Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten Een expert opinion

Auteur(s):

prof.dr. Bert-Jaap Koops

Versie:

1.0

Datum:

April 2013

Deze expert opinion is gebaseerd op de stand van de wetgeving van begin 2013. Het wetsontwerp Computercriminaliteit III dat in mei 2013 werd gepubliceerd, is niet in de analyse betrokken.

Radboudkwartier 273 3511 CK Utrecht

Postbus 19035 3501 DA Utrecht

030 - 2 305 305 [email protected] www.surfnet.nl

Deutsche Bank 46 57 33 506 KvK Utrecht 30090777 BTW NL 0089.60.173.B01

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten

prof.dr. Bert-Jaap Koops Universiteit van Tilburg TILT – Tilburg Institute for Law, Technology, and Society Postbus 90153 5000 LE Tilburg [email protected] PI.lab http://pilab.nl/ April 2013

For this publication is the Creative Commons licence “Attribution 3.0 Unported”.. More information on the licence is to be found on http://creativecommons.org/licenses/by/3.0/ 2


Inhoudsopgave Samenvatting ......................................................................................................................................... 4 Afkortingen ............................................................................................................................................ 5 1 Inleiding ........................................................................................................................................... 6 2 Anti-botnetacties ............................................................................................................................. 7 3 Basiselementen in het strafrecht .................................................................................................. 9 3.1 Jurisdictie ................................................................................................................................. 9 3.2 Wederrechtelijkheid................................................................................................................ 10 4 Relevante bepalingen in het Wetboek van Strafrecht ............................................................... 14 4.1 Bepalingen over observatie en registratie .............................................................................. 14 4.2 Bepalingen over infiltratie en manipulatie .............................................................................. 16 4.3 Overnemen en neerhalen ...................................................................................................... 20 4.4 Overige mogelijk relevante strafbepalingen ........................................................................... 23 4.5 De keerzijde: strafbepalingen die pleiten vóór anti-botnetacties ............................................ 25 5 Conclusie ....................................................................................................................................... 28 Literatuur.............................................................................................................................................. 29

Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl


Samenvatting

Deze notitie, geschreven in opdracht van SURFnet, geeft een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. De meeste anti-botnetacties die verder gaan dan pure beveiliging van de eigen systemen, maken inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen. Deze acties zijn daarom snel te kwalificeren als aftappen en opnemen van communicatie, computervredebreuk, gegevensaantasting, computersabotage en heling van gegevens – gedragingen die in het Wetboek van Strafrecht strafbaar zijn gesteld wanneer ze opzettelijk en wederrechtelijk worden uitgevoerd. De kernvraag daarbij is wanneer een actie wederrechtelijk is. Er valt niet in het algemeen te zeggen wanneer een anti-botnetactie wederrechtelijk is. Dat hangt af van veel factoren, zoals de contracten en gedragscodes die binnen SURFnet gelden, de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, (on)mogelijkheden van diverse actoren om in te grijpen, en hoe de maatschappij aankijkt tegen ingrijpen door private actoren in het kader van misdaadbestrijding in een Internetomgeving. Leidende beginselen zijn subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Voor elk type actie, en in elke context, moet worden bekeken of het nodig is dat SURFnet of een aangesloten instelling deze actie uitvoert (in plaats van het over te laten aan politie, antivirusaanbieders of eindgebruikers), en of de bedreiging – de mogelijke of aangerichte schade – van het botnet de mate van ingrijpen in computers en gegevensstromen van anderen rechtvaardigt. Omdat de maatschappelijke normen voor de aanvaarbaarheid van anti-botnetacties (dat wil zeggen of deze rechtmatig of wederrechtelijk zijn) nog sterk in ontwikkeling zijn, verdient het aanbeveling dat SURFnet richtlijnen opstelt voor anti-botnetacties, bij voorkeur na overleg met andere belanghebbende actoren. In elk geval kan SURFnet als netwerkaanbieder in de contracten met instellingen, en als dienstaanbieder in het opstellen van model-gedragscodes en integriteitscodes, tot op zekere hoogte zelf bepalen welke anti-botnetacties onder welke omstandigheden uitgevoerd kunnen worden binnen het SURFnet-netwerk. Voor acties die effect hebben op computers en gegevensstromen buiten het SURFnet-netwerk kan SURFnet, liefst samen met vergelijkbare private partijen, een gedragscode opstellen voor anti-botnetacties, die weliswaar geen bindende werking heeft maar wel de beoordeling door de rechter van de rechtmatigheid van de acties kan inkleuren. Het Nederlandse strafrecht stelt daarbij wel grenzen aan anti-botnetacties, maar die grenzen zijn contextafhankelijk. Zorgvuldig overdachte, proportionele acties ter bestrijding van botnets hoeven niet strafbaar te zijn, en voor zover ze dat op papier wel zijn zullen ze in de praktijk vermoedelijk niet snel worden vervolgd.

4/29


Afkortingen C&C

Command & Control

DPI

Deep Packet Inspection

HR

Hoge Raad

LJN

Landelijk JurisprudentieNummer

NCSC Nationaal Cybersecurity Centrum Sr

Wetboek van Strafrecht

5/29


1

Inleiding

Botnets zijn een van de grootste uitdagingen bij de bestrijding van cybercriminaliteit. Ze vormen een groot maatschappelijk probleem, vanwege de diversiteit aan strafbare feiten die ermee kunnen worden gepleegd, hun (voor geïnfecteerde gebruikers) onzichtbare en hun grensoverschrijdende karakter, en de aanzienlijke schade die botnetaanvallen kunnen opleveren. De bestrijding van botnets kan niet alleen bestaan uit de klassieke strafrechtelijke aanpak van opsporing en vervolging van daders; ook het botnet zelf zal aangepakt (liefst ontmanteld) moeten worden, om te voorkomen dat het door anderen wordt overgenomen wanneer de oorspronkelijke daders opgepakt worden. Bovendien is strafrechtelijk optreden tegen botnets moeilijk vanwege het grensoverschrijdende karakter. Daarom is het wenselijk dat activiteiten worden ondernomen, door overheid maar mogelijk ook door private partijen, om botnets te bestrijden. SURFnet is één van de private partijen die regelmatig met botnets te maken krijgt. In het verleden heeft SURFnet meerdere malen een faciliterende rol ingenomen bij het ontmantelen van botnets. Inmiddels is er nationaal en internationaal discussie ontstaan over het nut en de noodzaak van dergelijke ontmantelingsacties. In bepaalde situaties kan het observeren van een botnet een verstandigere zet zijn dan het onschadelijk maken, omdat een nieuwe botnetversie snel opgezet kan worden en het tijd en moeite kost om een nieuwe versie te analyseren. SURFnet vindt het belangrijk om beleid te ontwikkelen over hoe en of SURFnet betrokken kan zijn bij toekomstige acties ter bestrijding van botnets (hierna: anti-botnetacties). Een belangrijk aandachtspunt daarbij is de vraag welke juridische ruimte er bestaat voor een private actor als SURFnet om anti-botnetacties uit te voeren. Naast het privacyrecht speelt het strafrecht daarbij een belangrijke rol, omdat anti-botnetacties vaak zullen bestaan uit handelingen die mogelijk als computercriminaliteit te kwalificeren zijn, zoals aftappen van gegevens of computervredebreuk. Daarom heeft SURFnet opdracht gegeven een Expert Opinion te schrijven over de strafrechtelijke aspecten van anti-botnetacties. In deze notitie wordt een dergelijke Expert Opinion gegeven in de vorm van een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. Het overzicht en het antwoord op de vraag naar strafbaarheid zijn globaal. In de voor deze notitie beperkt beschikbare tijd was het niet mogelijk om een uitgewerkte analyse te geven van alle strafrechtelijke aspecten. De notitie geeft daarom een globale indicatie van mogelijke strafbaarheid. Het bevat geen juridisch advies; partijen die overwegen bepaalde anti-botnetacties uit te voeren wordt aangeraden nader juridisch advies in te winnen over de toelaatbaarheid van de bepaalde beoogde actie in de specifieke context waarin deze plaatsvindt. De notitie begint met een classificatie van anti-botnetacties, als handvat om de strafrechtelijke aspecten te bespreken. Vervolgens worden eerst twee basisvragen besproken die in het algemeen relevant zijn – jurisdictie en wederrechtelijkheid – waarna een overzicht volgt van mogelijk relevante strafbepalingen. In de conclusie wordt geprobeerd een globale indicatie te geven van de eventuele strafbaarheid van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen.

6/29


2

Anti-botnetacties

Bij anti-botnetacties kan worden gedacht aan een breed scala van activiteiten. Dat varieert van enerzijds observatie via infiltratie en manipulatie tot het overnemen, neerhalen en ontmantelen van een botnet. In Himma-Dittrich’s taxonomie van ‘intrusion response’ gaat het om de twee hoogste niveaus – 3 en 4 – van actie, namelijk: •

‘cooperative response’, waarbij het slachtoffer van een aanval of bedreiging in samenwerking met anderen gezamenlijke maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren;

•

‘non-cooperative response’, waarbij het slachtoffer eenzijdige maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren met middelen die causale interacteren met systemen op afstand (hetzij van een aanvaller hetzij van derden die zouden kunnen bijdragen aan 1 het bestrijden van de bedreiging).

