Nog lang niet jarig!
LISA E-magazine - strafrecht en ICT 29 april | jaargang 2 | editie 3
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Voorwoord Daar zijn we weer, het 3e magazine. De tijd is omgevlogen en voor we ook maar met onze ogen konden knipperen stond er weer een nieuwe deadline op de stoep. Dit jaar vliegt überhaupt voorbij, vinden jullie niet? We zitten alweer in het laatste blok en de studentenrechtbank komt angstaanjagend dichtbij. Genoeg. Over naar het echte werk. We hebben de deadline immers gehaald. En dat mag gevierd worden. Dit magazine staat vooral in het teken van verjaardagen. Dit woord zegt menig rechtenstudent vaak al genoeg. Verjaardagsfeestjes, gáán we weer. Mocht er geen belletje gaan rinkelen, lees dan vooral eerst de column van onze huiscolumnist Menno Wiersma en het interview met Meester Leonie voordat je aan alle andere artikelen begint. Tot ziens, Marloes Teunissen Voorzitter Redactie
2
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Inhoudsopgave 4 Column Menno Menno´s kijk op de onwetende niet juristen.
5 Artikel: Ransomware Wat te doen bij onvrijwillig versleutelde gegevens.
9 Interview met mr. Leonie Bekend strafrechtadvocate en blogster mr. Leonie met haar kijk op cybercrime.
Contact opnemen
Neem voor leuke suggesties, vragen of meer informatie contact met ons op.
[email protected] Bezoek de LISA website op www.lisa-groningen.nl
12 Artikel: DDoS-aanval Hoe gaan dit soort cyberaanvallen te werk en wat zijn de gevolgen hiervan?
16 Ejure: Hacking door de AIVD
De AIVD krijgt steeds meer bevoegdheden om onder andere terroristen effectief te bestrijden, benieuwd hoe ver deze bevoegdheden gaan? Lees dan dit artikel.
21 Artikel: Wet computercriminaliteit III
Ook de politie krijgt steeds meer bevoegdheden betreffende opsporing van criminele activiteiten, benieuwd hoe vergaand deze zijn? Lees dan het artikel.
23 LISA agenda
Bekijk hier welke interessante activiteiten er in de planning staan voor jou als student.
24 Nawoord
Voorzitster Marloes met een terugblik op de afgelopen periode.
3
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Column Menno familiefeestjes Met het eerste biertje van de middag in mijn hand probeer ik het lopende gesprek te ontwijken, maar daar is het al te laat voor. Of ik in de toekomst óók criminelen ga bijstaan die verantwoordelijk zijn voor verkrachtingen of moord. Zucht, daar gaan we weer. Na twee of drie inleidende vragen over hoe het op mijn rechtenstudie gaat, ligt de werkelijke reden van de wederpartij om dit gesprek te starten inmiddels op tafel. Een matige poging om een oppervlakkig gesprek op een familiefeestje kleur te geven, want de vraag is vaak meer verwijtend dan gericht op een onderbouwd antwoord.
Een veilige en snelle manier om je uit deze situatie te redden is trouwens de volgende. Vertel dat je de specialisatie strafrecht helemaal niet volgt en de wet op het internet eigenlijk een stuk interessanter is. Gooi ook direct een paar ict-gerelateerde recente nieuwsberichten in de groep en haal snel je tweede biertje voordat ze vragen gaan stellen. Studenten die de specialisatie strafrecht wél volgen hebben pech :) Menno
Zodra het gespreksonderwerp in een middelgrote groep verandert naar strafrecht, misdaden of (recente) rechtszaken én iemand weet dat je rechten studeert ben je de klos. Mij overkomt dat een paar keer per jaar, dus toeval zal het niet meer zijn. Wat heb ik misdaan en belangrijker nog, waar ligt dat eigenlijk aan? Over het algemeen krijgen mensen alleen ‘rechtennieuws’ mee via de media. Dat daar alleen maar strafzaken worden behandeld is ook geen wonder, er moet nieuwswaarde zijn. Dan is er de algemene gedachte dat straffen die veroordeelden krijgen in Nederland laag uitvallen. Misschien vloeit daar dan weer het idee uit voort dat strafrechtadvocaten hier de reden voor zijn, zij verzorgen immers de verdediging. Daar zou de enigszins verwijtende houding tegenover deze strafrechtadvocaten vandaan kunnen komen, maar verder weet ik het ook niet. Wie het wél weet mag het zeggen natuurlijk. Over de vraag of verdachten van zwaardere delicten überhaupt de verdediging van een advocaat verdienen kun je (helaas) ook al uren discussieren. Weinig mensen lijken zich te beseffen dat er meer is dan alleen het strafrecht. Jammer. De komende jaren worden er naar verwachting wel steeds meer ICT-gerelateerde (strafrecht)zaken opgepikt door de media, dus hopelijk hoef ik straks minder gesprekken te vermijden.
