in Rotterdam. Daden zoals geslaagde operaties tegen ransomware groepering ‘Deadbolt’, tegen de criminele handelswebsite ‘Genesis Market’ en recentelijk die tegen botnet ‘Qakbot’. Ook delen de samenwerkingspartners ransomwarestatistieken en publiceren zij ter preventie ransomwarewhitepapers.
Dat was een aantal jaren geleden andere koek. De strafrechthandhavers uit het publieke domein en de digitale brandblussers uit de private sector: ze kenden elkaar nauwelijks. Samenwerking vond zelden plaats en was verre van geolied. Liesbeth Holterman, strategisch adviseur van Cyberveilig Nederland, hoorde dit regelmatig van haar leden. “Als de securitybedrijven hun onderzoeksrapporten over incidenten naar politie en OM stuurden, bleken die laatsten daar vaak niets mee te kunnen.”
Ondertussen zaten politie en OM wel te springen om informatie. Hoewel het aantal aangiftes meeviel, beseften zij dat ransomware rap groeide. Daarbij had de ervaring geleerd dat het weinig productief is om als rechercheur achter elke aangifte van ransomware aan te rennen. Dat kostte veel tijd, maar loste weinig op. Individuele aangiften werden vooral opgepakt als direct duidelijk was dat die in een bestaand onderzoek pasten.
Informatie vorderen
Hoe kunnen de partijen elkaar aanvullen? Die vraag stond in maart 2021 twee dagen centraal in een Van der Valk Hotel in Utrecht. Daar zitten dan in twee zalen vertegenwoordigers van politie, OM, NCSC, cybersecuritybedrijven en Cyberveilig NL bijeen. In de ene ruimte vooral de techneuten van de organisaties. In de andere vooral leidinggevenden, juristen en beleidsadviseurs. Af en toe wordt wat informatie tussen de groepen uitgewisseld.
“Daar leerden we al direct de les dat we de kennis van die twee groepen gelijk aan elkaar moesten verbinden,” zegt landelijk officier van justitie Esther Baars. “Want de techneuten van private partijen denken vaak dat wat technisch kan, juridisch niet mag, bijvoorbeeld omdat ze met het verstrekken van informatie aan politie en OM hun geheimhoudingsplicht jegens hun klanten – de non disclosure agreement in het jargon – schenden en daarmee het risico lopen aansprakelijk te worden gesteld. Nu konden juristen direct zeggen dat het wél mag als het OM informatie vordert. Mocht het dan fout gaan, dan is niet het bedrijf, maar het OM aansprakelijk.”
Die eyeopener wordt nog in het Van der Valkhotel direct verzilverd. Een private onderzoeker meldt dat hij informatie heeft over een bijzonder interessante Nederlandse server die wordt gebruikt door een cyberbende. Dan gaat het snel. De politie slaat direct aan op de informatie. De private onderzoeker belt vervolgens zijn baas om te vragen of hij die informatie mag delen. Dat mag. Daarop staat officier Baars op en vordert ze voor de hele groep mondeling de informatie. Die informatie krijgt ze direct. Die rechtmatig verkregen informatie tikt de politie in de zaal direct in een procesverbaal. En een paar dagen later ligt de inhoud van de server bij de politie en maakt die onderdeel uit van het dossier. “Niet dat we het nu elke keer op die manier doen,” zegt Esther Baars, “maar het was een voorbeeld van hoe we met elkaar praktisch inzichtelijk maken hoe we de samenwerking kunnen vormgeven.”
Die dag in de Domstad zoemt bij de publieke en private partijen voor het eerst de naam van ene Melissa rond. Want in de zaken die worden besproken blijkt vaak Melissa degene die namens verschillende ransomwaregroeperingen met aangevallen slachtoffers onderhandelt. Zo wordt Melissa óók de naam van de samenwerking tussen politie, OM, NCSC en Cyberveilig NL. Een samenwerking waarbij de partijen hun puzzelstukjes op tafel leggen.
