fbpx


Europa

Politie en justitie laten slachtoffers van ransomware in de steek

Is Europol er enkel voor de overheid?



Op 27 januari kondigde Europol met veel bombarie aan dat ’s werelds gevaarlijkste ransomware-netwerk was opgerold. Ransomware is malafide software die computers blokkeert en waarbij de gebruikers losgeld moeten betalen om de versleuteling van hun computer en gegevens te bekomen. Nu blijkt dat de slachtoffers compleet in de kou blijven staan wegens een bos van paraplu’s die nationale ministeries van justitie, politie, Europol, Eurojust en andere instellingen open trekken. Gratuite grootspraak De plaag van de ransomware komt regelmatig in het…

Niet ingelogd - Plus artikel - log in of neem een gratis maandabonnement

U hebt een plus artikel ontdekt. We houden plus-artikels exclusief voor onze abonnees. Maar uiteraard willen we ook graag dat u kennismaakt met Doorbraak. Daarom geven we onze nieuwe lezers met plezier een maandabonnement cadeau. Zonder enige verplichting of betaling. Per email adres kunnen we slechts één proefabonnement geven.

(Proef)abonnement reeds verlopen? Dan kan u hier abonneren.


U hebt reeds een geldig (proef)abonnement, maar toch krijgt u het artikel niet volledig te zien? Werk uw gegevens bij voor deze browser.

Start hieronder de procedure voor een gratis maandabonnement





Was u al geregistreerd bij Doorbraak? Log dan hieronder in bij Doorbraak.

U kan aanmelden via uw e-mail adres en wachtwoord of via uw account bij sociale media als u daar hetzelfde e-mail adres hebt.








Wachtwoord vergeten of nog geen account?

Geef hieronder uw e-mail adres en uw naam en we maken automatisch een nieuw account aan of we sturen u een e-mailtje met een link om automatisch in te loggen en/of een nieuw wachtwoord te vragen.

Uw Abonnement is (bijna) verlopen (of uw browser moet bijgewerkt worden)

Uw abonnement is helaas verlopen. Maar u mag nog enkele dagen verder lezen. Brengt u wel snel uw abonnement in orde? Dan mist u geen enkel artikel. Voor 90€ per jaar of 9€ per maand bent u weer helemaal bij.

Als "Vriend van Doorbraak" geniet u bovendien van een korting van 50% op de normale abonnementsprijs.

Heeft u een maandelijks abonnement of heeft u reeds hernieuwd, maar u ziet toch dit bericht? Werk uw abonnement bij voor deze browser en u leest zo weer verder.

Uw (proef)abonnement is verlopen (of uw browser weet nog niet van de vernieuwing)

Uw (proef)abonnement is helaas al meer dan 7 dagen verlopen . Als uw abonnementshernieuwing al (automatisch) gebeurd is, dan moet u allicht uw gegevens bijwerken voor deze browser. Zoniet, dan kan u snel een abonnement nemen, dan mist u geen enkel artikel. Voor 90€ per jaar of 9€ per maand bent u weer helemaal bij.

Als "Vriend van Doorbraak" geniet u bovendien van een korting van 50% op de normale abonnementsprijs.

Reeds hernieuwd, maar u ziet toch dit bericht? Werk uw gegevens bij voor deze browser of check uw profiel.


Op 27 januari kondigde Europol met veel bombarie aan dat ’s werelds gevaarlijkste ransomware-netwerk was opgerold. Ransomware is malafide software die computers blokkeert en waarbij de gebruikers losgeld moeten betalen om de versleuteling van hun computer en gegevens te bekomen. Nu blijkt dat de slachtoffers compleet in de kou blijven staan wegens een bos van paraplu’s die nationale ministeries van justitie, politie, Europol, Eurojust en andere instellingen open trekken.

Gratuite grootspraak

De plaag van de ransomware komt regelmatig in het nieuws. Het Emotet-netwerk bood een kant-en-klare oplossing tegen betaling aan voor computercriminelen. In 2014 begon die criminele bende met een Trojaans paard om bankgegevens buit te maken. Daarna verhuurden ze achterpoortjes tot besmette computers aan boeven en hun programmatuur werd steeds straffer in het besmetten van gehele bedrijfsnetwerken. Hun bekendste product was een attachment in Word-formaat dat aan e-mails hing die ze stuurden aan nietsvermoedende gebruikers. Soms vermomd als melding van een te ontvangen pakje of als een bericht van de personeelsdienst. Klikte de gebruiker erop, dan begon de software de computer te versleutelen en gegevens te wissen. Het bekendste slachtoffer is de Universiteit van Maastricht die de afpersers een vermogen betaalde.

