Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek | Datum ondertekening |
|---|---|---|---|---|
| Ministerie van Justitie en Veiligheid | Staatscourant 2019, 10910 | algemeen verbindend voorschrift (ministeriële regeling) |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling van de Minister van Justitie en Veiligheid van 15 februari 2019, kenmerk 2429311, houdende regels betreffende de kwalificaties van opsporingsambtenaren die door de korpschef kunnen worden aangewezen als lid van een technisch team
De Minister van Justitie en Veiligheid,
Gelet op artikel 3, derde lid, van het Besluit onderzoek in een geautomatiseerd werk,
Besluit:
Artikel 1
In deze regeling wordt verstaan onder:
- a. ‘besluit’:
-
Besluit onderzoek in een geautomatiseerd werk;
- b. ‘technisch team', ‘en ‘korpschef’:
-
hetgeen het besluit daaronder verstaat.
Artikel 2
Een opsporingsambtenaar, bedoeld in artikel 3, eerste lid, van het besluit, kan door de korpschef worden aangewezen als lid van een technisch team indien hij beschikt over de in de bijlage bedoelde kwalificaties.
Deze regeling wordt met de toelichting in de Staatscourant geplaatst.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
TOELICHTING
In deze regeling worden ter uitvoering van de Wet computercriminaliteit III (hierna: de wet) en het Besluit onderzoek in een geautomatiseerd werk (hierna: het besluit) eisen gesteld aan opsporingsambtenaren die door de korpschef worden aangewezen als lid van een technisch team. Een technisch team is een onderdeel van de Landelijke eenheid dat kan worden belast met de uitvoering van een bevel van de officier van justitie om heimelijk en op afstand binnen te dringen in een geautomatiseerd werk en hierin, al dan niet met een technisch hulpmiddel, onderzoekshandelingen te verrichten met het oog op bepaalde onderzoeksdoelen (artikelen 126nba, 126uba en 126zpa van het Wetboek van Strafvordering).
Artikel 3 van het besluit bepaalt dat een opsporingsambtenaar als bedoeld in de artikelen 141, onder b, c en d, en 142 van het Wetboek van Strafvordering door zijn werkgever kan worden aangewezen voor het binnendringen in een geautomatiseerd werk en het, al dan niet met een technisch hulpmiddel, verrichten van onderzoekshandelingen. Deze bevoegdheid wordt hieronder kortheidshalve aangeduid als onderzoek in een geautomatiseerd werk. Een aangewezen opsporingsambtenaar kan uitsluitend met de uitvoering van deze bevoegdheid worden belast als hij lid is van een technisch team (tweede lid). Een aangewezen opsporingsambtenaar kan door de korpschef worden aangewezen als lid van een technisch team indien hij heeft voldaan aan door de Minister van Justitie en Veiligheid gestelde kwalificaties (derde lid). Door het onderzoek in een geautomatiseerd werk voor te behouden aan deskundige opsporingsambtenaren die beschikken over specialistische kennis en vaardigheden kunnen de kwaliteit en de professionaliteit van het onderzoek worden geborgd.
Opleiding, training en certificering
Opleiding, training en certificering zijn belangrijke instrumenten om (personele) kwaliteit van een technisch team te waarborgen en verder te ontwikkelen, gericht op een zorgvuldige en gematigde, proportionele uitvoering van de bevoegdheden in de wet. Opleiding, training en certificering maken deel uit van het totale personeelsproces van werving, selectie, opleiding, certificering en professionele ontwikkeling. In dit personeelsproces is voorzien in waarborgen ten aanzien van uitoefenen van de bevoegdheid zoals kennis van het opsporingsproces en vaardigheden met betrekking tot het opmaken van processen-verbaal. Ook wordt bijvoorbeeld voorafgaand aan het verkrijgen van de bevoegdheid een betrouwbaarheidsscreening uitgevoerd. Volledigheidshalve wordt in dit kader opgemerkt dat voor leden van een technisch team geldt dat zij een vertrouwensfunctie uitoefenen, waarvoor een veiligheidsonderzoek vereist is.
Tijdens verkennende gesprekken in het kader van ontwikkelen van kwalificaties met de geëigende partners is gebleken dat de Politieonderwijsraad en de Politieacademie niet in dit stadium konden adviseren over en voorzien in de noodzakelijke opleiding, training en certificering onder andere gelet op het hoog-specialistische karakter daarvan.
Na een verkenning bij een groot aantal bij een groot aantal publieke en private partijen en opleidingsinstituten is een specialistisch programmateam tot de kwalificatie-eisen gekomen. De personele kwaliteit van leden van een technisch team wordt geborgd door deze kwalificatie-eisen die zijn opgenomen in de bijlage bij de regeling, waar kortheidshalve naar wordt verwezen.
Uit gesprekken met ketenpartners in binnen- en buitenland is gebleken dat nagenoeg alle publieke én private partners (FBI, CIA, Nederlandse defensieonderdelen, Fox IT e.d.) voor opleiding en certificering op dit hoog-specialistisch terrein gebruik maken van de diensten van private specialistische opleidingsorganisaties. Na een verkenning bij deze specialistische opleidingsorganisaties zijn de volgende opleidingen vastgesteld die voldoen aan de gestelde kwalificatie-eisen:
De opleiding die leidt tot het Offensive Security Certified Professional (OSCP) certificaat; houders van zo’n certificaat kunnen verschillende informatievergaringstechnieken toepassen in besturingssystemen, kunnen binnen een netwerk zwakheden identificeren en bijvoorbeeld code aanpassen om toegang te verkrijgen tot het geautomatiseerde werk.