De acties kunnen verschillende niveaus hebben van ingrijpendheid (‘levels of force’, in HimmaDittrich’s taxonomie): •

goedaardig (‘benign’), bijvoorbeeld sniffen of detectie door middel van een pot honing;

•

gemiddeld, bijvoorbeeld het terugtraceren van een aanvalspad of het vergaren van bewijs van een locatie op afstand;

•

agressief, zoals het manipuleren van data of systemen op afstand, of het uitschakelen van 2 systemen.

Voor de strafbaarheid is vooral het laatste onderscheid relevant, niet alleen omdat het om verschillende maten gaat van mogelijke schade die de actie bij een systeem aanricht, maar ook omdat het om verschillende typen ingrijpen gaat. In concreto kunnen de volgende anti-botnetacties worden onderscheiden, ongeveer in volgorde van toenemende ingrijpendheid: 1. observatie en registratie: a. passief/registrerend, bijvoorbeeld nazoeken van DNS-informatie, registreren van netflowinformatie, en eventueel Deep Packet Inspection (DPI) van langskomend netwerkverkeer; b. actief/zoekend, dat wil zeggen het aantrekken van netwerkverkeer dat met een botnet samenhangt; hierbij moet ook onderscheid gemaakt worden tussen: i.

informatie over het botnet, bijvoorbeeld verkeerspatronen die met het botnet samenhangen;

1

Dittrich en Himma 2005.

2

Ibid.

7/29


ii.

informatie verkregen door het botnet, dat wil zeggen gegevens die door het botnet (vermoedelijk) illegaal worden verzameld, zoals kredietkaartgegevens, wachtwoorden of bedrijfsinformatie;

2. infiltratie en manipulatie, bijvoorbeeld het spoofen van Command & Control-verkeer, IP-spoofing en het installeren van remote exploits; 3. overnemen en neerhalen, bijvoorbeeld sinkholing (het routeren van botnetverkeer naar een server onder eigen beheer in plaats van naar de C&C-server), het anderszins overnemen van een C&Cserver, het blokkeren van botnetverkeer, of het ontmantelen van een botnet; acties op dit niveau kunnen gericht zijn op: a. het botnet als geheel, dan wel de C&C-server; b. een geïnfecteerde computer, bijvoorbeeld het op afstand desinfecteren van een bot.

Deze notitie analyseert anti-botnetacties die worden uitgevoerd in de context van SURFnet. Mogelijke uitvoerders van acties zijn: A. SURFnet als ISP van bij SURFnet aangesloten instellingen voor hoger onderwijs en onderzoek, waarbij informatiebeveiligingsdiensten worden geleverd door SURFcert; B. een bij SURFnet aangesloten instelling.

8/29


3

Basiselementen in het strafrecht

Alvorens te beschrijven welke strafbepalingen mogelijk van toepassing zijn op anti-botnetacties, is het nuttig om eerst twee aspecten te noemen die een belangrijke rol spelen bij de kwalificatie. Ten eerste is belangrijk om te bepalen welk recht van toepassing is. Ten tweede zijn er enkele basiselementen in het strafrecht die op de meeste strafbepalingen van toepassing zijn: handelingen zijn over het algemeen alleen strafbaar als ze opzettelijk worden begaan en wederrechtelijk zijn. Ik ga ervan uit dat anti-botnetacties doelbewust en dus opzettelijk worden gepleegd, maar de wederrechtelijkheid is contextafhankelijk en vergt nadere bestudering.

3.1

Jurisdictie

Over het algemeen is het strafrecht van toepassing van het land waarin het strafbare feit wordt gepleegd. Er zijn ook andere grondslagen van rechtsmacht, zoals nationaliteit (een Nederlander die in het buitenland kinderporno vervaardigt, is (ook) strafbaar in Nederland) en universaliteit (zoals oorlogsmisdrijven). Voor deze notitie is vooral jurisdictie op basis van plaats relevant. We gaan ervan uit dat degene die de anti-botnetactie uitvoert, zich in Nederland bevindt. In dat geval is de Nederlandse strafwet van toepassing: rechtsmacht wordt gebaseerd op de plaats waar de gedraging wordt uitgevoerd, en bij computerhandelingen betekent dat zowel de plaats waarvandaan commando’s worden verstuurd als de plaats waar commando’s worden uitgevoerd. Als het systeem op afstand in het buitenland staat, zal de buitenlandse staat meestal ook rechtsmacht kunnen 3 opeisen: daar vindt immers het gevolg van de gedraging plaats. In dat geval is er, zoals bij cybercrime vaak het geval is, sprake van een zogeheten positief rechtsmachtconflict en zullen landen onderling moeten uitmaken welk land het delict wil vervolgen; vaak zal dat het land zijn waarin de verdachte zich bevindt. Dit betekent dat de analyse in deze notitie hoofdzakelijk kijkt of een anti-botnetactie onder het Nederlandse strafrecht gekwalificeerd kan worden als een strafbaar feit. Men moet er echter rekening mee houden dat, als een actie in Nederland niet strafbaar is, het onder buitenlands recht mogelijk wel strafbaar zou kunnen zijn. In het bestek van deze notitie is het niet mogelijk om buitenlands recht te analyseren. Over het algemeen is het strafrecht van cybercrime enigszins geharmoniseerd door het Cybercrime-verdrag van de Raad van Europa, waarbij 39 landen zijn aangesloten (waaronder niet alleen Europese landen 4 maar ook de VS, Australië en Japan). Die landen hebben meestal vergelijkbare strafbepalingen als Nederland, maar er zijn behoorlijke verschillen in de implementatie. Instellingen moeten er dus rekening mee houden dat acties tegen botnets of bots die zich in het buitenland bevinden, aldaar strafbaar kunnen zijn ook als ze naar Nederlands recht niet strafbaar zijn. Het risico daarvan is overigens betrekkelijk klein: ook als een actie theoretisch strafbaar is, is het meestal onwaarschijnlijk dat een buitenlandse staat actief gaat vervolgen (tenzij de actie aanzienlijke schade aanricht aan computers of systemen op afstand). En mocht een buitenlandse staat overgaan tot vervolging, dan zal Nederland geen rechtshulp verlenen of de ‘dader’ uitleveren als de actie naar Nederlands recht niet strafbaar is; voor rechtshulp is namelijk ‘dubbele strafbaarheid’ vereist. Daarom is het voor SURFnet

3

Zie voor een analyse van rechtsmacht bij cybercrime Brenner en Koops 2004.

4

Zie http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL=ENG.

9/29


en aangesloten instellingen vooral relevant om te weten of een anti-botnetactie naar Nederlands recht strafbaar is.

3.2

Wederrechtelijkheid

Hoewel het misschien tautologisch klinkt, is wederrechtelijkheid een belangrijk onderdeel van strafbepalingen. Veel handelingen die worden beschreven in het Wetboek van Strafrecht (Sr) worden namelijk veelvuldig gepleegd in het dagelijks leven; zo pleegt iemand die na de lunch bij haar moeder thuis een melkpak in elkaar frommelt, zaakbeschadiging (het onbruikbaar maken van een goed dat geheel of ten dele aan een ander toebehoort), maar dit valt niet onder artikel 350 Sr omdat ze er (stilzwijgende) toestemming voor heeft. De meeste strafbepalingen bevatten daarom het element ‘wederrechtelijk’ in de beschrijving, bijvoorbeeld het ‘opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan’ (art. 138ab Sr, hacken). Zonder het element ‘wederrechtelijk’ in de omschrijving, zou elke computergebruiker zich elke keer als zij haar computer gebruikt schuldig maken aan hacken. 3.2.1

Contractuele relatie

Het element van wederrechtelijkheid is belangrijk bij de kwalificatie van anti-botnetacties, omdat de toelaatbaarheid daarvan mede afhangt van de juridische relatie tussen degene die de actie uitvoert en degene die de actie ondergaat. Zo kan het gebruik van DPI door SURFcert in het kader van een botnetonderzoek rechtmatig zijn als in het contract tussen SURFnet als dienstaanbieder en de aangesloten instelling daarover een bepaling is opgenomen. Het op afstand desinfecteren van een bot binnen het netwerk van een SURFnet-klant kan rechtmatig zijn als deze actie is opgenomen in de overeenkomsten tussen SURFnet en instelling en tussen de instelling en haar gebruikers. Vermoedelijk zullen bestaande overeenkomsten en gedragscodes geen expliciete of specifieke bepalingen hebben over anti-botnetacties, maar bestaande bepalingen over het monitoren van netwerkverkeer van gebruikers zouden ruim genoeg kunnen zijn geformuleerd om ook bepaalde antibotnetacties te omvatten. Zo bepaalt artikel 11 van de Leidraad voor het opstellen van een Acceptable Use Policy (versie 2005) van SURF-IBO: Artikel 11: Controle Misbruik en incidenten melden •

met inachtneming van de WBP worden ter voorkoming van beheer- en capaciteitsproblemen evenals ter voorkoming van misbruik door de beheerder de ICTfaciliteiten via geautomatiseerde processen gecontroleerd en wordt het netwerkverkeer 5 gevolgd; hierbij zijn de gegevens niet tot personen te herleiden (…).

