Het politieteam dat hackers moet opsporen worstelt met zijn eigen ict

Bart de Koning
Correspondent Politie & Criminaliteit
Illustraties: Philip Lindeman (voor De Correspondent)

Om hackers en andere cybermisdadigers op te sporen, heeft de politie een cybercrime-afdeling. Ik keek acht maanden hoe dat team in Alkmaar werkt en zag hoe trage computersystemen en bureaucratie het werk lastig maken.

Het Dagblad van het Noorden had in oktober een mooie De politie bleek een Fries aangehouden te hebben die slim fraudeerde via het internet. De man bouwde websites voor bedrijven, waarbij hij voor zichzelf een klein achterdeurtje installeerde zodat hij automatisch inloggegevens van klanten kreeg. Omdat veel mensen overal dezelfde gebruikersnamen en wachtwoorden gebruiken, kon hij die gebruiken om bijvoorbeeld op bol.com artikelen te bestellen.

Ik had het verhaal gelezen en vroeg chef Fred Ootes van cyberteam Noord-Holland of hij die zaak ook kende. En óf Ootes die zaak kende. Zijn Alkmaarse team van 25 man had het grootste deel van het digitale recherchewerk gedaan, waarna de Friese politie de dader oppakte. Het Dagblad van het Noorden had geen letter vuilgemaakt aan het Alkmaarse speurwerk. Ootes en zijn mensen waren niet blij.

Toen ik een week later langskwam, stond er een taart in de kantoortuin. Op een briefje stond: ‘Dank voor de samenwerking. Excuses dat we hebben verzuimd om jullie mee te nemen in het persbericht. Onderzoeksteam Zedel (Noord-Nederland).’ Er is een les geleerd: Ootes en zijn in de rest van het land hebben regelmatig overleg over zaken.

Maar nu komt het. De taart was geleverd door een banketbakker in Apeldoorn. Want, zo verklaarde een van de rechercheurs, het bezorgen van taart bij de Nederlandse politie is verplicht Europees aanbesteed. En zo kon er die ochtend een bestelauto met slagroomtaart van Apeldoorn naar Alkmaar rijden omdat Leeuwarden excuses wilde maken.

Het tekent het werk van de lokale cybercrime-afdeling, zag ik toen ik er acht maanden meeliep. Het team van rechercheurs, ict’ers en agenten dat hacks, phishing, online fraude en meer tegen moet gaan, tobt zelf ook met Logisch dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid recent om worden we online wel genoeg beschermd?

Probleem 1: Bureaucratie en managementgedoe

Fred Ootes is een zendeling, die tot op het hoofdbureau presentaties geeft over de aanpak van cybercrime. Zijn afdeling bestaat pas drie jaar en moet pionieren:

Daarnaast is hij veel tijd kwijt aan bureaucratie. Vorig jaar hadden rechercheurs voor een zaak een bepaald type Samsungtelefoon nodig. Ze wilden die slopen als oefening, voordat ze de echte telefoon van een verdachte zouden openmaken – en misschien onherstelbare schade zouden aanrichten.

Maar de aanvraag voor die telefoon duurde drie maanden. De inkoopafdeling lag dwars, omdat ze met de aanschaf van dit type telefoon geen precedent wilde scheppen. Terwijl het dus niet om een persoonlijke telefoon voor een rechercheur ging, maar om een eenmalig testexemplaar.

Een vergelijkbare discussie deed zich voor toen het team snellere computers nodig had - toch handig als je cybercrime moet bestrijden. De ict’ers hadden geschikte apparatuur gevonden voor duizend euro, maar die stond niet op de standaardlijst van inkoop en werd dus niet toegestaan. Er stond wel apparatuur van 3.500 euro op - die mocht wel worden besteld.

Inmiddels hebben de korpsleiding en eenheidsleiding van Noord-Holland geregeld dat de cyberteams flexibeler kunnen inkopen. Maar de bureaucratische hobbels blijven. Een rechercheur krijgt bijvoorbeeld een niet, omdat hij geen analist is. Hij mag niet op een account van een ander werken, want dat is niet Hij moet dus alle data in een onderzoek zelf invoeren.

Ootes kampt naast bureaucratie ook met managementgedoe. Een van Ootes’ plaatsvervangers werd plotseling opgeroepen voor een Team Grootschalige Opsporing, dat bij ernstige zaken wordt samengesteld. Zo’n team is handig om snel ervaren rechercheurs bij elkaar te krijgen, maar het nadeel is dat er ergens anders in de organisatie.

Probleem 2: Er zijn te veel ict-systemen

Fred Ootes is zelf niet zo van de systemen, maar zijn plaatsvervangers wel. Ze toonden me de wondere wereld van de politie-ict. Ik schreef al eerder over maar zag nu voor het eerst hoeveel tijd politiemensen eraan kwijt zijn. Zoals een tactisch coördinator zei: ‘De politie heeft gewoon te veel systemen.’

Hoe dat precies zit, is een technisch verhaal. Het is een ontzettend belangrijk verhaal: het zijn de ict-systemen die de opsporing van online criminaliteit mogelijk maken.

Wat je eerst moet weten: de computersystemen van de politie zijn sterk versnipperd. Om toch alle cyberzaken op het spoor te komen en daaruit een keuze te maken, zoekt het team elke dag gericht in de Basisvoorziening Handhaving (BVH), het systeem waarin de uniformdienst onder andere aangiftes opneemt. Zo komen alle zaken die iets met cybercrime te maken hebben in Noord-Holland in beeld.