4
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Ransomware
Ruben Verweij & Sanne van Rees Attentie!
Uw
gegevens
zijn
versleuteld!
Het bovenstaande is een voorbeeld van een melding die kan verschijnen op de computer van een slachtoffer van ransomware. Ransomware, oftewel: gijzelingsoftware, is een soort malware die computergegevens gijzelt en de gebruikers vraagt om losgeld om weer toegang te kunnen krijgen tot hun gegevens. Vooral in de Benelux is deze vorm van gijzeling sterk in opmars, beweert beveiligingsbedrijf Trend Micro. Soms is het zo dat het alleen maar een flashscreen (een scherm dat opeens op het beeldscherm verschijnt) is, welke automatisch wordt gestart. Dit is een simpele vorm van ransomware. Maar de meer venijnige vorm van ransomware versleutelt de bestanden daadwerkelijk, in dat geval rest er geen andere oplossing dan het losgeld te betalen. Als arme student kun je je dit natuurlijk niet veroorloven. Dus, daar gaan al je hoorcollege-aantekeningen waarvoor je op de vroege ochtend je bed hebt verlaten om je naar het hoorcollege te begeven. Dit is gelukkig nog te overzien. Maar stel je voor dat de systeembeheerder in een ziekenhuis opeens te maken krijgt met een vorm van ransomware. Dan zijn de problemen groter.
Er zijn dus meerdere vormen van ransomware bekend. Ransomware is een meer overkoepelende term voor al deze vormen. De ergste vorm die bekend is, is dat de hele computer op slot gezet wordt. Dan is het dus niet meer mogelijk om überhaupt handelingen te verrichten op de computer. Bij andere vormen van ransomware, de zogenaamde ‘cryptoware’ worden er via de harde schijf bestanden versleuteld. Deze kun je dan dus niet meer bereiken zonder eerst te betalen. Een andere vorm is de ‘scareware’, deze variant doet zich alleen voor als zijnde ransomware. In werkelijkheid is het een melding die zich voordoet als beveiligingssoftware. Deze variant zet de slachtoffers aan tot het doen van transacties naar de gijzelaar. Maar moet je wel echt betalen om de versleuteling te kunnen opheffen? In de praktijk is gebleken dat slechts in 5% van alle gevallen het lukt om de blokkering daadwerkelijk weg te nemen. De ransomware is zeer hardnekkig om te verwijderen. Als tip wordt er dan ook vaak gegeven: betaal niet! De gijzelaars beweren dat zij de sleutel hebben om de encryptie ongedaan te maken.
5
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Ransomware
Ruben Verweij & Sanne van Rees In werkelijkheid bezitten zij deze sleutel vaak helemaal niet en wordt er na het betalen van het losgeld niets opgelost. In eerste instantie worden de gegevens door ransomware niet verwijderd. Maar er zijn soorten van ransomware waarbij er wel gewerkt wordt met een ‘doomsdayclock’. Als er binnen de bepaalde tijd dan niet betaald wordt, worden de gegevens verwijderd (tenzij je natuurlijk onwijs handig bent in het verwijderen van dusdanig gecompliceerde software).