Wanneer een instelling deze bepaling heeft geïmplementeerd in de gedragscode ICT-gebruik voor haar medewerkers en gebruikers, kan het netwerkverkeer daarom rechtmatig worden gemonitord ter voorkoming van botnetaanvallen, zolang het verkeer niet tot individuele personen te herleiden is. Eventueel kan ook op individueel niveau worden gemonitord bij aanwijzingen van concrete dreigingen,

5

SURF-IBO, Leidraad voor het opstellen van een Acceptable Use Policy , november 2005, http://www.surf.nl/nl/publicaties/Documents/SURFIBO%20Leidraad%20voor%20het%20opstellen%20van%20een%20acceptable%20use%20policy%20definitief.pdf

.

10/29


maar dat hangt af van de precieze formulering van de bepalingen in de gedragscode over wat onder welke omstandigheden mag worden gemonitord. Ook meer ingrijpende acties zoals het blokkeren van verkeer of het op afstand ingrijpen in een computer zouden gerechtvaardigd kunnen zijn als dat in onderlinge afspraken voldoende duidelijk is geregeld. Voor het bepalen van de rechtmatigheid van een bepaalde anti-botnetactie, is het dus belangrijk om de contracten en andere afspraken (zoals integriteitscodes voor ICT-medewerkers en gedragscodes voor ICT-gebruik) te bestuderen. Voor zover de overeenkomsten en gedragscodes geen (voldoende expliciete) bepalingen bevatten over bepaalde anti-botnetacties en partijen (SURFnet en aangesloten instellingen) het wenselijk achten dat deze acties wel onder bepaalde omstandigheden kunnen worden ingezet, kunnen deze partijen de overeenkomsten aanpassen of aanvullen. 3.2.2

Maatschappelijke normen

Vanzelfsprekend gelden de opmerkingen over contractuele relaties alleen voor acties die beperkt blijven tot computers die onderdeel uitmaken van het SURFnet-netwerk (en eventueel van privécomputers van medewerkers of studenten als de contracten en gedragscodes zich daarover uitstrekken). Voor acties gericht tegen computers buiten het netwerk zullen algemene regels van rechtmatigheid gelden, zoals de open norm van de onrechtmatige daad: ‘wat in het maatschappelijk verkeer betaamt’. Zo’n open norm is moeilijk in te vullen voor anti-botnetacties, omdat er nog relatief weinig ervaring bestaat in het maatschappelijk verkeer met ingrijpen door private partijen in botnets. Totdat rechters zich over concrete zaken uitspreken, kan alleen enig houvast worden gevonden in algemene beginselen als subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Observatie is minder ingrijpend dan manipuleren of overnemen en zal dus sneller rechtmatig zijn; het op afstand desinfecteren van een bot door een remote exploit is ingrijpend en zal mogelijk alleen acceptabel zijn als desinfectie door antivirusprogramma’s echt niet werkt en als de geïnfecteerde computer een concrete bedreiging vormt voor het netwerkverkeer. De precieze invulling van wat subsidiair en proportioneel is, is contextafhankelijk. Het hangt samen met onder andere de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, de (on)mogelijkheden van diverse actoren om in te grijpen, en vooral ook met de maatschappelijke normen over wat men in een bepaalde tijd en op een bepaalde plaats aanvaardbaar vindt. De maatschappelijke normen over ingrijpen in botnets moeten nog uitkristalliseren. Daarom kan in deze notitie geen duidelijk antwoord worden gegeven op de vraag naar de toelaatbaarheid van antibotnetacties: het is nauwelijks te zeggen waar in de huidige Nederlandse context de grens ligt van ‘wederrechtelijkheid’. Die grens zal in de praktijk – in beleid en in jurisprudentie – moeten worden ontwikkeld. Partijen die actie willen ondernemen tegen botnets, hoeven niet passief af te wachten maar kunnen die ontwikkeling zelf actief (bij)sturen door met alle belanghebbende actoren te overleggen en gedragscodes te ontwikkelen. Op die manier kristalliseren maatschappelijke normen rond nieuwe technologieën en praktijken zich immers uit. Het valt daarom aan te raden voor SURFnet om met partijen (zoals NCSC, politie, Openbaar Ministerie, beveiligingsbedrijven, banken, ICTkoepelorganisaties en privacyorganisaties) om de tafel te gaan zitten en richtlijnen op te stellen voor anti-botnetacties door SURFnet en eventuele andere private partijen. 3.2.3

Juridische leerstukken

Het vraagstuk van wederrechtelijkheid raakt voorts aan diverse juridische leerstukken, die binnen het bestek van deze notitie niet kunnen worden geanalyseerd. Ik noem ze hier als aandachtspunten waarvan het mogelijk nuttig zou kunnen zijn ze nader te onderzoeken.

11/29


Ten eerste de vraag of het uitmaakt met welke – goede of kwade – bedoelingen iemand een handeling pleegt. Over het algemeen is het feit of iemand met goede bedoelingen een feit pleegt niet doorslaggevend voor de vraag of de handeling wederrechtelijk is; het strafrecht kijkt naar allerlei aspecten bij de beoordeling van wederrechtelijkheid, waarvan de subjectieve intentie er één kan zijn. Als de handeling naar objectieve maatstaven wederrechtelijk is – zoals een arts die euthanasie pleegt zonder de daarbij behorende zorgvuldigheidsnormen in acht te nemen – zal de handeling vaak strafbaar zijn; de goede intentie kan vervolgens wel meegewogen worden bij de strafoplegging (bijvoorbeeld veroordeling zonder straf) of in de (lagere) strafmaat. Soms kan de goede bedoeling echter wel de wederrechtelijkheid wegnemen, zoals in het leerstuk van ‘afwezigheid van alle schuld’; die uitzondering wordt in de jurisprudentie echter zelden gebruikt. Voor (wetenschappelijk) onderzoek bestaat geen uitzondering voor wat betreft de strafbaarheid van handelingen. De academische vrijheid is inmiddels (in het EU-Handvest voor de grondrechten) wel opgenomen als fundamenteel recht, maar dat vertaalt zich niet met zoveel woorden in een strafuitsluitingsgrond bij het plegen van strafbare feiten. In het verleden werd wel een uitzondering gemaakt in de strafbaarstelling van bezit van kinderpornografie als het bezit plaatsvond voor wetenschappelijke doeleinden, maar deze uitzondering is in 2002 afgeschaft. Bij andere delicten bestaat evenmin een uitzondering voor wetenschappelijk onderzoek. Soms kan het feit dat een handeling plaatsvond in het kader van een wetenschappelijk onderzoek wel meespelen bij de beoordeling van wederrechtelijkheid, maar dat komt dan niet zozeer door de academische vrijheid maar doordat er dan een specifieke bevoegdheidsgrondslag bestaat, zoals bij een arts die verdovende middelen als medicijn mag voorschrijven. Wel kan het feit van academisch onderzoek meewegen in de strafoplegging of strafmaat. De vraag in welke mate de (goede of kwade) intentie meespeelt bij de vraag naar strafbaarheid, hangt ook af van het delict. Zo was bij de strafbaarstelling van computervredebreuk in 1993 de formulering dat iemand ‘opzettelijk wederrechtelijk’ binnendringt in een computer, zodat het opzet zich ook moest richten op de wederrechtelijkheid; met andere woorden, de hacker moest weten dat zijn handelen wederrechtelijk is, en dus een kwaad opzet hebben. Dit is in de Wet computercriminaliteit II in 2006 aangepast in de formulering: het gaat nu om ‘opzettelijk en wederrechtelijk’ binnendringen, waarbij het opzet dus alleen gericht is op het binnendringen maar niet op de wederrechtelijkheid. Iemand die met goede bedoelingen maar welbewust in een computer binnendringt waar zij geen recht toe heeft, pleegt dus toch computervredebreuk. Een tweede aandachtspunt bij de juridische beoordeling van wederrechtelijkheid is het leerstuk van ‘noodweer’, dat wil zeggen als iemand handelt tegen een acute dreiging om zijn eigen recht te verdedigen. ‘Niet strafbaar is hij die een feit begaat, geboden door de noodzakelijke verdediging van eigen of eens anders lijf, eerbaarheid of goed tegen ogenblikkelijke, wederrechtelijke aanranding’ (art. 41 lid 1 Sr). Belangrijk hierbij is dat het gaat om een ‘ogenblikkelijke’ aanranding van iemands goed, dus dat de handeling tegen de aanvaller plaatsvindt bij een acute, directe dreiging van een aanval of tijdens een aanval (maar niet na afloop van de aanval). Of het leerstuk van noodweer kan opgaan voor een anti-botnetactie is een complexe vraag, die binnen het bestek van deze notitie niet kan worden beantwoord. Mocht het opgaan, dan zal dat slechts in zeer specifieke omstandigheden zijn; het in kaart brengen van die specifieke omstandigheden vergt nader onderzoek. Een derde vraagpunt is onder welke omstandigheden burgers de rol van opsporingsambtenaren op zich mogen nemen. Omdat de overheid het geweldsmonopolie heeft, mogen burgers niet strafvorderlijke handelingen verrichten. Daarop bestaat echter een uitzondering: burgers mogen wel iemand aanhouden (arresteren) als iemand op heterdaad wordt betrapt (art. 53, eerste lid Wetboek van Strafvordering), en daarbij alle voorwerpen in beslag nemen die de verdachte bij zich voert (art. 95, eerste lid Wetboek van Strafvordering). Omdat bij een heterdaadsituatie er zeer sterke