De kunst is om alle zaken te vinden die zijn, en niet bijvoorbeeld gewone Marktplaatsoplichting - bijvoorbeeld iemand wel laten betalen, maar niets leveren. Als het een cyberzaak is, blijft de vraag wie hem de basisteamrecherche, het cybercrimeteam of de districtsrecherche?

Alle lopende cyberzaken komen in de zogenoemde Situatierapportage terecht, een Excelachtig programma waarin de 258 nationale cybercrimezaken van dat moment staan. Het systeem is bedoeld om al die zaken bij te houden, vertelt een coördinator. ‘Je moet je vinger aan de pols houden, anders vallen er zaken van tafel.’

De zaken die de Alkmaarse afdeling behandelt, zijn ook nog eens op een groot scherm in een mindmap gevat. Toen de coördinator dat liet zien, waren er veertien lopende zaken, plus een aantal andere zaken waarover ze nog een beslissing moesten nemen.

Tot zover de versnippering van de systemen. Het is dus essentieel om goed in de gaten te houden. Maar wie beter kijkt naar die systemen, ziet dat ook daarbinnen van alles aan de hand is.

Probleem 3: Deze systemen zijn te ouderwets

Iedere zaak bij de politie begint altijd in BVH, het systeem van de uniformdienst. Een rechercheur of chef moet een autorisatie hebben in BOSZ, Betere Opsporing door Sturing op Zaken, anders kan hij of zij er niet bij. BVH lijkt erg op WordPerfect of Dos, blijkt als een coördinator laat zien hoe je een zaak ‘Het moet op ‘A’ afgedaan, dan ‘J’ van Ja, dan moet je ‘tab’ geven, geen enter, dan gaat het naar BOSZ.’

Pas als een onderzoek is gestart in BVH kan het naar een SummIT, het informatiesysteem van de recherche. Een crimineel kan al wel in SummIT staan in verband met een andere zaak, maar die informatie kan niet gebruikt worden als er niet eerst een nieuwe zaak is aangemaakt in BVH. Politiemensen hebben verder geen landelijke toegang. ‘Als je iets in Limburg zoekt, moet je je collega in Limburg bellen voor toegang.’

BVH heeft meer beperkingen. Grote bedrijven, zoals banken, hebben hun eigen afdelingen cybersecurity. Die hebben aanvallen of hacks vaak zelf onderzocht, tot en met de vermoedelijke dader aan toe. Maar: die onderzoeksrapporten staan niet in BVH.

Verder is het heel lastig om bestanden aan elkaar te koppelen. ‘Je moet alles twee keer invullen bij de politie. Staat het al in de ene computer, kloppen we het ook in op een andere computer,’ legt een coördinator uit. ‘Ik vind zoveel handelingen niet zo erg, maar doe het dan in één systeem. Het is een ellende. Het is echt generatie diesel. Er zitten leuke softwareschilletjes omheen, eronder zit gewoon ouwe meuk.’

De invoering van de Wet politiegegevens (Wpg) heeft ook niet geholpen. De politie slaagt er al sinds de invoering van de wet niet in om aan de eisen Maar sinds ik in Alkmaar heb meegekeken, begrijp ik waarom dat zo lastig is. Probeer dit maar eens te volgen:

  • Agenten werken in BVH, en dat valt onder artikel 8 van de Wpg.
  • De recherche werkt in SummIT, en dat valt onder artikel 9.
  • De mensen die vanuit ‘blauw’ instromen naar de recherche moeten allemaal eerst een SummIT-cursus gedaan hebben voordat ze er mee aan de slag mogen.
  • Maar sommigen zijn al maanden binnen, voordat ze eindelijk de training krijgen.
  • En als je geen SummIT gebruikt, moet je alles in Word schrijven en dat dan weer inscannen in SummIT.

Als journalist die veel over privacy schrijft heb ik hier gemengde gevoelens over. Ik vind het zeer geruststellend dat Nederlandse politiemensen oprecht hun best doen om zich aan de wet te houden. Tegelijkertijd heeft dit gehannes met de systemen en de Wpg niet veel met privacybescherming te maken: het levert vooral frustratie en tijdverlies op.

Bureaucratie, managementgedoe en versnipperde systemen zijn problematisch. Wat mij in die acht maanden dat ik in Alkmaar rondliep het meest opviel, is de tegenstelling tussen de slimme technologie die het team zelf inzet om wachtwoorden te kraken of verdachten op te sporen en de soms primitieve systemen van de politie.

Bij een van mijn bezoeken vertelde een rechercheur over een die ze in Alkmaar hadden ontwikkeld om een wachtwoord te achterhalen. Een halfuur later zat ik bij chefs op de kamer die geen mail konden sturen aan het Openbaar Ministerie: het mailprogramma bleef foutmeldingen geven. Eerst dachten ze dat het adres misschien niet klopte, maar toen bedachten ze dat de bijlage simpelweg te groot (boven de 5 MB) was. ‘Wat een zooitje, moeten we documenten knippen,’ mopperde een chef.

Het komt ook voor dat ze kleurenfoto’s als zwart-witbestand moeten versturen omdat die een lagere resolutie hebben. Waarmee de informatieve waarde en bewijskracht van de foto’s achteruitgaat. Zoals een chef zei: ‘Het is alsof je ons vraagt om een kuil te graven op het strand, maar alleen een theelepeltje geeft. En dan klagen dat het zo lang duurt.’

Dit was het tweede deel in een serie over cybercrime. In het derde en laatste deel trek ik een aantal conclusies.

Meer lezen?