“Als er binnen de bepaalde tijd niet wordt betaald, worden gegevens verwijderd.” Dat er veel soorten ransomware zijn is dus wel duidelijk. Dat is ook de reden dat het erg lastig is om je te beschermen tegen deze venijnige vorm van software. De meest bekende vorm is het zogenaamde Politie-virus. Deze doet zich voor als een melding van de politie op een website, die aangeeft dat (bijvoorbeeld) de computer vergrendeld zal worden. De oorzaak van het ontstaan van een mogelijkheid om een computer te infecteren met ransomware is voor nog lang niet alle soorten bekend. Onlangs is er aan het licht gekomen dat er een kritieke kwetsbaarheid zit in Adobe Flash Player. Door onderzoekers op het gebied van beveiliging is vervolgens geconcludeerd dat deze kwetsbaarheid werd gebruikt om computers te infecteren met een vorm van ransomware. Het hoofddoel van de ransomware is zoveel mogelijk slachtoffers creëren en ervoor zorgen dat zij bereid zijn het bedrag te betalen. Een van de manieren om dat te doen is door de juiste targets te selecteren. Laten we de advocatuur even als voorbeeld nemen. Advocaten zullen het merendeel van hun dossiers digitaal bewaren en bewerken. Zonder deze dossiers is het werk van de advocaat niet te doen, want alle bewijs en stellingen staat in die dossiers. Wanneer de computers van een advocatenkantoor worden geïnfecteerd met ransomware zullen alle dossiers op deze computers niet meer toegankelijk zijn, en kan niemand
meer aan zijn zaken werken. Het gehele kantoor ligt dan op z’n gat, hetgeen bijvoorbeeld al gebeurd is in Amerika. Maar ook een klein bedrijfje dat zijn administratie digitaal bewaard kan hier veel last van hebben. Vooral die kleinere bedrijven hebben geen uitgebreide IT-afdeling met sterke beveiliging en regelmatige back-ups. Een computer met informatie die vitaal is voor het dagelijks werk van een onderneming zou dus een goed target kunnen zijn. Het is voor de onderneming van levensbelang om snel weer toegang tot zijn data te krijgen en deze zal derhalve sneller geneigd zijn het losgeld te betalen. Helemaal wanneer deze het risico loopt dat de infectie zich zal verspreiden in zijn netwerk.
Het MKB en allerhande grote ondernemingen die in grote mate afhankelijk zijn van hun data zijn dus allemaal mogelijke targets. Bedenk hierbij dat er tegenwoordig eigenlijk geen onderneming meer is die nog gebruik maakt van papieren dossiers, en je zult je de enorme hoeveelheid mogelijke targets kunnen voorstellen. Al deze mogelijke targets zouden inmiddels op de hoogte moeten zijn van de groeiende aanwezigheid van ransomware en de risico’s voor hun onderneming. We leven echter niet in een ideale wereld, en de meeste ondernemers zullen zich toch vooral richten op hun onderneming, niet op hun IT-beleid. Toch kan een infectie met ransomware in de meeste gevallen voorkomen worden door verstandig om te gaan met e-mails van onbekenden waar een bijlage in zit. Veel infecties vinden plaats door het openen van een ver-
6
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Ransomware
Ruben Verweij & Sanne van Rees keerde bijlage of door kwetsbaarheden in software. Het simpelweg opslaan van bijlages om deze vervolgens te scannen met een virusscanner kan al helpen. Tevens is het up-to-date houden van je software van groot belang.
“Volgens de nieuwe meldplicht datalekken is het verlies van toegang tot de gegevens ook een lek” Daarnaast is een goede back-up onmisbaar. Wanneer je namelijk geen back-up hebt en je gegevens zijn door middel van de ransomware ontoegankelijk geworden loopt niet alleen de continuïteit van je onderneming gevaar, ook loop je het risico een boete te krijgen wanneer tussen deze gegevens ook persoonsgegevens zitten. Volgens de nieuwe meldplicht datalekken is het verlies van toegang tot de gegevens ook een lek en zal derhalve melding bij de Autoriteit Persoonsgegevens moeten worden gemaakt. Die melding kan een forse boete opleveren, tot €820.000 of 10% van de jaaromzet. Een dergelijke boete in combinatie met het feit dat al je data ontoegankelijk is en je weinig kunt doen voor je klanten maakt het aannemelijk dat getroffen ondernemingen zo’n klap niet te boven komen. Al met al is ransomware dus een bijzonder onaangename vorm van malware. Hoewel er ook minder kwaadaardige ‘scareware’ varianten in omloop zijn kan een infectie ervoor zorgen dat je de toegang tot al je bestanden voor altijd verliest. Zoals beschreven heeft het betalen van de som vaak geen zin, omdat de gijzelnemer zelf de sleutel ook niet weet. Zo is het voor internetcriminelen een lucratieve manier om wat bij te verdienen zonder al te veel moeite, maar voor een gedupeerde kan een infectie verstrekkende gevolgen hebben. Zeker voor de onderneming waarop de meldplicht rust is het van belang om een goed IT-beleid met regelmatige back-ups te hebben. Wanneer men dan toch door een infectie wordt getroffen kan de continuïteit worden gewaarborgd én een stevige boete worden voorkomen.