12/29


aanwijzingen zijn dat de verdachte het strafbare feit heeft gepleegd, en het niet efficiënt is om eerst de politie in te schakelen om de persoon aan te houden en voorwerpen (bijvoorbeeld uit de winkel gestolen waar) in beslag te nemen, mogen deze bevoegdheden door burgers worden uitgeoefend. Deze bepalingen zijn geschreven voor de fysieke werkelijkheid, waarin burgers met eigen ogen waarnemen dat iemand een strafbaar feit pleegt en direct deze persoon kunnen vastpakken; ze zijn moeilijk te transplanteren naar een Internetomgeving waar de zichtbaarheid van het strafbare feit en de koppeling tussen dader en het strafbare feit kleiner zijn. Niettemin zou het goed zijn voor de wetgever om na te denken of en onder welke omstandigheden de bevoegdheden van burgers om bij heterdaad iemand staande te houden en (bewijs)materiaal in beslag te nemen, ook in een digitale omgeving toegepast zouden kunnen worden, bijvoorbeeld als de burger slachtoffer is van een DoSaanval. Maar zolang de wetgever zich hierover niet heeft uitgesproken, moet er denk ik van uit worden gegaan dat burgers in een digitale omgeving geen opsporingsbevoegdheden hebben en dus geen inbreuk op rechten van derden mogen maken in het kader van de opsporing of bestrijding van een strafbaar feit.

13/29


4

Relevante bepalingen in het Wetboek van Strafrecht

4.1

Bepalingen over observatie en registratie

4.1.1

Afluisteren en opnemen van communicatie

Er zijn drie strafbepalingen over het aftappen of opnemen van telecommunicatie of communicatie die door middel van computers (in termen van de wet: ‘geautomatiseerd werk’) plaatsvindt. Artikel 139c 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

2.

Het eerste lid is niet van toepassing op het aftappen of opnemen:

1°. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt. 2°. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik; 3°. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.

Artikel 139d 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.

Artikel 139e Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: (…) 2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten

14/29


gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; (…). Deze bepalingen zijn relevant voor observeren en registreren van netwerkverkeer. Vooral artikel 139c Sr is van belang. Lid 2 daarvan geeft een uitzondering voor beheerders van communicatienetwerken, waaronder SURFnet en bij SURFnet aangesloten instellingen (voor zover het hun eigen netwerk betreft) vallen. In het algemeen mogen beheerders dus – vanuit strafrechtelijk oogpunt – netwerkverkeer observeren, behalve als dat ‘kennelijk misbruik’ betreft. Als men bij een antibotnetacties op een proportionele manier verkeer monitort, zal er geen sprake zijn van kennelijk misbruik. Wel moet worden bedacht dat rechtmatigheid van observatie en registratie niet alleen een kwestie is van strafrecht, maar ook van privaatrecht en privacyrecht; daarin gelden striktere regels 6 voor het monitoren van verkeer door werkgevers en beheerders. Wanneer het observeren en registreren niet alleen verkeersgegevens maar ook inhoud betreft, zoals bij DPI, is echter ook artikel 273d Sr relevant.

Artikel 273d 1. Met gevangenisstraf van ten hoogste een jaar en zes maanden of geldboete van de vierde categorie wordt gestraft de persoon werkzaam bij een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst: a. die opzettelijk en wederrechtelijk van gegevens kennisneemt die door tussenkomst van zodanig netwerk of zodanige dienst zijn opgeslagen, worden verwerkt of overgedragen en die niet voor hem zijn bestemd, zodanige gegevens voor zichzelf of een ander overneemt, aftapt of opneemt; b. die de beschikking heeft over een voorwerp waaraan, naar hij weet of redelijkerwijs moet vermoeden, een gegeven kan worden ontleend, dat door wederrechtelijk overnemen, aftappen of opnemen van zodanige gegevens is verkregen; c. die opzettelijk en wederrechtelijk de inhoud van zodanige gegevens aan een ander bekendmaakt; d. die opzettelijk en wederrechtelijk een voorwerp waaraan een gegeven omtrent de inhoud van zodanige gegevens kan worden ontleend, ter beschikking stelt van een ander.

2. Het eerste lid is van overeenkomstige toepassing op de persoon werkzaam bij een aanbieder van een niet-openbaar telecommunicatienetwerk of een niet-openbare telecommunicatiedienst. SURFnet en bij SURFnet aangesloten instellingen zijn geen openbare telecommunicatieaanbieders, maar wel aanbieders van niet-openbare telecommunicatienetwerken. Via lid 2 vallen zij dus ook onder deze bepaling. Dat betekent dat de instelling niet wederrechtelijk de inhoud van het netwerkverkeer (dat zijn ‘gegevens (…) die niet voor hem zijn bestemd’) mag overnemen, aftappen of registreren. De

6

Zie Koops e.a. 2011.

15/29


aard van de gegevens maakt daarbij niet uit; het kan zowel gaan om vertrouwelijke en gevoelige gegevens als om banale berichtjes met nietszeggende gegevens. Het is vermoedelijk niet wederrechtelijk als gebruik van DPI noodzakelijk is voor de (continuïteit of kwaliteitsbewaking van de) levering van de dienst, aangezien het aanvaardbaar wordt geacht voor telecommunicatiebedrijven om 7 ten behoeve van technische controle in de inhoud van communicatie te kijken. Dat moet dan wel proportioneel zijn en niet met een minder zwaar middel te bereiken. Verder zal de wederrechtelijkheid vooral afhangen van de afspraken die hierover binnen de contractuele relatie zijn gemaakt (zie par. 3.2). Als de afspraken niet voldoende duidelijk zeggen onder welke omstandigheden de instelling (SURFnet of een aangesloten instelling) in de inhoud van netwerkverkeer mag kijken, zal gebruik van DPI vermoedelijk onrechtmatig zijn en de instelling zich dus schuldig maken aan het feit van artikel 273d Sr.

4.2

Bepalingen over infiltratie en manipulatie

4.2.1

Binnendringen in een computer (‘hacken’)

Hacken is strafbaar gesteld onder de term ‘computervredebreuk’, naar analogie met huisvredebreuk. Hoewel aanvankelijk alleen het binnendringen in beveiligde computers (met een minimumvorm van beveiliging, die wel meer moet zijn dan een bordje ‘niet betreden’) strafbaar was gesteld, is dit in 2006 gewijzigd: elk wederrechtelijk binnendringen in een computer valt nu onder computervredebreuk. Artikel 138ab 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. b. c. d.

door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt. 3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;

7

‘Het zou te ver gaan het telefoongeheim zo ruim op te vatten, dat ook deze technische controle en herstelwerkzaamheden, waarbij wel eens iets van een gesprek moet worden opgevangen, als inbreuken op dit recht zouden worden aangemerkt. Zo ver strekt het in het onderhavige artikel voorgestelde recht zich niet uit; wel brengt het artikel mee, dat hetgeen aldus wordt opgevangen niet aan derden mag worden doorgegeven.’ Kamerstukken II 1975-76, 13 872, nr. 3, p. 46.

