De wereldwijde jacht op de KPN-hacker

De Nationale Recherche trekt alle registers open wanneer begin februari blijkt dat KPN wordt bedreigd door een hacker. Het spoor loopt van Rusland via Zuid-Korea naar Australië. Rechercheurs vliegen de hele wereld over. Uiteindelijk vinden ze de verdachte op een bijzondere plek. Een interview met Wilbert Paulissen, hoofd van de Nationale Recherche.

Het was 'code rood' begin februari bij het KLPD in Driebergen. Alle verloven van het High Tech Crime-team werden ingetrokken. 'We zeiden tegen elkaar: in deze zaak mag de politie het niet laten afweten. Het is zorgelijk wat een 17-jarige op het internet allemaal kan aanrichten.'


Sinds 2010 is Wilbert Paulissen (49) de hoogste baas van de Nationale Recherche, het onderdeel van het Korps landelijke politiediensten (KLPD) dat verantwoordelijk is voor de bestrijding van terrorisme, drugshandelaren en oorlogsmisdadigers. Onlangs haalde hij het nieuws met een heel ander type crimineel: de arrestatie van een minderjarige hacker die twee maanden eerder KPN dreigde plat te leggen.


'Op het moment dat je aan zo'n onderzoek begint, heb je geen flauw idee waar de hacker zich bevindt. Voor hetzelfde geld zit hij in Verweggistan. Je hebt ook geen flauw benul waarnaar je zoekt: is het een groepering? Is het een eenling? Wat beoogt hij met zijn inbraak? Met welke scenario's moet je rekening houden? Stel dat hij bij KPN het internetverkeer verstoort, dan heeft dat nogal wat effect.'


En dan blijkt de dader een 17-jarige puber uit Barendrecht, terwijl u normaal gesproken zware jongens arresteert.

'Ja, daar sta je dan wel even van te kijken. Het is zorgelijk. Hackers zijn vaak heel jong, soms pas 15. Dit is een nieuw type crimineel. Ze hebben geen enkel besef van wat ze aanrichten.'


En dus is deze aanhouding er niet zomaar een, vindt Paulissen. 'Het een belangrijk signaal naar onze jeugdige hackers: kijk, als je dit soort systemen binnendringt, krijg je de Nationale Recherche achter je aan. En we zullen alles doen om je te vinden.


'Het is bovendien belangrijk dat ouders beseffen dat je kind hier gewoon mee bezig kan zijn. Zoals je wilt weten naar welke discotheek je kind gaat, zou je ook moeten willen weten naar welke plekken op het internet hij of zij gaat. Zo waren in een eerdere zaak, van een 16-jarige jongen die politie.nl en OM.nl probeerde plat te leggen, zijn ouders totaal verrast. Daarom zeg ik: ga met je kind in gesprek over zijn of haar computergebruik. Je vraagt toch ook hoeveel het drinkt in de discotheek, en of het weleens ziet dat er drugs worden verhandeld? Dat zou met computergebruik niet anders moeten zijn. Daarom raakt zo'n 17-jarige verdachte me: moet je kijken wat zo'n jongen gewoon bij z'n ouders thuis zit aan te richten.'


Twee maanden volgden digitaal rechercheurs het spoor van de bedreiger van het grootste telecombedrijf van Nederland. Dat onderzoek leidde naar servers in dertien landen. Van Rusland tot Japan. Van Zuid-Korea tot Australië. 'Je moet je voorstellen hoe dat gaat: die gast zit thuis in Barendrecht en gebruikt de hele wereld om KPN te hacken. Gewoon vanaf zijn kamertje, hij heeft nergens een paspoort of een visum voor nodig. En wij vliegen ondertussen naar het buitenland, moeten rechtshulpverzoeken indienen bij de lokale autoriteiten en kunnen dan pas beslag leggen op de servers en gegevens veiligstellen. We hebben nu een bekennende verdachte, maar het onderzoek is nog steeds gaande.'


Dat moet een duur en tijdrovend onderzoek zijn.