De opleiding die leidt tot het Offensive Security Wireless Professional (OSWP) certificaat; houders van dit certificaat zijn gespecialiseerd in informatievergaring uit draadloze netwerken en zijn gespecialiseerd om restricties in draadloze netwerken te omzeilen.
De opleiding die leidt tot het Offensive Security Certified Expert (OSCE) certificaat; houders van dit certificaat zijn in het bijzonder getraind om moeilijk te detecteren kwetsbaarheden te vinden, het analyseren en wijzigen van code en het omzeilen van beveiligingstechnieken bij geautomatiseerde werken.
Leden van het technisch team dienen over tenminste een van deze certificaten te beschikken. Houders van deze certificaten tonen aan dat zij de eisen genoemd in de bijlage van deze regeling in een voldoende mate beheersen zodat zij zorgvuldig, gematigd en proportioneel uitvoering kunnen geven aan de bevoegdheid.
Deze certificaten kunnen worden aangevuld met verdere specialistische certificaten. Voorbeelden hiervan zijn SANS SEC560: Network Penetration Testing and Ethical Hacking met GIAC GPEN certificaat, SANS SEC542 Web App Penetration Testing and Ethical Hacking met GIAC GWAPT certificaat, SANS SEC660: Advanced Penetration Testing, Exploit Writing, Ethical Hacking met GIAC GXPN certificaat.
Naast technische vaardigheden hebben de opsporingsambtenaren van een technisch team ook kennis van het juridisch kader. Op basis van de wetsgeschiedenis is het bijvoorbeeld van belang dat het gebruik van binnendringsoftware van derden die mogelijk gebruik maakt van onbekende kwetsbaarheden als uiterste middel wordt gebruikt. Voor leden van het technisch team is dat bijvoorbeeld van belang bij de inschatting welk instrument voor de uitvoering van de bevoegdheid aangewezen is. De eerdergenoemde basiscertificaten voor de hoogwaardige kennis van ICT stelt hen in staat hierin een technische inschatting te maken.
Vervolgens is het nodig dat leden van het technisch team voldoende kennis hebben van het opsporingsproces, vaardigheid in het opmaken van een proces-verbaal, kennis van (digitale) forensische sporen en in het veiligstellen daarvan. De benodigde (basis)kennis is gewaarborgd in het (opleidings)proces dat leidt tot aanstelling als opsporingsambtenaar. Daarnaast dienen leden van het technische team hierop aanvullend te hebben deelgenomen aan de politiecursus ‘BOB en CCIII’ of de cursus ‘Wet Computercriminaliteit III’ van de Bijzonderstafrechtacademie (of een vergelijkbare aanbieder).
In een latere fase zullen de eisen voor opleiding en certificering op basis van praktijkervaring worden gevalideerd. Evaluatie van deze regeling, waarbij de evaluatietermijn gelijk is aan de evaluatietermijn van de wet, die plaatsvindt twee jaar na zijn inwerkingtreding, zal onderdeel zijn van deze validering.
Toezicht
Het toezicht op de naleving van de deskundigheidseisen maakt onderdeel uit van toezicht van de Inspectie Justitie en Veiligheid op het functioneren van het wettelijke systeem rond het onderzoek in een geautomatiseerd werk. De inspectie is geconsulteerd over de op te stellen regeling.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
Bijlage bij artikel 2 van de Regeling kwalificaties opsporingsambtenaren technisch team
|
Eisen |
||
|---|---|---|
|
Kennis, Vaardigheden en ervaring |
1. Software engineering |
– Kennis van programmeren. – Vaardig in het programmeren in meerdere talen. |
|
2. Web |
– Actuele kennis van webapplicaties. – Vaardig in het omzeilen van beveiliging van webapplicaties en webservers zoals beschreven in de OWASP top 101. |
|
|
3. Reverse engineering |
– Vaardig in het analyseren van code. |
|
|
4. Binary exploitation |
– Kennis van buffer overflows. – Basisvaardigheid in het toepassen van diverse varianten van buffer overflows. |
|
|
5. Netwerken en wireless |
– Kennis van netwerkarchitecturen en netwerkprotocollen. – Vaardig in het analyseren van netwerkverkeer. |
|
|
6. Windows, OSX en Linux |
– Actuele kennis van de meest gangbare besturingssystemen en diens architectuur. – Vaardig in het gebruik van systeemprogramma’s van besturingssystemen – Kennis van securityaspecten van besturingssystemen. – Kennis van de werking van diverse filesystemen. |
|
|
7. iOS en Android |
– Actuele kennis van mobiele besturingssystemen iOS en Android – Kennis van de werking van de mobiele besturingssystemen en de security aspecten ervan. |
|
|
8. Communicatie |
– In begrijpelijke taal uitleggen wat je doet, gaat doen of hebt gedaan aan doelgroepen RC, OvJ, tactische recherche en teamleden. – In begrijpelijke taal schrijven en vastleggen van bevindingen in een proces verbaal met bewijskracht. |
|
|
9. Opsporing/ Juridisch |
– Kennis van het opsporingsproces. – Kennis van het juridische kader (Sr en Sv). – Vaardigheid in het opmaken van proces-verbaal. – Kennis van (digitale) forensische sporen. – Vaardigheden in het vinden en het veiligstellen van digitale forensische sporen. |
|
|
Gedragscompetenties |
a. Accuratesse b. Creativiteit c. Doorzettingsvermogen d. Probleemanalyse e. Schriftelijke uitdrukkingsvaardigheid f. Stressbestendigheid g. Vakmanschap h. Samenwerken i. Zelfreflectie |
|
X Noot
1Het OWASP (Open Web Application Security Project) is een internationaal open source project op gebied van computerbeveiliging. De OWASP is vooral bekend door de top-10 van meest voorkomende kwetsbaarheden in websites.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2019-10910.html