16/29


b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde. De strafbaarstelling van hacken is relevant voor acties van infiltreren en manipuleren en van overnemen en neerhalen. Het doen installeren van een virus of andersoortig programma zonder toestemming van de gebruiker valt volgens de Hoge Raad niet alleen onder virusverspreiding (zie 8 onder, art. 350a lid 3 Sr) maar ook onder hacken. Hoewel volgens mij pas sprake is van hacken als iemand via malware daadwerkelijk op afstand contact heeft met de geïnfecteerde computer (bijvoorbeeld door commando’s te sturen aan bots), gaat de Hoge Raad er kennelijk van uit dat computervredebreuk al plaatsvindt als iemand een virus of trojaans paard (zoals een remote exploit) verstuurt en dit daadwerkelijk op een computer (niet noodzakelijk de beoogde computer) wordt 9 geïnstalleerd. Wanneer bij het infiltreren of overnemen van een bot of C&C-server vervolgens gegevens worden verzameld (afgetapt of overgenomen), is de strafverzwaring van lid 2 van toepassing. De strafverzwaring van lid 3 kan van toepassing zijn als het binnendringen in de computer via de openbare telecommunicatie-infrastructuur plaatsvindt (dus niet beperkt blijft binnen het besloten SURFnet-netwerk zelf) en vervolgens via deze computer nog wordt binnengedrongen in andere computers. Ook hier zal de belangrijkste vraag zijn wanneer het binnendringen in een computer wederrechtelijk is, en dat hangt grotendeels weer af van de bevoegdheden die contractueel zijn afgesproken tussen SURFnet/aangesloten instelling en de gebruiker van de computer waarin wordt binnengedrongen (zie par. 3.2). Als die afspraken niet duidelijk genoeg zeggen onder welke omstandigheden dit kan, zal het binnendringen meestal onrechtmatig zijn (tenzij de gebruiker toestemming heeft gegeven om zijn computer op afstand te desinfecteren met een remote exploit). Een aanknopingspunt voor de beoordeling van rechtmatigheid kan worden gevonden in de recente rechtszaak tegen Henk K., die werd vervolgd voor computervredebreuk omdat hij diverse medische dossiers had ingezien en gekopieerd om de gebrekkige beveiliging daarvan aan de kaak te stellen. De rechtbank overwoog dat het om een wezenlijk maatschappelijk belang ging en dat het gerechtvaardigd was: dat [verdachte], alvorens verdere stappen te ondernemen, zelf wilde vaststellen of de bevindingen van [medeverdachte] juist waren. Het inloggen op de website en het vervolgens raadplegen van enkele dossiers acht de rechtbank in casu dan ook niet wederrechtelijk. De rechtbank vindt het voorts verdedigbaar dat er in deze situatie prints zijn gemaakt om de omvang van de tekortkoming en het gevaar daarvan aan te kunnen tonen. Verdachte heeft daarbij zorgvuldig gehandeld door de prints te anonimiseren. Dit deel van het handelen van 10 verdachte is op grond van het voorafgaande niet strafbaar. Omdat Henk K. vervolgens doorging en nog vier of vijf andere dossiers bekeek, op meerdere momenten, ging hij echter verder dan wat hoogst noodzakelijk was, waardoor de grens van proportionaliteit was overschreden.

8

HR 22 februari 2011, LJN BN9287.

9

Zie hierover Oerlemans en Koops 2011.

10

Rechtbank ’s-Hertogenbosch 15 februari 2013, LJN BZ1157.

17/29


De rechtbank is van oordeel dat verdachte, mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten, zich had moeten beperken tot het hoogst noodzakelijke. Verdachte heeft echter meer en vaker dan één maal gegevens geraadpleegd en uitgeprint. In het licht van het door [verdachte] gestelde doel waartoe hij de gegevens raadpleegde en uitprintte, te weten bevestiging van het verhaal van [medeverdachte] en vergaring van bewijs om later het probleem tegenover [gegevensbeheerder] en eventuele anderen aan te kunnen tonen, bestond hiertoe geen enkele noodzaak. [verdachte] heeft voor dat deel van zijn handelen de grens van proportionaliteit overschreden. 11

Hij werd daarom veroordeeld voor computervredebreuk. Het gaat hier om een uitspraak van een lagere rechter (waarbij mogelijk nog in beroep wordt gegaan), zodat er niet te veel conclusies aan kunnen worden verbonden. Duidelijk is wel dat de rechtmatigheid van een bepaalde actie die wordt uitgevoerd met goede bedoelingen om informatiebeveiliging te verhogen een afweging vergt van het publiek belang en de mate waarin inbreuk wordt gemaakt op rechten van derden. Wat precies proportioneel en subsidiair is – dus of een handeling echt noodzakelijk is voor het beoogde doel – hangt daarbij erg af van de context. 4.2.2

Gegevensbeschadiging en virusverspreiding

Het wederrechtelijk manipuleren van gegevens is strafbaar gesteld als gegevensbeschadiging; dit is zeer ruim geformuleerd in artikel 350a lid 1 Sr. Het verspreiden van virussen is apart strafbaar gesteld in artikel 350a lid 3 Sr. Artikel 350a 1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken. De strafbaarstelling van gegevensbeschadiging omvat elke vorm van wederrechtelijke aantasting van gegevens; daaronder valt al het zonder toestemming veranderen van of het toevoegen van een bit aan informatie. Omdat vrijwel elke handeling met computers in het kader van botnetbestrijding een verandering in gegevens in computers van anderen teweegbrengt, zal ook hier de kernvraag zijn wanneer de gegevensaantasting wederrechtelijk is (zie par. 3.2).

11

Ibid.

18/29


Overigens moet men zich ervan bewust zijn dat lang niet alle gedragingen die in theorie onder de delictsomschrijving vallen, in de praktijk zullen worden vervolgd. De Nederlandse wet hanteert vaak ruime omschrijvingen omdat het Openbaar Ministerie een discretionaire bevoegdheid heeft om te bepalen wie hij vervolgt (opportuniteitsbeginsel).

De strafbaarstelling van malwareverspreiding in lid 3 is mogelijk van toepassing op het op afstand desinfecteren van een bot door het versturen van een remote exploit. Hoewel de tekst spreekt van gegevens ‘die zijn bestemd om schade aan te richten’, gaat het volgens de toelichting om alle vormen van malware; hoewel Trojaanse paarden niet per se bestemd hoeven te zijn om schade aan te richten 12 (maar bijvoorbeeld ook om gegevens te achterhalen), vallen zij wel onder de delictsomschrijving. Het begrip ‘schade’ wordt niet alleen ingekleurd door de (kennelijke) intentie van de dader, maar ook door de (kennelijke) beleving van het slachtoffer: een virus dat elke 14 februari een vrolijke Valentijnskaart op het computerscherm laat zien, zal voor de verspreider niet per se schadelijk zijn, maar kan voor het slachtoffer wel schadelijk overkomen omdat de integriteit van de computer is aangetast. Voor anti-botnetacties die gebruik maken van remote exploits is lid 4 van belang, dat een uitzondering biedt voor virussen die juist schade door andere virussen beogen te voorkomen. De wetgever heeft daarbij vooral gedacht aan ‘inentings-software’, een onschuldig virus met dezelfde handtekening als een dreigend virus dat, bijvoorbeeld door een CERT, wordt verspreid zodat het schadelijke virus zich niet kan nestelen in computers die al zijn ‘ingeënt’. Of een ‘desinfectie’-programma, dat bij antibotnetacties gebruikt kan worden om op afstand zonder betrokkenheid van de gebruiker een bot te desinfecteren, ook onder het lid 4 valt, is bij mijn weten nog niet beantwoord in het recht. Gelet op het doel van lid 4, lijkt het mij plausibel dat ook de verspreider van een desinfectieprogramma – dat immers evenals inentingsprogramma’s probeert schade van de botnetmalware te beperken – een beroep kan op deze strafuitsluitingsgrond, mits voldaan is aan de algemene beginselen van proportionaliteit en subsidiariteit (dus als bijvoorbeeld het ontmantelen van het botnet via algemene antivirussoftware te weinig effect heeft). Let wel dat de strafuitsluiting van lid 4 alleen betrekking heeft op lid 3 (virusverspreiding) en niet op lid 1 (gegevensaantasting), en evenmin op artikel 138ab (computervredebreuk). Het versturen van een remote exploit ter desinfectie van een bot valt ook onder deze laatste twee bepalingen, en daarvan zal dus apart moeten worden bepaald of het in het kader van die strafbaarstellingen wederrechtelijk of rechtmatig is. Bij de beoordeling daarvan kan wel het argument een rol spelen dat de strafuitsluiting van artikel 350a lid 4 suggereert dat de bewuste handeling niet wederrechtelijk is. 4.2.3

Oplichting

Spoofen en sinkholing kunnen onder omstandigheden onder de strafbaarstelling van oplichting vallen. Artikel 326 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. (…)

12

Kamerstukken II 1998/99, 26 671, nr. 3, p. 48.

19/29


Bij de strafbaarstelling van oplichting moet aan drie elementen (cumulatief) zijn voldaan: een middel, een doel en een effect. Wat het middel betreft, voldoen het spoofen van Command & Control-verkeer, IP-spoofing en sinkholing aan de strafbaarstelling; er is immers sprake van het aannemen van een valse naam of van een valse hoedanigheid (of anders wel van een listige kunstgreep). Wat het effect betreft, kan er sprake zijn van het ‘ter beschikking stellen van gegevens’, als het spoofen tot gevolg 13 heeft dat een computer op afstand (zoals een bot) bepaalde gegevens doorstuurt aan de spoofer. Dat geldt zeker bij sinkholing, waarbij door een kunstgreep netwerkvereer bestemd voor de C&Cserver wordt omgeleid naar een server die onder beheer staat bij de botnetbestrijder. De hamvraag is of het doel van het spoofen of sinkholing is ‘zichzelf of een ander wederrechtelijk te bevoordelen’. Het gaat hierbij vooral om financieel voordeel. We mogen ervan uitgaan dat degene die een anti-botnetactie onderneemt, dat doet om er beter van te worden, dan wel om te zorgen dat anderen (slachtoffers van botnetacties) er beter van worden; het beperken van schade levert vaak ook financieel voordeel op. Maar het lijkt onwaarschijnlijk dat men een dergelijk voordeel wederrechtelijk zou kunnen noemen. In elk geval zal dat niet zo zijn bij instellingen zonder winstoogmerk, zoals SURFnet en bij SURFnet aangesloten instellingen, die niet op commerciële basis anti-botnetacties zullen uitvoeren. Spoofen van Command & Control-verkeer, IP-spoofing en sinkholing vallen daarom niet onder oplichting. In bijzondere omstandigheden zou het spoofen van C&C-verkeer, IP-spoofing en sinkholing wellicht wel, met een creatieve interpretatie, kunnen vallen onder de strafbaarstelling van het verkrijgen van o staatsgeheimen (art. 98 juncto 98c lid 1 onder 3 Sr), als binnen het botnet informatie is verzameld die staatsgeheim is. Daarbij moet er echter sprake zijn van een oogmerk (de sterkste variant van opzet: het doelbewust willen van het gevolg) om (staatsgeheime) inlichtingen te verkrijgen, en dat zal, naar ik aanneem, bij anti-botnetacties toch niet het geval zijn.