'Over de kosten kunnen we helaas niks zeggen. Maar deze zaak geeft wel aan dat de wet nog niet is toegesneden op digitale opsporing. Internet is een dimensie die zich kenmerkt door de afwezigheid van tijd en afstand. Als een computer in het buitenland staat, en dat is bij cybercrime vaak het geval, schend je de soevereiniteit van een land als je zonder toestemming bits en bytes in beslag neemt. Dat is een cruciaal verschil met de fysieke wereld; we komen echt in een andere opsporingswereld terecht. Soevereiniteit heeft daar een heel andere dimensie gekregen. Je ziet en voelt niets meer als iemand digitaal de grens overgaat.'


Wat moet er veranderen zodat u voortaan niet meer de wereld over hoeft om zo'n crimineel te pakken?

'Als ik zeg dat er internationale wetgeving moet komen, zal elke jurist die dit leest denken: veel succes ermee... De soevereiniteit van een land is een belangrijk begrip. Wat mij betreft moeten we de oplossing ook zoeken in een betere internationale samenwerking van politie en justitie. Zo hebben wij hier al standaard twee FBI-agenten in huis. Wij lopen voorop in de aanpak van high tech crime, want Nederland is een belangrijke doorvoerhaven van bits en bytes. Dus de Verenigde Staten hebben er belang bij dat ze snel met ons zaken kunnen doen. En wij hebben er belang bij, omdat we hier veel dingen zien gebeuren met behulp van Amerikaanse servers.'


Toch verhindert de wet een snelle en efficiënte opsporing.

'Ik heb heus geen aureooltje boven mijn hoofd, natuurlijk zoeken we de grenzen op. Maar dat doen we niet zomaar. Als we op 'onontgonnen gebied' komen, zijn we daar transparant in en laten we het toetsen door de officier van justitie en de rechter-commissaris.'


Niet iedereen vindt dat u de privacygrenzen respecteert. Zo heeft Bits of Freedom u verweten dat uw organisatie zelf ook hackt. Na het oplossen van de Bredolab-zaak, waarbij hackers 29 miljoen computers infecteerden, is de politie zelf ook die gehackte computers binnengetreden om de eigenaren te waarschuwen.

'Ik probeer de situatie altijd te vertalen naar de fysieke wereld. Wat doet de politie als er is ingebroken in je huis en je bent niet thuis? Dan stappen we via dezelfde deur naar binnen die de inbreker heeft gebruikt, en we nemen de zaak waar totdat de bewoner zijn pand weer kan beheren.


'In deze zaak zou het wel interessant zijn geweest als onze werkwijze werd getoetst door een Nederlandse rechter. De verdachte is echter gearresteerd in Armenië en zit daar vast. Ook dat is een verschil met 'normale' criminaliteit, bij cybercrime wonen slachtoffers en verdachten vaak in heel verschillende landen. Ons rechercheonderzoek leidt vaak tot rechtszaken in het buitenland. Daardoor is er vrijwel geen jurisprudentie.'


Bovendien vinden ethische hackers, die een computersysteem binnendringen om een lek in de beveiliging aan te tonen, dat de politie ze ten onrechte criminaliseert.

'In de Dikke Van Dale staat bij hacken duidelijk het woord illegaal. Als je een bedrijf hackt en meteen belt om te zeggen dat er een lek in de beveiliging zit, heb je best kans dat de leiding zegt: nou jongen, hartstikke goed, hier heb je een boekenbon. Maar je bent gewoon strafbaar. Als ik bij mensen door een open raam naar binnen klim, het dichtdoe, een vriendelijk briefje achterlaat en via de voordeur wegga, ben ik nog steeds zonder toestemming binnengedrongen. Je ziet wel in de rechtbank dat met goede motieven in de strafmaat rekening wordt gehouden.'


Om cybercrime behapbaar te maken, vergelijkt Paulissen elke kwestie met de 'echte' wereld. Toch gaat die vergelijking niet altijd op. 'Je beleeft deze vorm van criminaliteit heel anders, het is veel minder grijpbaar. In de fysieke wereld tast criminaliteit immers vaak de lichamelijke integriteit aan, waardoor mensen soms jarenlang worden getraumatiseerd. Wie herinnert zich over een paar jaar Diginotar nog? Niemand. De vuurwerkramp in Enschede onthoud je wel. Bij een normale bankoverval zie je meteen wat de schade is, als een bedrijf gehackt is, duurt het even voordat je echt de impact kunt overzien. Maar als je optelt wat de gevolgen van hacken kunnen zijn, is er sprake van een behoorlijke dreiging. Vul maar in wat er allemaal zou kunnen gebeuren. Alles is computergestuurd tegenwoordig.'


