De digitale aanvallen, die sinds begin april op ING en andere banken zijn uitgevoerd, zullen meer inzicht geven in de omvang van het probleem van cybercrime. Maar de aanpak van cybercriminaliteit zal pas echt politieke prioriteit krijgen na een veel groter incident, zegt Troels Oerting, hoofd van het Europees Cybercrime Centrum.
„Normaal krijg je pas actie als er een grote ramp is geweest. Als er een terreuraanval gebeurt, reageren we. Als er een cyberramp gebeurt, dan zullen we waarschijnlijk ook reageren. Maar de overlast van cybercriminaliteit is nu nog niet zo hoog dat het onacceptabel is”, aldus Oerting.
De Deen Troels Oerting leidt het Europees Cybercrime Centrum, dat sinds januari van dit jaar operationeel is in het hoofdkantoor van Europol in Den Haag. Oerting was daarvoor al werkzaam bij Europol en werkt al sinds 1997 in Den Haag. In Denemarken leidde hij bijna tien jaar de politieafdeling die georganiseerde misdaad bestrijdt. Hij gaf les aan de Deense politieacademie.
Het gesprek, op het kantoor van Europol in Den Haag, had plaats voordat ING en andere banken in het nieuws kwamen met storingen en zogeheten DDoS-aanvallen. Per e-mail laat Oerting nu desgevraagd weten dat hij de aanvallen op ING beschouwt als „ernstig en overlastgevend voor de rekeninghouders”, maar opzichzelfstaand en niet als een incident dat die hardere aanpak van cybercrime teweeg zal brengen.
Oerting kan geen inhoudelijk commentaar geven op het onderzoek naar de DDoS-aanvallen op ING, maar laat wel weten dat Nederland een „uitmuntend systeem” heeft om te reageren op cybercriminaliteit.
Dat kan echter niet elke lidstaat van de Europese Unie zeggen. Volgens Oerting hebben sommige lidstaten niet eens het geld om bepaalde forensische software aan te schaffen, waardoor ze noodgedwongen met gratis alternatieven werken. „Dat kan zo niet doorgaan. We zitten in een unie, een broederschap, waarvan de zwakste schakel moet worden versterkt”, zegt Oerting.
„Veel onlinecriminaliteit komt uit Roemenië en Bulgarije. We moeten hen helpen om onszelf te helpen.” Daarom besloot de Commissie, het dagelijks bestuur van de Unie, om het Europees Cybercrime Centrum (EC3) op te richten.
Maar ook voor het EC3 is niet veel geld beschikbaar. Bij de opening van het centrum in januari probeerde verantwoordelijk Europees commissaris Cecilia Malmström de verwachtingen al enigszins te temperen: men moet „geen wonderen” verwachten.
„Hoewel iedereen het erover eens is dat we een cybercrime centrum nodig hebben, is het niet makkelijk om tijdens deze diepe economische crisis om meer middelen te vragen”, zei Malmström bij de opening.
U heeft een budget van 7 miljoen euro per jaar. Dat is niet veel.
Oerting: „Ik geef toe dat het weinig is.”
Europees commissaris Neelie Kroes mag 50 miljoen euro besteden aan onderzoek naar 5G-technologie. Waarom wil de Europese Commissie wel geld uitgeven aan sneller internet, maar niet aan veiliger internet?
„Ik denk dat het een kwestie van pech was, ik denk niet dat de Europese Commissie slechte bedoelingen had. Volgens mij is het cybercrimecentrum op het slechts denkbare moment begonnen: te midden van bankencrises en terwijl de euro onder druk stond. Natuurlijk hebben we een substantieel groter budget nodig. Geen honderden miljoenen extra, ik heb om vijf miljoen euro meer gevraagd voor volgend jaar. Als de politie niet de middelen krijgt om cybercriminaliteit te bestrijden, zullen Blackwater-achtige bedrijven in dat gat springen.”
Blackwater-achtig? Het beveiligingsbedrijf dat in Irak taken overnam van het Amerikaanse leger?
„Ze bestaan nu al. Tegen betaling beschermen ze je gegevens en schakelen de aanvallers uit – no questions asked. Als we die kant op gaan, krijgen we een samenleving waar alleen degene met geld beschermd wordt. En sommigen van die bedrijven opereren in een juridisch grijs gebied. De politie staat onder democratische controle – die bedrijven niet.”
Bij de bestrijding van online criminaliteit begeeft de Nederlandse politie zich nu al soms in een juridisch niemandsland.
„Wij allemaal. We zijn zo gewend aan de geografische verbinding. Een dief, een moordenaar of een drugsdealer is altijd ergens fysiek aanwezig. Met cybercrime kan de politie soms niets doen omdat een van afstand bestuurde server in het buitenland zit. We moeten overwegen om de ordehandhaving de bevoegdheid te geven ook buitenlandse servers die misdaad mogelijk maken, uit te schakelen. Soms kun je het land waar een botnet zich bevindt niet overhalen om daar wat aan te doen. Is het dan acceptabel dat de Nederlandse politie die uit de lucht haalt? Dit is een nieuw soort denken, waar we nu het politieke momentum nog niet voor hebben.”
Gepubliceerd in NRC Handelsblad op 19 april 2013.
Peter Teffer 