4.3

Overnemen en neerhalen

Bij het overnemen van een C&C-server of het neerhalen van een botnet dan wel individuele bot, zal er in elk geval sprake zijn van dezelfde handelingen als hierboven werden beschreven bij infiltratie en manipulatie, namelijk binnendringen in een computer, gegevensaantasting en (afhankelijk van de werkwijze) virusverspreiding. 4.3.1

Subsidiariteit

Voor het overnemen en neerhalen geldt in principe hetzelfde als hierboven in paragraaf 4.2 is beschreven, met de kanttekening dat overnemen van een botnet en het ontmantelen van een botnet meer ingrijpende acties zijn dan infiltratie en manipulatie, wat kan uitmaken voor de beoordeling van proportionaliteit. Zo kan in een bepaald geval het binnendringen in meerdere geïnfecteerde computers om gegevens over het botnet te verzamelen gerechtvaardigd zijn als dat nodig is om te achterhalen wat er precies aan de hand is, maar dat hoeft niet te betekenen dat het overnemen van het botnet vervolgens ook rechtmatig is. Een alternatief is immers om de verkregen informatie aan de politie door te geven, zodat die actie kan ondernemen tegen het botnet. Het zelf overnemen en ontmantelen van het botnet zal voor mijn gevoel niet snel voldoen aan het vereiste van subsidiariteit, omdat de (voor

13

Onder ‘iemand’ die wordt bewogen tot afgifte van een goed of ter beschikking stellen van gegevens wordt ook verstaan een organisatie (zoals een bank) en de computer die namens de persoon of organisatie communicatie (zoals een geldautomaat).

20/29


SURFnet en aangesloten instellingen) alternatieve en minder ingrijpende route openstaat om de overheid in te schakelen. Het feit dat de overheid misschien niet snel iets doet met die informatie, is geen dwingend argument om te zeggen dat de private partij dan maar zelf moet ingrijpen; eigenrichting is immers ook niet toegestaan voor delicten waarbij de overheid maar een beperkt percentage effectief vervolgt. Alleen als de overheid duidelijk nalatig is (wat mijns inziens alleen zo is als stelselmatig te weinig wordt gedaan met meldingen van botnets) of als er sprake is van een acute dreiging waarvoor snel ingrijpen dringend wenselijk is (en bijvoorbeeld het NCSC niet in staat is om snel genoeg actie te ondernemen), zal het subsidiair zijn voor een private partij om zelf in te grijpen in de vorm van overname en eventueel neerhalen van het botnet. Dat ingrijpen moet daarnaast ook proportioneel zijn, en dus niet schade aanrichten aan computers van derden die niet in verhouding staat tot de schade die het botnet aanricht. Op een ander niveau geldt het vraagstuk ook voor de subsidiariteit van het op afstand desinfecteren van een bot, dat hierboven (par. 4.2.2) al is besproken. Het zonder medeweten of toestemming van de gebruiker van een geïnfecteerde computer kan onder omstandigheden acceptabel zijn, als het substantieel bijdraagt aan de bestrijding van een botnet, maar normaliter zullen eerst andere, minder ingrijpende paden moeten worden bewandeld, zoals desinfectie via algemene antivirusprogramma’s of het informeren van de gebruiker met aanwijzingen hoe zij zelf haar computer kan opschonen. Alleen als zulke alternatieven echt te weinig effectief zullen zijn om het beoogde doel te bereiken, kan SURFnet of de aangesloten instelling eventueel overgaan tot het op afstand desinfecteren van de geïnfecteerde computer. 4.3.2

Blokkeren van toegang of gebruik van een computer

Een specifieke vorm van het ingrijpen in een botnet is het blokkeren van botnetverkeer op netwerkniveau. Hiervoor zijn drie strafbepalingen mogelijk relevant. Artikel 138b Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. Deze strafbepaling zag oorspronkelijk op een ‘emailbom’ (het toesturen van een grote hoeveelheid data aan een e-postbus zodat die geblokkeerd raakt) en is later uitgebreid om ook verstikkingsaanvallen (DoS-aanvallen) te bestrijken. Bij een botnetblokkade op netwerkniveau door de netwerkbeheerder of dienstaanbieder zal deze bepaling vermoedelijk niet van toepassing zijn. De bepaling gaat immers om het blokkeren van de toegang tot een bepaalde computer door middel van het zenden van gegevens aan die computer. Bij blokkeren van botnetverkeer wordt, naar ik aanneem, het verkeer van en naar de C&C-server, of verkeer tussen bots en aangevallen computers, geblokkeerd door pakketjes onderweg tegen te houden en niet door de C&C-server of een geïnfecteerde computer te verstikken. Blokkeren van netwerkverkeer valt wel onder gegevensaantasting: het ontoegankelijk maken van gegevens die worden overgedragen door middel van een computer of telecommunicatie; zie daarover paragraaf 4.2.2. De andere twee mogelijk relevante strafbepalingen zijn strafbaarstellingen van computersabotage.

21/29


Artikel 161sexies 1. Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft: 1°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie, indien daardoor wederrechtelijk verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, ontstaat; 2°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is; 3°. met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is; 4°. met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is en het feit iemands dood ten gevolge heeft. (…)

Artikel 351 Hij die spoorweg- of elektriciteitswerken, geautomatiseerde werken of werken voor telecommunicatie, werken dienend tot waterkering, waterlozing, gas- of waterleiding of riolering, voor zover deze werken ten algemenen nutte gebezigd worden, dan wel goederen of werken ten behoeve van de landsverdediging, opzettelijk en wederrechtelijk vernielt, beschadigt, onbruikbaar maakt, onklaar maakt of weg maakt, wordt gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie. Belangrijk bij deze bepalingen is dat het zogeheten ‘gemeengevaarlijke’ delicten zijn, dat wil zeggen dat ze te maken hebben met (al)gemeen gevaar voor een publiek goed. Ze zijn dus van toepassing op computers en telecommunicatienetwerken die het algemeen belang dienen, zoals bij nutsdiensten, ziekenhuizen of de Belastingdienst. De Hoge Raad heeft geoordeeld dat het opzetten van een botnet waarbij het voor een substantieel aantal gebruikers moeilijk wordt om financiële diensten (Internetbankieren) te gebruiken, een gevaar oplevert voor de financiële dienstverlening en dus onder o 14 artikel 161sexies lid 1 onder 2 valt. Met een analoge redenering zou het blokkeren van botnetverkeer het geïnfecteerde gebruikers moeilijk maken om hun telecommunicatieaansluiting te gebruiken, waardoor (afhankelijk van de schaal waarop) ook gevaar voor dienstverlening ontstaat. Die redenering gaat naar mijn idee echter alleen op voor botnetblokkades door openbare telecommunicatieaanbieders. Voor blokkades door SURFnet of aangesloten instellingen – waarbij alleen telecommunicatie op een (weliswaar groot maar) besloten telecommunicatienetwerk wordt geblokkeerd – is het belang van publieke dienstverlening als zodanig niet in het geding. Een uitzondering betreft botnetblokkades binnen universitaire medische centra, waarbij mogelijk wel gemeen gevaar ontstaat voor de volksgezondheid, als bijvoorbeeld daardoor het afsprakenregister of medische dossiers niet of moeilijk toegankelijk raken. Een andere, extreme uitzondering is als door de

14

HR 22 februari 2011, LJN BN9287, zie hierover Oerlemans en Koops 2011.

22/29


blokkade een groot deel van het SURFnet-netwerk ontoegankelijk zou worden voor medewerkers en studenten, omdat dan het publieke belang van hoger onderwijs gevaar zou lopen; dat zal bij botnetblokkades niet het geval zijn.