De grote nederlaag van de cybercriminelen zou te danken zijn aan Europol (de politiesamenwerking binnen de EU) en Eurojust (de samenwerking tussen de nationale ministeries van justitie in de EU). Het EU-vehikel European Multidisciplinary Platform Against Criminal Threats (EMPACT) zou de zware slag aan de geörganiseerde misdaad mogelijk gemaakt hebben. De Nederlandse politie en justitie waren naar verluidt de gangmakers van de strijd tegen ransomware.

Bijna een half jaar later blijkt nu dat justitie en politie in ondermeer België en Nederland hoegenaamd niks doen met de buitgemaakte gegevens over slachtoffers of met de in beslaggenomen hoeveelheden geld en cryptomunten. Nochtans hebben ze de centrale server van het Emotet-netwerk volledig ontcijferd en beweren ze zelf dat het de grootste overwinning tegen makers van ransomware uit de geschiedenis was. Dit laatste lijkt steeds meer op gratuite grootspraak.

De gekende mantra: geen tijd of middelen

De Nederlandse en Belgische politie beweren geen tijd te hebben om alle slachtoffers in te lichten dus gaven ze dergelijke ‘opbrengst’ liever aan het NCSC in Nederland en aan CERT.BE in België.  NCSC en CERT.BE zijn de nationale computer emergency response teams (CERT) in beide landen. Beide zijn in de jaren 1990 naar Amerikaans model opgericht bij de commercialisering van het Internet. Meestal waarschuwen ze voor gevaren qua computerveiligheid.

De slachtoffers die geen onderdeel van de overheid zelf bleken, zijn echter nooit gecontacteerd. Daar zit hem de crux: er zou volgens het Nederlandse NCSC geen juridische basis bestaan om dergelijke gegevens te delen, omdat er slachtofferdata tussen zitten, die als persoonsgegeven kunnen worden aangemerkt. Wat toch bijzonder vreemd lijkt en geheel niks te maken heeft met GDPR of privacy. GDPR is de Europese verordening over het bijhouden van persoonsgegevens die enkele jaren geleden zorgde voor massa’s domme e-mails en veel geldverkwisting bij bedrijven en andere organisaties.

‘Het gecoördineerde antwoord van het CCB’

Mirai Scheffers, woordvoerder bij Ministerie van Justitie en Veiligheid in Den Haag beweerde het volgende: ‘Het NCSC heeft inderdaad gegevens ontvangen van de Nederlandse politie die aangetroffen zijn in het onderzoek naar het Emotet-botnet. Na analyse zijn relevante gegevens door het NCSC gedeeld met getroffen organisaties binnen de primaire doelgroep (Rijksoverheid en vitale sectoren) en met schakelorganisaties binnen het Landelijk Dekkend Stelsel om getroffenen bij aangesloten organisaties te informeren. Door de Nationale Politie is tevens een mogelijkheid ingericht om zelf te controleren of een e-mailadres is aangetroffen. Gegevens met betrekking tot andere EU-lidstaten zijn met CSIRT-collega’s in deze lidstaten gedeeld. Juridische mogelijkheden om deze gegevens met CSIRT’s buiten de EU te delen zijn voor het NCSC zeer beperkt’

Op 7 mei reageerde Katrien Eggers van CERT.BE: ‘Bedankt voor uw duidelijke vragen. Ik leg ze voor aan de betrokken dienst en kom volgende week met een antwoord.’ Op 10 mei antwoordde Caroline Frère van de Federale politie ‘Ik verwijs U graag door naar onze persdienst, die ik in CC zet.’ Op 17 mei antwoordde Eggers: ‘Gelieve het antwoord van het Centrum voor Cybersecurity België (CCB) hieronder te vinden:  Het Centrum voor Cybersecurity België heeft de wettelijke opdracht om eigenaars van systemen die bedreigd worden door een cyberdreiging, waar mogelijk, hierover te informeren.  Via onze Duitse partners hebben wij dit jaar informatie (IP adressen) gekregen van Belgische slachtoffers van Emotet.  Deze informatie hebben wij onmiddellijk overgemaakt aan de Belgische Internet Service Providers (ISP’s) met de vraag om hun getroffen klanten te waarschuwen. Mag ik u er op wijzen dat het CERT.be een dienst is van het Centrum voor Cybersecurity België.  Dit antwoord is dus het gecoördineerde antwoord van het CCB. U hoeft geen apart antwoord van onze dienst CERT.be te verwachten.’

