Ministerie van Justitie
Persbericht
Beveiliging tapkamers snel verbeteren
8 december 2003
De ministers Remkes (Binnenlandse Zaken en Koninkrijksrelaties) en
Donner (Justitie) hebben de korpsbeheerders van de Nederlandse
politiekorpsen opdracht gegeven onmiddellijk maatregelen te nemen om
de beveiliging van tapkamers van de politie te verbeteren. Het gaat
zowel om technische maatregelen als om verbeteringen in het beheer van
de organisatie van de tapkamers. De maatregelen moeten voorkomen dat
informatie uit de tapkamers in handen valt van onbevoegden of dat de
informatie wordt veranderd of verwijderd, of juist niet wordt
verwijderd als dat wel moet.
Naast de maatregelen die nu worden genomen komt er zo snel mogelijk
één landelijke tapkamerfaciliteit (Landelijke Interceptie
Organisatie). De ministers benadrukken dat er tot op heden geen
gevallen bekend zijn van daadwerkelijk misbruik van zwakke plekken in
de tapkamerbeveiliging. Belangrijk daarbij is ook dat de informatie
uit de tapkamers gebruikt wordt binnen een beperkte en besloten
politie-omgeving.
Dat schrijven de beide ministers vandaag aan de Tweede Kamer. Zij
reageren hiermee op een onderzoek van PriceWaterhouseCoopers naar de
informatiebeveiliging bij vijf tapkamers, dat ook naar de Tweede Kamer
is gestuurd. In het onderzoek zijn belangrijke hiaten gevonden in het
beheer van de tapkamers. Ook bleek dat de technische beveiliging van
de informatie in drie van de vijf onderzochte tapkamers ontoereikend
was.
Beheer
PriceWaterhouseCoopers vond belangrijke hiaten in de
beheersmaatregelen van de tapkamers. Bijvoorbeeld:
* bij de aanvraag voor het plaatsen van een tap werden de gegevens,
waaronder cryptografische sleutels, vaak onbeveiligd per fax
gestuurd;
* cryptografische sleutels bleken vaak onvoldoende sterk;
* soms ontbrak de administratie over waar afgetapte informatie zich
bevond, of was die administratie onvolledig;
* toegangsrechten tot het tapsysteem waren vaak niet vastgelegd en
er vond daarop geen periodieke controle plaats;
* pogingen tot ongeautoriseerde toegang leidden niet tot blokkering
van het account;
* er was geen of een ontoereikend mechanisme om de volledigheid van
de taps te controleren;
* er waren vaak geen of onvoldoende maatregelen genomen tegen
virusbesmetting.
Technische beveiliging
Bij drie van de vijf onderzochte tapkamers was de technische
beveiliging fundamenteel ontoereikend, doordat voor de
toegangsbeveiliging tot de getapte informatie vertrouwd wordt op
software op lokale computers. Hierdoor kunnen onbevoegden met toegang
tot de lokale computers inzage krijgen in getapte informatie of
log-informatie, deze wijzigen of vernietigen of autorisaties wijzigen.
In een enkel geval bleek het zelfs relatief eenvoudig de beschikking
te krijgen over het wachtwoord van de beheerder, zodat verdere
manipulatie zou kunnen plaatsvinden. De oplossing hiervoor is controle
op de toegang tot het tapsysteem uit te laten voeren door het centrale
tapsysteem, waar gebruikers op inloggen en dat een betrouwbare
verbinding met de gebruiker in stand houdt. Verder moet de integriteit
en authenticiteit van getapte informatie gewaarborgd en controleerbaar
gemaakt worden bij binnenkomst, archivering en bij het overzetten naar
een ander medium voor gebruik in de rechtszaal. Dit kan met een
mechanisme van controlegetallen of met digitale handtekeningen.
De automatisch controle op toegang tot het tapsysteem moet verbeteren
door eisen te stellen aan lengte, complexiteit,
instellingsmogelijkheden en geldigheidsduur van wachtwoorden. Het
feitelijk wissen van boodschappen waarbij zogenaamde geheimhouders
(zoals advocaten) zijn betrokken, moet geformaliseerd worden.
Essentiële gebeurtenissen als mislukte aanlogpogingen, wijzigingen in
autorisaties en het wissen van gesprekken moeten automatisch
vastgelegd worden, met daarbij een alarmeringsysteem dat bij eventueel
misbruik de beheerder waarschuwt.
Verscherpte eisen
Vooruitlopend op het onderzoek hebben de ministers, mede op aangeven
van het Openbaar Ministerie, al opdracht gegeven de eisen uit te
werken waaraan een hedendaagse tapkamer moet voldoen. Door aan deze
eisen te voldoen worden de geconstateerde zwakheden afgedekt. De eisen
zijn dit najaar beschikbaar gekomen in de zogenaamde 'Normstelling
Inrichting Interceptiefaciliteiten'.
Deze normstelling heeft als basis de ministeriele Regeling
Informatiebeveiliging Politie (RIP 1997) en moet door de
korpsbeheerders worden nageleefd. De normstelling is inmiddels aan de
korpsbeheerders aangeboden.
Eén landelijke taporganisatie
Het voldoen aan de hedendaagse eisen die aan tapkamers worden gesteld,
blijkt voor individuele korpsen in toenemende mate te duur en te
ingewikkeld. Daarom komt er één landelijke organisatie voor het
tappen, die aan alle eisen voldoet.
Inmiddels hebben de Nationale Recherche, de Koninklijke Marechaussee,
de Bijzondere Opsporingsdiensten en tien politiekorpsen zich al
volledig bij de landelijke taporganisatie aangesloten. Nog eens tien
politiekorpsen maken voor specifieke diensten al gebruik van de
landelijke organisatie, en hebben het plan zich op korte termijn
volledig aan te sluiten. Met de resterende korpsen wordt nog gesproken
over het moment waarop zij gaan meedoen met de landelijke
taporganisatie. Halverwege 2005 moeten alle korpsen meedoen. Zij
hoeven dan dus geen eigen tapkamers meer in stand te houden. De
korpsen hebben daarvoor ook extra geld gekregen: 3,1 miljoen euro dit
jaar, oplopend tot 12,5 miljoen euro per jaar vanaf 2006.