4.4

Overige mogelijk relevante strafbepalingen

4.4.1

Misbruik van hulpmiddelen

In navolging van het Cybercrime-Verdrag zijn bij de Wet computercriminaliteit II twee strafbepalingen ingevoerd, in artikel 139d lid 2 en 161sexies lid 2, die misbruik van hulpmiddelen strafbaar stellen. Daaronder vallen apparatuur, programmatuur en toegangscodes die hoofdzakelijk gebruikt kunnen worden voor hacken, DoS-aanvallen, aftappen of computersabotage. Programmatuur die gebruikt wordt voor anti-botnetacties zal daar veelal onder vallen. Onder misbruik wordt verstaan onder andere het maken, verkopen, voorhanden hebben of verspreiden van dergelijke middelen. De strafbaarstelling is echter beperkt tot situaties waarin degene die het hulpmiddel maakt/koopt/heeft het oogmerk heeft dat hiermee een computerdelict wordt gepleegd, oftewel doelbewust de intentie heeft dat het wordt gebruikt voor het plegen van computervredebreuk, wederrechtelijk afluisteren of computersabotage. We mogen aannemen dat bestrijders van botnets niet een dergelijke intentie hebben. 4.4.2

Heling van gegevens

Een specifiek aandachtspunt bij de bestrijding van botnets is de omgang met gegevens die worden verkregen bij een anti-botnetactie. Daarbij kan, afhankelijk van de actie, een grote hoeveelheid data worden verkregen die door het botnet is of wordt verzameld, zoals kredietkaartgegevens, wachtwoorden of bedrijfsinformatie. Dergelijke informatie zal meestal door de botnetbeheerder illegaal zijn verkregen. De derde-verkrijger van dergelijke gegevens zou zich daarom mogelijk schuldig kunnen maken aan heling van gegevens, zoals de koper van een goedkope fiets op straat zich schuldig kan maken aan heling van een gestolen fiets. Tot nu toe is heling van gegevens echter niet generiek strafbaar gesteld. De enige bestaande strafbepaling die ziet op heling van gegevens heeft te maken met illegaal afgeluisterde of afgetapte communicatie. Artikel 139e (huidig recht) Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: 1°. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen; 2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; 3°.

hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt van een ander.

23/29


Het hangt ervan af hoe het botnet aan de gegevens is gekomen, of dit artikel van toepassing is. De wet maakt een onderscheid tussen (op een drager, bijvoorbeeld een harde schijf) opgeslagen gegevens en gegevens die onderweg zijn. Als het botnet informatie verzamelt door de harde schijf van geïnfecteerde computers leeg te plukken, is er geen sprake van illegaal afgetapte gegevens, en dan is de derde-verkrijger ook niet strafbaar aan heling van deze gegevens. Als het botnet echter informatie verzamelt door gegevensverkeer te onderscheppen of toetsaanslagen te registeren, gaat het wel om illegaal aftappen. Volgens de toelichting valt onder gegevens in overdracht ook de overdracht van gegevens tussen toetsenbord en computer, of tussen computer en scherm, zodat ook een keylogger onder de strafbepaling van artikel 139c Sr (zie par. 4.1.1) valt. Aangezien veel botnets op een dergelijke manier informatie verzamelen van geïnfecteerde computers, lijkt mij dat je redelijkerwijs moet vermoeden dat gegevens in een C&C-server (of andere computers onder het beheer van de botnetbeheerder) verkregen zijn door wederrechtelijk aftappen van gegevensoverdracht. Het actief ophalen van dergelijke gegevens en vervolgens op een eigen gegevensdrager bewaren, valt dan o onder de letter van artikel 139e onder 1 . De regering is van plan om een algemene strafbaarstelling van heling van gegevens in te voeren. In het wetsontwerp versterking bestrijding computercriminaliteit, dat medio 2010 in consultatie is 15 gebracht, wordt voorgesteld artikel 139e als volgt te herformuleren. Artikel 139e (concept, wetsontwerp-2010) Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die: a. de beschikking heeft over niet openbare gegevens die, naar hij weet of redelijkerwijs moet vermoeden, zijn verkregen door wederrechtelijk afluisteren, aftappen, opnemen of overnemen van een gesprek, gegevensoverdracht of gegevensverwerking door middel van telecommunicatie of een geautomatiseerd werk; b. zodanige gegevens opzettelijk ter beschikking van een ander stelt of aan een ander bekend maakt. Hieronder zouden dan ook gegevens vallen die een botnet heeft vergaard door opgeslagen gegevens uit geïnfecteerde computers over te nemen. Het gaat hier om een wetsontwerp, waarvan de reacties momenteel nog verwerkt worden tot een wetsvoorstel, dat naar verwachting binnenkort (weer) ter consultatie wordt aangeboden; het is niet zeker of en hoe het onderwerp heling van gegevens daarin wordt opgenomen, en het zal sowieso nog een tijd duren voordat een wetswijziging van kracht wordt. De strafbaarstelling, zowel van het huidige artikel als van de voorgestelde bepaling, is ruim, aangezien er geen wederrechtelijkheidsvereiste bestaat. Dat heeft vermoedelijk te maken met de bewijsvoering bij heling, waarbij het Openbaar Ministerie niet per se hoeft te bewijzen dat iemand opzettelijk en wederrechtelijk een gestolen voorwerp onder zich heeft (het feit op zich is verdacht); de bezitter zal eerder aannemelijk moeten maken dat hij zich niet bewust was van het bezit of van het feit dat het voorwerp uit misdrijf is verkregen. Voor heling van gegevens betekent dit dat de derde-verkrijger

15

Conceptwetsvoorstel versterking bestrijding computercriminaliteit (hierna: wetsontwerp), beschikbaar op

http://www.internetconsultatie.nl/wetsvoorstel_versterking_bestrijding_computercriminaliteit (geraadpleegd 15 april 2013).

24/29


aannemelijk zal moeten maken dat, ook al heeft hij de schijn tegen door gegevens in bezit te hebben waarvan men zou vermoeden dat die uit misdrijf zijn verkregen, hij feitelijk niet wist dat de gegevens door illegaal aftappen waren verkregen. Bij anti-botnetacties lijkt mij dat moeilijk vol te houden: de aanleiding van de actie is juist dat er een botnet is dat bestreden moet worden. Als uit het botnet gegevens zoals wachtwoorden of financiële gegevens worden verkregen, zal men moeten aannemen dat die illegaal zijn verkregen. In principe maakt het ook niet uit om welk type gegevens het gaat; de strafbaarstelling betreft gegevens die door een computermisdrijf zijn verkregen, ongeacht wat voor gegevens; de enige beperking is dat het moet gaan om niet-openbare gegevens. Wel kan het type gegevens verschil maken bij de beoordeling van het element of de derde-verkrijger redelijkerwijs had moeten vermoeden dat de gegevens uit misdrijf zijn verkregen; een bestand met honderden kredietkaartnummers of inlogcodes zal vermoedelijk eerder illegaal zijn verkregen dan een bestand met vakantiefoto’s of een boodschappenlijstje. Bij grote dataverzamelingen die bij botnetonderzoek vaak aan de orde zullen zijn, zal het veelal uit de context van de data wel duidelijk zijn dat deze ‘niet pluis’ zijn, zodat men meestal zal moeten aannemen dat het gaat om illegaal verzamelde gegevens. De enige uitweg uit strafrechtelijke aansprakelijkheid die de derde-verkrijger resteert, is het leerstuk van ‘afwezigheid van alle schuld’, dat wil zeggen dat de materiële wederrechtelijkheid ontbreekt. Dit betreft een ingewikkeld leerstuk dat binnen het bestek van deze notitie niet kan worden onderzocht.

4.5

De keerzijde: strafbepalingen die pleiten vóór anti-botnetacties

Waar in het voorgaande de vraag centraal stond of een anti-botnetactie onder een bepaalde strafbepaling valt, is het ook relevant om de keerzijde van de medaille te belichten: in sommige gevallen zou het níét ingrijpen in een botnet strafbaar kunnen zijn. Het strafrecht kent immers ook omissiedelicten (strafbaarheid als je iets niet doet), zoals dood door schuld. Dit zijn, in tegenstelling tot de hiervoor behandelde ‘culpoze’ of opzetdelicten, ‘doleuze’ of schulddelicten. Voor computercriminaliteit zijn er drie van dergelijke schulddelicten. Twee daarvan zijn schuldvarianten van computersabotage (zie par. 4.3.2). Artikel 161septies Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft: 1°. met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie, indien daardoor verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemenen nutte, stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, of gemeen gevaar voor goederen of voor de verlening van diensten ontstaat; 2°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie, indien daardoor levensgevaar voor een ander ontstaat; 3°. met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie, indien het feit iemands dood ten gevolge heeft.

