Opinie. DigiNotar: Simpelecybercrime?!
Nicole S. van der Meulen*
Donderdagavond 28 juni kwam ik op de site van de NOS een oproep tegen gericht aan slachtoffers van cybercrime. Vanuit professioneel oogpunt kon ik mijn nieuwsgierigheid niet bedwingen en stuurde een e-mail. Niet als slachtoffer, uiteraard, maar als geïnteresseerde wetenschapper. Waarom wilde de NOS in gesprek treden met slachtoffers van cybercrime? Omdat, zo las ik de volgende ochtend in de krant, ‘Simpele cybercrime niet aangepakt’ wordt. Tal van websites en omroepen hadden de kop van het
Artikel kopen € 79,00 excl. BTW
In plaats van abonneren kunt u dit artikel ook afzonderlijk kopen.
persbericht van Profacto evenals de inhoud klakkeloos overgenomen. Onderzoek is onderzoek, daar wordt in de dagelijkse media weinig onderscheid in gemaakt. Gezien de weinig vernieuwende conclusie van het onderzoek en de hype eromheen, schonk ik weinig aandacht aan het rapport. Zeggen dat er te weinig opsporing en vervolging van cybercrime, in het bijzonder de ‘kleinere’ gevallen, plaatsvindt en dat het de politie ontbreekt aan kennis, is te veel aandacht vestigen op wat men eigenlijk al weet. De wetenschap misbruiken om open deuren binnen te lopen roept bij mij standaard een allergische reactie op. Maar soms fungeert de onderzoekswereld net als de Cosmopolitan en kunnen ze bepaalde onderwerpen om de zoveel tijd weer de revue laten passeren. Originaliteit en creativiteit zijn niet voor iedereen weggelegd.
Het gebrek aan aandacht voor het rapport verdween toen ik de volgende tweet voorbij zag komen:
Het begin is wat moeilijk te duiden. Het geschreven woord mist de intonatie waaruit de achterliggende emotie waar te nemen is. Maar het klonk mij in de oren als een teken van verbazing of verontwaardiging. Terecht. Het doet me bijzonder veel deugd als juristen en bestuurswetenschappers stellige uitlatingen doen over de technische complexiteit van een aanval. Helemaal als ze duidelijk geen technische kennis hebben en verder geen betrokkenheid hebben gehad bij het incident of de nasleep die daarop is gevolgd.
Mede op basis van DigiNotar concluderen de auteurs dat het niet zozeer inhoudelijke criteria zijn “…die een rol spelen bij de selectie van zaken die door het THTC worden uitgevoerd, als wel ‘omgevingsfactoren’ zoals maatschappelijke onrust of politieke druk. De DigiNotar-zaak is hiervan een voorbeeld. Deze zaak is inhoudelijk niet van een dusdanige complexiteit dat die alleen op centraal niveau opgepakt zou kunnen worden.” En als DigiNotar zo simpel was, waarom is de aanval überhaupt onderzocht? Immers, zo stellen de auteurs in het persbericht, ‘simpele cybercrime niet aangepakt’ dat zou betekenen dat DigiNotar, per definitie, in de complexe categorie terecht zou komen omdat het wel is aangepakt, of denk ik nu te zwart wit?
De auteurs twijfelen aan de verbinding tussen het incident en het nationaal belang. Deze twijfel is geen gezonde scepsis. Waar de auteurs namelijk in deze conclusie compleet aan voorbij gaan zijn de mogelijkheden tot misbruik die op dat moment concreet aanwezig waren doordat DigiNotar als geheel gecompromitteerd was. Door de afhankelijkheid van uiteenlopende overheidsinstanties van DigiNotar is de twijfel over het nationaal belang van dit incident en de noodzaak tot onderzoek, met behulp van het KLPD, van het incident getuige van een gebrek aan kennis en inzicht in de problematiek.
Het kritisch kijken naar de selectie van cybercrime zaken welke daadwerkelijk opsporing en vervolging krijgen is zeker nodig. Dat juich ik zelfs toe. Maar de manier waarop de auteurs daar in dit rapport mee omgaan werkt eerder averechts, mede omdat het aantoont dat ze zich te weinig in de achterliggende problematiek hebben verdiept waardoor duidelijk geworden zou zijn waarom de betrokkenheid van de KLPD logisch was. Het rapport had tot een sterkere conclusie kunnen komen door het selecteren of het verwerken van meerdere voorbeelden. Zo wordt in het gehele rapport geen enkele aandacht gewijd aan andere zaken waar het THTC een rol in heeft gespeeld, zoals bijvoorbeeld de takedown van het Bredolab netwerk in 2010.
Daarnaast komen de vele slordigheden het rapport, in het bijzonder de betrouwbaarheid daarvan, ook niet ten goede. Zo spreekt het rapport nog over GOVCERT.NL terwijl het sinds januari 2012 opgenomen is in het Nationaal Cyber Security Centrum (NCSC), het NICC wat al ruim een jaar CPNI.NL is, en het NAVI, een instantie die in 2010 al is opgeheven. Verder schieten ook de referenties naar bestaande literatuur te kort. Het eind vorig jaar gepubliceerde Cybersecurity Beeld Nederland blijft volledig buiten beschouwing. Als de auteurs enige aandacht aan het Beeld hadden
U heeft op dit moment geen toegang tot de volledige inhoud van dit product. U kunt alleen de inleiding en hoofdstukindeling lezen.
Wanneer u volledige toegang wenst tot alle informatie kunt u zich abonneren of inloggen als abonnee.
