Alarmbellen. Er is ingebroken in een beveiligde website van de Rijksoverheid. De beheerder doet aangifte en de digitale sporen leiden naar een woonadres, waar de politie kennismaakt met de 15-jarige verdachte. Hij heeft een t-shirt met de tekst: ‘I hacked the Dutch government and all I got was this lousy t-shirt.’ Wat is er precies gebeurd? Hoe pak je zoiets aan? We praten erover met Officier van Justitie Wieteke Koorn.

Jongens met bepaalde talenten
‘Cybercrime is natuurlijk anders dan reguliere criminaliteit omdat er een technologische component aan zit. Toch kun je een hack vergelijken met een reguliere inbraak, alleen gebruikt de dader een programmaatje in plaats van een koevoet of schroevendraaier. Wat cybercrime écht anders maakt, is het type dader. Het zijn meestal jongens onder de 25 met bepaalde talenten, geïnteresseerd in techniek, die soms wat geïsoleerd van de maatschappij zijn en programmeren leuk vinden. Ze beginnen meestal op jonge leeftijd met gamen, als ze een jaar of 10 zijn. Op een gegeven moment gaan ze zich verdiepen in de techniek. Binnen de scene komt het dan voor dat spelers het systeem proberen te hacken. Ze zoeken bijvoorbeeld ‘cheats’ of manieren om andere spelers buitenspel te zetten. Ze zitten op fora om kennis op te doen en beter te leren programmeren. Soms zie je dat ze vandaar langzaam naar illegale of criminele fora verschuiven. Het is een groeipad van jongeren in ontwikkeling. Een natuurlijke drang om grenzen te verleggen. Wat je ook ziet is dat ze daar online status mee opbouwen; vaak een betere status dan ze in de echte wereld hebben. Dus ga je door met waar je goed in bent en waar je goede feedback op krijgt.’

Van kwaad tot erger
‘Voor jongeren is het vaak moeilijk om te bedenken wanneer ze online strafbaar bezig zijn. Alles gebeurt op afstand, het is wat abstract, je gaat niet fysiek ergens naar binnen. Soms zijn ze illegaal bezig zonder dat ze het merken, maar soms is het een bewuste keuze. Zo had ik laatst een zaak van een jongen die malware ontwierp. Een programmaatje dat je in een Microsoft Word document verstopt en als bijlage verstuurt. Als je de bijlage opent start het programma waarmee de afzender op je systeem kan inbreken. De jongen had ruim anderhalf jaar een bedrijf in malware, met een abonnementsvorm voor 500 dollar per maand. Hij adverteerde en had zelfs een helpdesk functie. Ja, weet je, dan ben je gewoon een crimineel bedrijf, een facilitator. Je ziet wel vaker dat jongens naar een grootschaliger of bedrijfsmatig niveau opschalen. De laatste tijd zien we ook een flinke toename van ‘phishing’ of gijzeling van bedrijven met ‘ransomware’. Makkelijk snel geld verdienen, denken ze dan.’

Op tijd ingrijpen
‘De typische cybercrimineel staat aan het begin van zijn leven en is vaak nog student of scholier. Als je die op zitting laat komen en een strafblad geeft, dat betekent nogal wat. Zo kun je iemand eigenlijk al kapot maken voordat hij tot volle bloei is gekomen. Hoe doe je het nou goed? Gelukkig heb je als officier de mogelijkheid om een keuze te maken. Als je goed kijkt naar de feiten, wat er precies is gebeurd, hoe het is gebeurd, de context waarin dat is gebeurd, en het oogmerk van de verdachte, dan kun je daar een beeld van vormen. Zo maak je samen met je team het complete plaatje. Op basis daarvan kun je beslissen om hem juist te helpen door zijn vaardigheden in goede banen te leiden. Bijvoorbeeld met Hack_Right.’

Hack_Right
`Met Hack_Right is een programma voor hackers van 12 tot 30 jaar. Het is bedacht door het OM en de politie, en wordt door Halt, Reclassering Nederland, de Raad voor de Kinderbescherming en cyber (security) bedrijven uitgevoerd. Het doel is jongeren te begeleiden om hun talenten voor het goede in te zetten. Om ervoor in aanmerking te komen moet je een ‘first offender’ zijn, je moet bekennen wat je gedaan hebt en gemotiveerd zijn om jezelf op een positieve manier te ontwikkelen. Daarnaast kijken we hoe je tot het strafbare feit gekomen bent. Hack_Right bestaat uit vier onderdelen: 1) Juridische en ethische grenzen: welke regels gelden er online (juridisch en ethisch), waarom zijn deze regels er en hoe zet je ze in? 2) Impactbesef, excuus en schadeherstel: wat zijn de gevolgen van cybercrime, voor zowel het slachtoffer als de dader en kun je de schade herstellen? 3) Digitaal talent: hoe pas je je talent op een goede manier toe? 4) Digitale weerbaarheid: hoe maak je online de juiste keuzes?

De onderdelen bestaan uit verschillende opdrachten waaruit kan worden gekozen. Zo kan er een Hack_Right traject worden samengesteld dat inspeelt op kenmerken van de dader en zijn/haar delict. Het programma bestaat sinds eind 2017 en de resultaten zijn veelbelovend. Laatst las ik dat een jongen het OM enorm bedankte voor de tweede kans die hij heeft gekregen. Dat is iets waar ik enorm trots op ben.`

De zaak: Hacking Rijksoverheid
Op 1 mei 2019 kregen we melding dat een website van de Rijksoverheid was gehacked. Uit de digitale sporen kon de politie het IP-adres achterhalen en dat leidde naar het woonadres van een vader, moeder en zoon van 15. Op social media zagen we dat de zoon interesse had in gamen en lid was van technische platforms; genoeg reden om eens langs te gaan. Toen de vader opendeed zei hij direct: ‘Oh jullie komen vast voor mijn zoon, die heeft de overheid gehackt en er een t-shirt mee gewonnen.’ Het bleek dat de zoon heeft meegedaan aan een wedstrijd. Hij had zijn hack direct bij het NCSC (Nationaal Cyber Security Centrum) en zijn ouders gemeld. Het mooie was dat hij er zo trots op was, dat hij er ook nog een spreekbeurt over had gegeven op school. Uit onze onderzoeken bleek dat hij geen kwaad in de zin had, maar gewoon benieuwd was of het hem lukte. We besloten de zaak te seponeren onder de voorwaarde dat hij het Hack_Right traject volgt en goed afrondt. Dat heeft hij nu gedaan. De jongen is enthousiast en wil na school zijn opleiding tot ‘white hat’ hacker voortzetten. Dat vind ik mooi om te horen.’