25/29


Artikel 351bis Hij aan wiens schuld te wijten is dat enig in het vorig artikel [art. 351, bjk] bedoeld goed of werk, vernield, beschadigd, onbruikbaar gemaakt, onklaar gemaakt of weggemaakt wordt, wordt gestraft met hechtenis van ten hoogste een maand of geldboete van de tweede categorie. Deze bepalingen leggen een zekere inspanningsplicht op beheerders om verstoringen te voorkomen in netwerken waarbij een publiek belang is gemoeid. Als de informatiebeveiliging van een vitale infrastructuur aanmerkelijk nalatig wordt uitgevoerd, waardoor gemeen gevaar ontstaat voor het publiek belang, zal de verantwoordelijke vervolgd kunnen worden op basis van een van deze artikelen. Dat betekent dat als een botnet een acute en ernstige dreiging vormt voor bijvoorbeeld de informatievoorziening binnen een universitair medische centrum, de beheerder geacht wordt in te grijpen. En als, in een extreem geval, een botnet dreigt een aanzienlijk deel van het verkeer over het SURFnet-netwerk plat te leggen, waardoor de continuïteit van het hoger onderwijs gevaar loopt, heeft de netwerkbeheerder een zekere inspanningsplicht om deze dreiging te bestrijden. Het gaat hier (vanuit strafrechtelijk perspectief, wel te verstaan) om beperkte inspanningsverplichtingen: het moet gaan om een ernstige dreiging (die bijvoorbeeld levensgevaar oplevert in een ziekenhuis), waarbij de systeem- of netwerkbeheerder zich duidelijk bewust (had) moeten zijn van de dreiging (bijvoorbeeld door een waarschuwing van NCSC) en duidelijk in staat was om iets tegen de dreiging te doen, wil het nalaten onder de strafbepaling vallen. Een wat ruimere inspanningsplicht lijkt het volgende artikel te bieden. Artikel 350b 1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. 2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. Dit is de culpoze (schuld)variant van gegevensaantasting (zie par. 4.2.2). Deze bepaling bedreigt met straf een systeem- of netwerkbeheerder die had kunnen en, naar maatschappelijke normen had moeten, ingrijpen bij een bedreiging, als een botnet ernstige schade aanricht aan gegevens (van botslachtoffers of van derden die worden aangevallen). In zo’n geval is de schade verwijtbaar niet alleen aan de botnetpleger maar ook aan degene die in een positie was om in te grijpen. Vanuit het strafrecht geldt (anders dan bijvoorbeeld in het recht op bescherming van persoonsgegevens) niet een verplichting tot beveiliging naar de stand van de techniek, maar een lagere beveiligingseis: het moet gaan om aanmerkelijke nalatigheid aan de kant van de beheerder, wat wil zeggen dat de beveiliging duidelijk ondermaats is wil de beheerder vervolgd kunnen worden. Bij mijn weten zijn er tot op heden geen personen vervolgd voor artikel 350b Sr, in elk geval zijn er op www.rechtspraak.nl geen veroordelingen te vinden voor dit delict. Dat neemt niet weg dat genoemde schulddelicten, en met name artikel 350b Sr, een argument vormen voor netwerkbeheerders en dienstverleners om op te treden tegen botnets, als zij in de positie

26/29


zijn om effectieve maatregelen te nemen om dreiging van of schade door botnetaanvallen te 16 bestrijden. Het gaat daarbij niet alleen om een positie van kunnen ingrijpen, maar vooral ook om een positie van zouden moeten ingrijpen. De verwijtbaarheid van niet-ingrijpen hangt immers samen met maatschappelijk normen wie wanneer geacht wordt iets wel of niet te doen. Voor anti-botnetacties zijn dergelijke normen nog nauwelijks ontwikkeld. Mij lijkt dat de beveiligingsnorm die vervat is in artikel 351 Sr vooral een plicht oplegt om het eigen systeem redelijk te beveiligen, wat overeenkomt met de lage niveaus – 1 en 2 – van Himma-Dittrich’s taxonomie van ‘intrusion response’, die zien op 17 preventieve beveiliging en, bij aanvallen, aanpassing van de systemen onder eigen controle. De hogere niveaus van intrusion respone waarbij actief buiten de eigen systemen wordt getreden, lijken verder te gaan dan het minimum dat je aan beveiliging van een systeem- of netwerkbeheerder zou mogen verwachten. Maar die verwachting hangt ook samen met wat in de praktijk gebruikelijk is, zodat als veel bedrijven zich preventief-aanvallend verdedigen tegen cyberaanvallen op niveaus 3 en 4 van intrusion response, dergelijke activiteiten langzamerhand onder de minimumnorm van beveiliging zouden kunnen gaan vallen. Het is op dit moment moeilijk te zeggen of degene die vanuit SURFnet of een aangesloten instelling een anti-botnetactie uitvoert, en daarbij inbreuk maakt op de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens van derden, zich voor de rechter kan beroepen op het argument dat hij anders het risico liep vervolgd te worden voor ‘schuld aan gegevensbeschadiging’. Maar mocht een anti-botnetactievoerder vervolgd worden, dan valt het in elk geval te proberen dit argument te hanteren.

16

Een soortgelijk argument kan ook worden gevonden in de informatiebeveiligingsbepaling voor telecommunicatieaanbieders in art. 11.3 Telecommunicatiewet, die zowel een beveiligingsplicht (in lid 1) als een waarschuwingsplicht aan abonnees (in lid 2) bevat. De Telecommunicatiewet is echter alleen van toepassing op openbare telecomaanbieders, waar SURF niet onder valt.

17

Dittrich en Himma 2005, p. 6-7.

27/29


5

Conclusie

De bespreking van strafbepalingen in relatie tot anti-botnetacties laat zien dat de meeste antibotnetacties inbreuk maken op de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen. Daarom vallen de acties snel te kwalificeren als handelingen die in computercriminaliteitsbepalingen worden beschreven, zoals aftappen en opnemen van communicatie, hacken, gegevensaantasting, computersabotage en heling van gegevens. De kernvraag is dan of de handeling wederrechtelijk is, wat een noodzakelijke voorwaarde is voor strafbaarheid. Zoals ik heb betoogd, is het moeilijk om algemene uitspraken te doen over wanneer een antibotnetactie door SURFnet of een aangesloten instelling wederrechtelijk is. Het hangt af van veel factoren, waaronder in het bijzonder de contractuele relatie tussen degene die de actie uitvoert en de (gebruikers van de) computers waar de actie effect op heeft (voor de computers binnen het SURFnetnetwerk) en de maatschappelijke normen over wat aanvaardbaar is (voor computers buiten het SURFnet-netwerk). Leidende beginselen zijn subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Deze beginselen zijn abstract en kunnen alleen in een specifieke context worden ingevuld, waarbij gekeken moet worden naar zaken als de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, (on)mogelijkheden van diverse actoren om in te grijpen, en hoe de maatschappij aankijkt tegen ingrijpen door private actoren in het kader van misdaadbestrijding in een Internetomgeving. In feite is de vraag naar de strafbaarheid van anti-botnetacties, oftewel de vraag wanneer welke vorm van ingrijpen gerechtvaardigd is, nog een behoorlijk open vraag. Dat betekent niet dat SURFnet passief hoeft af te wachten tot de normen zijn uitgekristalliseerd. Integendeel, SURFnet zou, evenals andere private partijen zoals IT-beveiligingsbedrijven, banken en universitaire onderzoekers, actief kunnen bijdragen aan de ontwikkeling van normen op het terrein van anti-botnetacties. Deze partijen zouden met andere belanghebbenden om de tafel kunnen gaan zitten, zoals NCSC, politie, Openbaar Ministerie, ICT-koepelorganisaties en privacyorganisatie, en richtlijnen kunnen opstellen hoe private partijen kunnen of zouden moeten omgaan met botnets en botnetbestrijding. Voor zover een dergelijk overleg niet op korte termijn tot resultaten zou leiden, zou SURFnet kunnen beginnen om voor zichzelf richtlijnen op te stellen en de SURFnet-model-gedragscodes voor ICTgebruik en model-integriteitscode kunnen aanpassen. Wanneer die richtlijnen uitgaan van subsidiariteit en proportionaliteit, en checks & balances bevatten om een zorgvuldige uitvoering van anti-botnetacties te bewaken, zullen anti-botnetacties niet snel als wederrechtelijk worden aangemerkt en dus niet onder strafbepalingen vallen. En voor zover ze wel in theorie onder een strafbepaling vallen, hoeft dat geen onaanvaardbaar risico te betekenen. Het Openbaar Ministerie hanteert het opportuniteitsbeginsel en zal niet snel (personen uit) een organisatie vervolgen die, op basis van zorgvuldige richtlijnen, botnets bestrijden. En bij de aanpak van een groot maatschappelijk probleem als botnets, waarbij de nationale overheid duidelijk niet in staat is om zelf in alle opzichten effectief in te grijpen, is het misschien ook wel wenselijk als private partijen proactief initiatieven nemen en acties uitvoeren die – mits geleid door kennis van zaken en zorgvuldigheid – de maatschappij en de rechtspleging uitdagen om zich uit te spreken waar de grens ligt van wat private partijen mogen doen om hun netwerken en diensten te beveiligen tegen cybercriminaliteit.

28/29


Literatuur Brenner, S. en B.J. Koops (2004), 'Approaches to Cybercrime Jurisdiction', Journal of HighTechnology Law 4 (1, 2004), pp. 1-46. Dittrich, D. en K.E. Himma (2005), 'Active Response to Computer Intrusions', in: H. Bidgoli. The Handbook of Information Security. Hoboken, N.J.: John Wiley & Sons (paginanummers verwijzen naar de online versie: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=790585). Koops, B.J., C.M.K.C. Cuijpers en P. De Hert (2011), Rechtmatig operationeel handelen in ICT. Handreikingen voor HBO- en universitaire instellingen, Tilburg, SURFnet / Universiteit van Tilburg, http://www.surfnet.nl/Documents/rapport_rechtmatig_operationeel_handelen_in_ICT.pdf. Oerlemans, J.J. en B.J. Koops (2011), 'De Hoge Raad bewijst een slechte dienst in high-techcrimezaak over botnets', Nederlands Juristenblad 86(18), pp. 1181-85.

29/29

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten

Recommend Documents