Niet-communiceren is de boodschap

Dus de Belgische overheden hebben de hete aardappel doorgeschoven naar de internet-aanbieders zoals Telenet. Andries Bomans (woordvoerder van het Center for Cybersecurity Belgium op de kanselarij van de premier) antwoordde geheel niet, maar volgens Eggers is dit dus normaal. Zowel NCSC, CERT.BE, CCB als de federale politie en haar FCCU zijn rechtstreeks betrokken bij dit dossier. Naast hete aardappels rondschuiven zoals met de gegevens van het Emotet-netwerk hullen ze zich liever in mist naar de pers toe.

Volgens verschillend bronnen (die uiteraard liever anoniem blijven) werd voor grote delen van de Emotet-server besloten verder er niks mee te doen en slachtoffers niet te helpen. De overheid laat de burger, verenigingsleven en het bedrijfsleven dus in de kou staan. Volgens Eggers moeten die maar zelf controleren bij de politie of hun e-mailadres voorkomt in de lijst van slachtoffers. Dat is de wereld op z’n kop. Te meer omdat de Europese verordening GDPR een duidelijke basis geeft voor gegevensdeling.

In de paar reacties die hierboven integraal weergegeven zijn legt niemand uit hoe GDPR hier nadelig zou kunnen zijn voor een correcte rechtsgang? De Nederlandse liberale Europarlementariër Bart Groothuis bevestigde dit en hij kaartte het ook aan in de NIS2-besprekingen in het Europees Parlement. Verder sluiten de rangen zich bij justitie, politie en CERT’s. De conclusie is dus dat toen het grootste netwerk van ransomware werd opgedoekt begin dit jaar de dossiers van de slachtoffers die niet tot de overheden behoorden verticaal werden geklasseerd. De slachtoffers zijn nog steeds niet gecontacteerd en moeten ook niet hopen hun gegevens of geld terug te zien. Wat doet justitie dan met die vangsten?

Tien vragen

Het kan niet de bedoeling zijn dat slachtoffers omwille van arbitraire beleidskeuzes (of onkunde en moedwil) in de kou komen te staan. Dat met de gegevens van een dergelijke vangst niks gedaan wordt grenst aan criminele nalatigheid of mededaderschap na de feiten.  Noch de Federale politie, noch de FCCU, noch CERT.BE, noch NCSC, noch Justitie, noch Eurojust, noch Europol wou klare wijn schenken op tien concrete vragen:

  1. De politie heeft geen tijd om alle slachtoffers te notificeren dus geven ze dergelijke opdracht liever aan het NCSC en in België CERT BE. Klopt het dat de politie en openbaar ministerie dit delegeren?
  2. Ik begrijp dat jullie dan slachtoffers in kennis stellen, al dan niet via de CERT’s van andere landen. Klopt dit?
  3. Hoe gebeurt dat dan?
  4. Er zou volgens het Nederlandse NCSC geen juridische basis bestaan om dergelijke gegevens te delen, omdat er slachtofferdata tussen zitten, die als persoonsgegeven kunnen worden aangemerkt. Klopt dit en hoe valt dat te rijmen met de mission statements van de CERT’s?
  5. Voor grote delen van de Emotet-server werd besloten er verder er niks mee te doen en slachtoffers niet te helpen. Klopt dit?
  6. Welke afwegingen liggen ten grondslag aan dit besluit?
  7. Kan iemand uitleggen hoe GDPR hier nadelig zou kunnen zijn voor een correcte rechtsgang?
  8. Wat zijn de afspraken met CERT’s in het VK, Canada, Japan, Australië etc. als dat in het belang van Europese burgers is?
  9. Hoe verloopt de Europese samenwerking?
  10. Gaan slachtoffers ooit iets terugzien van hun geld of wordt hun schade op één of andere manier gecompenseerd?

 

[ARForms id=103]

Lode Goukens

Lode Goukens is master in de journalistiek en docent 'Europese en wereldinstellingen' aan de Thomas More Hogeschool.