Wat is de grootste bedreiging van cybercrime?

'Mijn grootste angst is: zie je straks op internet nog wat je ziet en doe je wel zaken met wie je denkt dat je zaken doet? Hoe weet ik dat mijn kind communiceert met een ander kind? Zit daar niet iemand anders achter? Het kan gebeuren dat je een keurige bankpagina voor je ziet en denkt dat je geld overmaakt, terwijl je in feite je eigen geld aan het wegsluizen bent.


'De grootste bedreiging van cybercrime is dat we het vertrouwen verliezen. Dat kunnen we economisch niet aan. Want er is geen weg terug, we móeten vertrouwen houden in dit systeem. Je ziet daarom ook dat de overheid zich aan het voorbereiden is op damage control en preventie. Ons team wordt niet voor niets uitgebreid. We zijn nu met een grote wervingscampagne bezig, uiteindelijk zullen we straks 130 fte's hebben.'


Dan heeft Nederland meer dierenagenten dan hightechcrime-rechercheurs.

(Lacht): 'Ja, maar die van ons zijn wel veel slimmer. Maar even serieus: als je ziet hoeveel geld wij steken in techniek, opleiding en internationale samenwerking, is die vergelijking geen issue.'


U huurt bij opsporing vaak externe cyberexperts in. Kunt u het niet alleen af?

'Vergis je niet; het Team High Tech Crime doet alleen heel grote zaken, dus dan praten we niet over skimmers. Sinds de oprichting van het team in 2007 hebben we zeventien grote zaken gedraaid en tot dusver alle verdachten opgepakt. Wij kunnen alles wat digitale criminelen kunnen, en meer. Maar high tech crime is zo groot en zo complex, dat je niet ontkomt aan samenwerking met private en publieke partijen. We kunnen het niet alleen. Daar hebben we de grote securitybedrijven, internetproviders, hosters en antivirusbedrijven bij nodig, de grote partijen die een rol spelen op het internet.'


Internetbankiert u zelf nog?

'Ja, fanatiek zelfs. Je moet ook nuchter zijn. Via internet wordt zo'n 30 miljoen euro op jaarbasis weggesluisd door criminelen. Maar dat is slechts 0,0001 promille van het totale betalingsverkeer. De digitale mogelijkheden zijn natuurlijk geweldig. Ik zou ook niet weten wat ik zonder zou moeten doen.'


NASCHRIFT:

De KPN-hacker zit nog steeds vast. Hij wordt ook verdacht van het hacken van universiteiten in Noorwegen, Korea en Japan, en van het beheer van een website waarop gegevens van gestolen creditcards worden verhandeld. Die website draaide op een computer in Oekraïne. De verdachte verwierf op 16 januari op 'enkele honderden' servers van KPN de hoogste toegangsrechten. Deze servers werden gebruikt voor internetdiensten en de opslag van klantinformatie. Hij plaatste kwaadaardige software waardoor het computersysteem van KPN beschadigd raakte. Toen op een gegeven moment klantgegevens van KPN publiek werden, sloot KPN op 10 februari uit voorzorg het e-mailverkeer van ongeveer 2 miljoen klanten tijdelijk af. Later bleek dat die gegevens niet van KPN afkomstig waren, maar van een andere bron.


CV WILBERT PAULISSEN

1962 Geboren te Eindhoven


1979 - 1983 Nederlandse Politieacademie


1983 - 1994 Diverse functies bij de gemeentepolitie in Eindhoven, waaronder hoofd centrale recherche


1994 - 1995 Chef Interregionaal Rechercheteam (IRT) Zuid-Nederland


1995 - 1998 Districtschef Maasland, politiekorps Brabant-Noord


1999 - 2004 Districtschef Tilburg, politiekorps Midden en West Brabant


2004 - 2006 Plv. korpschef politiekorps Midden en West Brabant


2006 - 2010 Plv. korpschef politiekorps Brabant-Noord


2010 - heden Hoofd van de Dienst Nationale Recherche bij het Korps landelijke politiediensten (KLPD)


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden