Hacker Erik gaf de hele school vrij en moest voor straf op stage
Jonge hackers die voor het eerst door de politie zijn betrapt, worden op stage gestuurd bij IT-bedrijven. Met deze alternatieve straf is het afgelopen jaar geëxperimenteerd. De politie en het Openbaar Ministerie zijn tevreden over de eerste resultaten en gaan ermee door.
Jaarlijks worden zo'n zeventig jongeren aangehouden voor cybercrime. Lang niet altijd hebben ze door hoeveel schade ze aanrichten. Daarom bedachten de instanties een nieuwe straf, bedoeld voor hackers tussen de 12 en 23 jaar die niet eerder in de fout zijn gegaan.
De jongeren krijgen les over wat op internet wel en niet mag en gaan in de leer bij beveiligingsexperts van IT-bedrijven. Zo leren ze hoe ze hun talent op een goede manier kunnen benutten.
Elf jongeren kregen dit jaar de alternatieve straf Hack_Right aangeboden. Een van hen was 'Erik', die om privacy-redenen niet met zijn echte naam wil worden genoemd. Hij was 17 toen hij zijn school hackte. "Nog voor de eerste schooldag begon, had ik de wachtwoorden van alle docenten al."
Hele school vrij
Erik maakte een nepsite, die leek op het schoolsysteem waar alle leraren op inlogden. "Die had ik ervoor in de plaats gezet, waardoor alle docenten op de verkeerde site inlogden. Met hun gegevens kon ik cijfers aanpassen, leerlingendossiers bekijken en roosters aanpassen."
Erik vertelt waarom hij de schoolsite hackte en wat hij geleerd heeft van zijn 'stage':
Om dat laatste was het hem te doen. De havo 5-leerling roosterde zichzelf drie maanden uit, omdat hij geen zin meer had in school. "Het was te simpel. Zonder school haalde ik mijn toetsen ook." Als klap op de vuurpijl gaf hij alle leerlingen van zijn school een dag vrij.
Erik zag het als een goede grap en absoluut niet als een misdrijf. "Ik had niet verwacht dat ik bij de politie terecht zou komen. Ik dacht dat het wel binnen de school zou blijven."
Toen ik in de cel zat, besefte ik: dit mocht eigenlijk niet.
Dat liep anders. Drie maanden later stond de politie voor de deur met een huiszoekingsbevel. Zijn computers werden in beslag genomen. Tweeënhalve dag zat hij vast.
"Dat had de meeste impact", zegt Erik. "Toen ik in de cel zat, besefte ik: dit mocht eigenlijk niet. Maar ergens vond ik het ook niet al te erg. Ik had geen cijfers aangepast."
Bovendien had hij al eens een beveiligingslek in de software gemeld bij de directeur van zijn school. Die deed daar volgens hem niets mee.
Washandjes vouwen
Floor Jansen, rechercheur bij het Team High Tech Crime van de politie, komt vaker jongens als Erik tegen. "Veel jongeren willen aantonen dat systemen lek zijn en laten zien wat ze in huis hebben, zonder dat ze zich bezighouden met de gevolgen", vertelt ze.
Speciaal voor deze groep bedacht Jansen met een collega van het OM de nieuwe maatregel, die kan worden opgelegd in plaats van een gewone taakstraf. "Als je twintig uur washandjes vouwt, weet je nog steeds niet wat wel en niet mag op internet. Wij willen leren hoe je je vaardigheden de volgende keer op een goede manier inzet."
Daarom worden de jonge daders geïntroduceerd bij 'ethische' hackers: gelijkgestemden zonder kwade bedoelingen, die beveiligingslekken opsporen voor bedrijven. Ze gaan ook op stage bij IT-bedrijven, die dit soort jongens liever voor hen zien werken dan tegen hen.
Proef vervolgd
Politie en OM hopen te voorkomen dat de jongeren opnieuw in de fout gaan en een strafblad krijgen. Ze zijn tevreden over de eerste resultaten en gaan volgend jaar verder met de proef. Daarna volgt een uitgebreide evaluatie.
Erik keek mee op de cybersecurity-afdeling van een bedrijf en zag daar hoe hij 'legaal' kan inbreken in computersystemen. "Ik vond het heel interessant en leuk om te ervaren hoe er professioneel gehackt wordt. Er valt veel geld mee te verdienen. Dat heb ik ook geleerd met dit project."