Anh Tran op Emerce.nl: dit zijn de hiaten in de cybercrime-strafrechtketen

Anh Tran op Emerce.nl: dit zijn de hiaten in de cybercrime-strafrechtketen

De politie en het Openbaar Ministerie hebben hun cybercrimedoelstellingen niet behaald. Volgens de minister van Justitie en Veiligheid komt dit door een gebrek aan expertise binnen de regionale politieteams. Met de komst van de regionale cybercrimeteams moet een eind worden gemaakt aan het gebrek aan kennis en expertise en de opsporing van cybercrime verbeteren. Het uitbouwen van deze teams is een stap in de goede richting. Echter, een reconstructie van een hackerzaak toont de hiaten in de cybercrime strafrechtketen.

door Anh Tran, junior consultant Revnext

In 2016 kreeg de Rotterdamse “superhacker” Jair M. een straf opgelegd van 497 dagen, waarvan 360 dagen voorwaardelijk. M. veroorzaakte grote opschudding door in 2013 een vwo-examen Frans online te zetten, dat later gestolen bleek te zijn bij de Ibn Ghaldoun school in Rotterdam. Ook had hij naaktfoto’s van een meisje online gezet.
Volgens het Hof had M. onder meer malware verspreid waarmee hij ongemerkt de besturing van computers van anderen kon overnemen. Hierdoor kon hij gegevens die op die computers stonden downloaden, veranderen of wissen. Ook zorgde door hem verspreide malware ervoor dat bij het opstarten van een besmette computer de webcam automatisch aanging en beelden naar hem verzond. Op deze manier heeft M. honderden mensen bespied en een enorme hoeveelheid computerdata binnengehaald.

Toename cybercriminaliteit, maar onvoldoende kennis en expertise bij politie

De zaak M. is bijzonder omdat hackers niet vaak daadwerkelijk gepakt en veroordeeld worden voor gepleegde daden. Dit jaar maakte het ministerie van Veiligheid en Justitie bekend dat de eigen gestelde doelstelling van het aantal uitgevoerde reguliere cybercrime onderzoeken niet gehaald is. Als reden werd aangegeven dat het de regionale politie-eenheden (basisteams en districtsrecherches) aan kennis en expertise op het gebied van cybercrime ontbreekt. Om de kennis en expertise van de regionale eenheden te verbeteren moeten daarom aan het einde van dit jaar in alle eenheden cybercrime teams actief zijn. Deze teams gaan helpen met het opbouwen en uitleren van kennis en expertise. Zij gaan de basisteams en districtsrecherche ook ondersteunen zodat zij zelf deze cybercrime onderzoeken kunnen uitvoeren.

Alleen kennis en kunde uitbouwen van de politie is niet genoeg

Het uitbouwen van de kennis en expertise binnen de politie is een mooie doelstelling, maar voor een effectieve aanpak dient niet alleen de politie, maar de gehele strafrechtketen een inhaalslag te maken. Het oppakken van een cybercrime zaak vergt nu eenmaal andere kennis en kunde. De huidige hiaten in deze keten zorgen ervoor dat cybercriminelen makkelijk door het net vallen. Om de keten te verbeteren is het daarom nodig de verschillende schakels beter onder de loep te nemen.

Hiaten in de strafrechtketen: een reconstructie

De zaak van “superhacker” Jair M is een succesverhaal. Echter, daartegenover staan de niet behaalde doelstellingen en diverse kritische uitlatingen in de media door topbestuurders van de politie, OM en Rechtspraak. Waar zitten nou precies de pijnpunten? De beschreven casus leent zich uitstekend om de hiaten in de strafrechtketen te illustreren:

Opnemen van een aangifte

De zaak van M. kwam aan het rollen toen een meisje intieme foto’s van zichzelf op social media zag die zij daar zelf niet heeft geplaatst. Ze meldde zich bij de politie met het vermoeden dat haar foto’s zijn gestolen. Op dat moment is de modus operandi van de dader nog onduidelijk, in tegenstelling tot klassieke misdrijven is bewijs bij cybercrime delicten niet direct zichtbaar. Het is de taak van de politie om de aangifte op de juiste manier op te nemen waarin duidelijk sprake is van een strafbaar feit en de juiste vragen te stellen zodat er voldoende aanknopingspunten zijn om het onderzoek te starten. Als in de aangifte onvoldoende aanknopingspunten naar voren komt, dan bestaat de kans dat de zaak opzij geschoven wordt voordat er een onderzoek gestart wordt. Kennis over cybercrime en de juridische basis daarvan zijn daarom essentieel voor de frontoffice medewerkers.