“Bij die puzzelstukjes hebben we het dan híerover,” zegt Matthijs Jaspers, teamleider X-Ray, binnen Team High Tech Crime van de dienst Landelijke Recherche, en hij tovert een slide op zijn tablet tevoorschijn. Links op het scherm staan nationale en internationale rechtshandhavingsorganisaties. “Die hebben bevoegdheden en informatie over de daderkant: informatie over het cybercriminele landschap; de technieken die ze gebruiken; en hun infrastructuur. Aan die daderkant kunnen wij bijvoorbeeld tappen, hacken, inbeslagnemen, en daarop onderzoek doen. Maar wij krijgen niet veel aangiftes.” Dan wijst Jaspers naar de rechterkant van de slide, waar private cybersecuritybedrijven staan en het NCSC, dat slachtoffers en potentiële slachtoffers probeert te beschermen.
“Juist Nederlandse slachtoffers schakelen vaak een partij in die lid is van Cyberveilig NL. Dat onderzoekende cybersecuritybedrijf ziet dus wel de cyberaanval en de gebruikte Nederlandse server. Dat is informatie die voor politie en OM ook relevant is, maar dan moeten we er wel van weten. En dát is wat we nu met elkaar hebben uitgesproken: We brengen die informatie bij elkaar. Dan krijg je een veel effectievere bestrijding dan wanneer ieder zijn eigen ding doet. Dan zie je samen de incidenten, zie je de gebruikte technieken en zie je dat verschillende slachtoffers met dezelfde criminelen te maken krijgen. Dan vang je meer boeven, maak je de kosten en risico’s voor de cybercriminelen hoger en breng je de kans en impact op potentiële slachtoffers omlaag.”
Modus operandi
Met die gedachte in het achterhoofd zoeken politie en OM naar een beter werkproces. Niet elke aangifte ‘landt’ vanzelf goed, omdat men in een eenheid of arrondissement vaak redeneert: ‘Het is mijn probleem niet, want ik heb geen zaak’. “Te vaak,” zegt Jaspers, “handelde de politie onvoldoende als securitybedrijven hun bevindingen aan de politie meldden, en niet altijd om de beste redenen. Met als gevolg dat een modus operandi van een ransomwaregroep een paar weken later bij een ander slachtoffer opnieuw werd vastgesteld. We moesten op zoek naar een bredere strategie waar we allemaal wat aan hebben. Daarom hebben we destijds een onderzoeksvoorstel geschreven hoe we binnen alle politie-eenheden het systeem beter kunnen inrichten, zodat er meer met meldingen van private partijen gebeurt. Ook hebben we het voor de cybersecuritybedrijven inmiddels helderder gemaakt hoe ze het best hun bevindingen van incidenten kunnen formuleren: ‘Wij, bedrijf X, waren op dinsdag 3 oktober om 15.00 uur bij een slachtoffer. We deden daar onderzoek naar een cyberaanval en in ons onderzoek kwamen we op deze wijze erachter dat er informatie is gestolen via deze server, die daar staat’.”
Liesbeth Holterman: “Dus niet meer in de taal van onze eigen branche, maar in de taal die politie en OM nodig hebben om ermee aan de slag te kunnen gaan.”
Nu de partijen elkaar beter kennen verdwijnen misverstanden en groeit over en weer de bewondering. Waar politie en OM onder de indruk zijn van hoe private partijen in een brei van data hun onderzoek opzetten, onderschatten private partijen op hun beurt politie en OM niet meer: die kunnen versleutelde informatie soms wel degelijk ontsleutelen en nemen daar zo nodig echt de tijd voor, omdat ze zo die ene boef pakken én tegelijk een heel crimineel proces verstoren en daarmee veel nieuwe slachtoffers voorkomen
Vakidioten
Melissa – als dat haar echte naam is – is ondertussen nog niet gepakt, zegt officier Esther Baars. “We weten niet waar ze vandaan komt. Ze spreekt Engels, maar ze klinkt niet alsof dat haar moedertaal is. Wel is ze nu al een tijd inactief. Wat ik haar ten laste zou leggen als we haar zouden oppakken? Ik zou haar allereerst helemaal laten leegtrekken. Ze moet over een goudmijn van informatie beschikken. Waar ze woont en werkt, waarom ze dit is gaan doen, wie haar collega’s zijn.” Liesbeth Holterman vult aan. “Een goudmijn, omdat ze voor verschillende groeperingen is gerekruteerd. Omdat ze de achterliggende groepen kent, hun modus operandi, en het script beheerst: ze weet precies wat ze tegen wie in de onderhandelingen moet zeggen. Valt in de onderhandelingen de reactie van het slachtoffer tegen, dan moet Melissa dat resultaat weer met de criminele groepering bespreken.”