Slachtofferhulp

Echter, kennis is niet alleen essentieel voor een goede aangifte. Minstens zo belangrijk is dat deze politiemedewerkers de slachtoffers ter woord kunnen staan. Het is niet ondenkbaar dat slachtoffers zelf niet begrijpen wat er aan de hand is. De politie zou in staat moeten zijn om de gevolgen van het cybercrime delict te overzien zodat zij burgers kunnen adviseren en op te vangen.

Snelle doorstroming

Voordat de zaak doorgezet wordt naar de recherche wordt de zaak beoordeeld op opsporingsindicatie. Bij onvoldoende opsporingsindicatie wordt de zaak geseponeerd, wat het belang van een gedegen aangifte nogmaals onderstreept. Als er genoeg aanknopingspunten zijn dan wordt de zaak geprioriteerd en doorgezet naar de recherche. Voordat het onderzoek dus daadwerkelijk begint kan daar al een tijd overheen zijn gegaan, afhankelijk van hoeveel prioriteit aan een zaak wordt gegeven. In de meeste gevallen worden telefoons, laptops e.d. pas veiliggesteld voor onderzoek als het onderzoek geopend is. Hier bestaat het gevaar dat data verloren gaat als er teveel tijd tussen de aangifte en de start van het onderzoek zit.

Gebrek aan kennis bij de OM en de rechtspraak

In de zaak van M. kon de politie alles direct terugleiden naar zijn computer. Hij had geen maatregelen getroffen om zijn identiteit te verhullen. Dit was een meevaller voor de opsporingsdiensten, zij konden hierdoor relatief eenvoudig zijn identiteit achterhalen zonder uitzonderlijke middelen en kennis. Volgens Gerrit van der Burg, voorzitter van het college van procureurs-generaal van het Openbaar Ministerie, is het gebrek van kennis binnen het OM en de ingewikkelde encryptie waarmee opsporingsdiensten te kampen hebben één van de grootste problemen om effectief de cybercriminaliteit aan te pakken. De technologische ontwikkelingen volgen elkaar in een rap tempo op en dat is moeilijk bij te houden, aldus Van der Burg.

Bij de behandeling van de Rotterdamse hackzaak was een forensisch deskundige aanwezig om tekst en uitleg te geven over de werkwijze van de Jair M. Onlangs spraken Christiaan Baardman en Leendert Verheij, raadsheer en president bij het gerechtshof Den Haag zich uit over het gebrek aan kennis van cybercriminaliteit binnen de rechtspraak. Zij pleiten voor een speciale cybercrimekamer zoals die ook bestaat voor belastingzaken. Cybercriminaliteit verandert continue, aldus Baardman. “Waar een moord een moord blijft, is cybercriminaliteit doorlopend technisch aan het innoveren.” Rechters moeten zich daarom permanent bij laten scholen.

Dit legt een institutioneel knelpunt bloot bij de politie, het OM en de rechtspraak. De aard van klassieke misdrijven zoals vermogensdelicten en geweldsdelicten blijven onveranderd. Daarom bestaat de noodzaak om intensief ontwikkelingen bij te houden en vaardigheden bij te spijkeren niet. Om cybercrime daders effectief op te sporen, te vervolgen en te veroordelen bestaat deze noodzaak wel en daarbij hoort een omgeving die dat faciliteert en daarvoor de ruimte biedt.

Ketenbrede inspanning

De reconstructie van de zaak Jair M toont aan dat het versterken van de politie als cybercrime fighter niet voldoende is omdat het opsporen van cybercrimedaders slechts de eerste stap is om de dader te stoppen. Hoewel het goed is dat Justitie en Veiligheid extra inspanning wil leveren om deze bijzondere vorm van criminaliteit aan te pakken, dient de gehele strafrechtketen kennis en kunde op het gebied van cybercrime te vergroten om cybercriminelen effectief te kunnen vervolgen. Alleen zo kunnen cybercriminelen niet alleen gepakt, maar ook daadwerkelijk aangepakt worden!

Dit artikel verscheen eerder op Emerce.nl 

Van opsporen naar oplossen: dit zijn de hiaten in de cybercrime-strafrechtketen