Cybersecuritybedrijven willen geld verdienen. Waarom zouden zij langdurig met politie en OM een samenwerking aangaan waarvoor zij geen facturen kunnen versturen? Dat is voor Liesbeth Holterman een makkelijke vraag. “Omdat we cybersecurity mooi vinden. We zijn vakidioten en wij hebben net als OM en politie hetzelfde doel voor ogen: Nederland veiliger maken. Wel vonden securitybedrijven het aanvankelijk lastig informatie en werkwijzen te delen, want dat is toch het terrein waarop een bedrijf zich kan onderscheiden. Maar de voordelen zijn veel groter: we leren allemaal van elkaar. Voor een bedrijf is het aantrekkelijk om mee te mogen doen met het project Melissa. Voor je kennis en je contacten. Je kunt bij elkaar in de keuken kijken. In een krappe markt willen cybersecuritybedrijven hun goede mensen vasthouden en die mensen vinden het supergaaf als ze door politie en OM worden gebeld om een server te kunnen analyseren.”
OMVANG EN SCHADE VAN RANSOMWARE
Het is lastig om te zeggen hoeveel bedrijven en burgers slachtoffer worden en hoeveel geld erin omgaat. Gemeten naar aantal unieke incidenten – Cyberveilig NL telt er zo’n 150 in 2023 – lijkt het mee te vallen. Maar zo simpel ligt het niet.
Want een burger met een versleutelde laptop, zegt Matthijs Jaspers, is heel iets anders dan een gemeente, een KNVB of groot bedrijf waarvan alle informatie op straat dreigt te liggen. Soms is er een partij geraakt die de IT doet voor dik veertig andere organisaties. Die liggen dan ook plat, maar dat is dus maar één aangifte.”
Neem Hof van Twente, zegt Liesbeth Holterman. “Die hebben de 750 duizend euro losgeld die de groepering eiste, niet betaald. Inmiddels zitten ze op rond de drie miljoen euro aan gevolgschade van de ransomwareaanval. Dat gaat om het vernieuwen van je infrastructuur, om het aannemen van nieuw personeel. Bij ransomwareaanvallen gaat het om steeds grotere datasets met informatie van bedrijven en organisaties over personen waarmee je weer andere criminaliteit kunt plegen. Tot slot wordt de psychische schade enorm onderschat. Je hebt in alle kranten gestaan, tot en met je onderhandelingstactiek aan toe. Een digitale inbraak is net zo verschrikkelijk als een inbraak in je huis.”
“Misschien nog wel erger, zegt Esther Baars. “Bij een digitale inbraak krijg je als slachtoffer niet te horen ‘Goh, wat vreselijk; hoe gaat het met je’. Nee, dan hoor je: ‘Moet je maar niet op een linkje klikken.’ En waar je na een fysieke inbraak weet dat de inbrekers inmiddels weg zijn uit je huis, blijf je na een digitale inbraak piekeren: Is het weg? Of zitten ze nog naar me te kijken als ik achter mijn laptop zit?”
Dat laatste geldt in den brede voor cybercriminaliteit, zegt Holterman. “Als een op de vijf Nederlanders jaarlijks slachtoffer van tasjesroof wordt, vinden we dat collectief onacceptabel. Maar als een op de vijf MKB-bedrijven slachtoffer van cybercriminaliteit wordt, vinden we dat wel oké – erger nog, we vinden het slachtoffer een sukkel. Die denkwijze moet echt veranderen.”