7
LISA E-magazine - strafrecht en ICT
donderdag 28 april | jaargang 2 | editie 2
Nawoord
Blijf up to date op het gebied van IT-recht! De redactie post elke zondagavond een blog met betrekking tot een actueel IT- of IEonderwerp. Volg ons op Facebook! Zo zie je meteen wanneer er weer een nieuwe blog is gepost. Ook wordt er hard gewerkt aan zogenaamde ‘vlogs’, video-blogs. Hierbij zullen wij jullie een kijkje geven achter de schermen bij LISA, onder andere activiteiten worden vastgelegd en wij laten jullie meekijken bij de totstandkoming van ons aankomende E-magazine. www.lisa-groningen.nl
88
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Interview met mr. Leonie Marloes Teunissen
Voor degenen die haar nog niet kennen Leonie van der Grinten is een strafrecht advocate en blogger. Ze blogt om de actuele juridische wereld dichter bij de maatschappij te brengen. Ze legt op een, voor niet-juristen, begrijpelijke manier juridische kwesties uit en laat zien wat er momenteel op strafrechtelijk gebied speelt. Ze doet het op zo’n onwijs leuke manier dat het zowel voor de rechtenstudent als de afgestudeerde jurist maar ook voor een ieder die eigenlijk niets met rechten te maken heeft leerzaam, boeiend en soms zelfs grappig is.
naar de achtergrond. Sommige advocatenkantoren werken al helemaal digitaal. De advocaten die daar werkzaam zijn nemen hun laptop mee naar de PI en pleiten ook vanaf de laptop. Het kantoor waar ik werk wil daar ook naar toe. Advocaten schrijven vaak blogs, maar die van jou zijn toch vrij uitzonderlijk. Waarom heb je gekozen voor deze manier van bloggen over het werk als advocaat?
Interview
Op verjaardagsfeestjes kreeg ik elke keer weer vooroordelen over de strafrecht advocatuur naar mijn hoofd gesmeten. Ik moest keer op keer uitleggen waarom ik criminelen wilde verdedigen. Naarmate zo’n gesprek vordert waar ik opheldering over mijn werkzaamheden en het strafrecht in het algemeen geef, groeit vaak het begrip met betrekking tot de door mij gemaakte keuze in carrièrepad. Ik blijk bovendien geen geldwolf te zijn, geen maffiamaatje, geen witwasser… en ook met mijn arrogante houding valt het eigenlijk best mee.
Toen ik Leonie een mailtje stuurde kreeg ik als antwoord dat ze het ontzettend d… had. Ze krijgt bijna elke week de vraag of ze interviews wil afnemen en zegt meestal ‘nee’ omdat ze niet wil dat haar werk als blogger en advocate hier onder lijden. Meer dan begrijpelijk. Maar ‘omdat jij het bent’ heb ik toch van haar de antwoorden op mijn vragen gekregen, wat ik ontzettend kan waarderen.
Middels deze blog wil ik het strafrecht en de maatschappij dichter bij elkaar brengen. Dit doe ik door op papier eenzelfde soort gesprek te voeren als op feestjes. Ik deel ervaringen uit de praktijk, licht actuele rechtszaken toe en verschaf informatie omtrent het strafrecht en het werk van strafrechtjuristen in het algemeen. Omdat ik wel van een feestje houd, ben ik deze blog gestart.
Het onderwerp van dit E-magazine is ‘Strafrecht & ICT’, jij werkt zelf als strafrecht advocaat, merk je dat het ICT in het strafrecht een steeds dominantere rol gaat spelen?
Vind je dat er in de maatschappij voldoende kennis is van de rechtspraak en hoe zou dat eventueel kunnen verbeteren? (bijvoorbeeld aandacht op scholen voor “recht”).
Ja, ook het strafrecht wordt steeds digitaler. Een voorbeeld hiervan is bijvoorbeeld project KEI. In ‘kleinere’ zaken ontvangen we de processtukken reeds digitaal. Het gaat dan om politierechterzittingen en strafkantonzaken. Deze stukken kunnen we downloaden via een beveiligd programma van Rechtspraak.nl. Ook wordt er tegenwoordig meer gemaild en verdwijnt de fax langzaam maar zeker
Nee. In NL bestaan er ongelofelijk veel misverstanden over het recht, en dan het strafrecht in het algemeen. Levenslang zou geen levenslang zijn, rechters zouden te laag straffen, advocaten zouden standaard geld witwassen, etc. etc. De vraag hoe die misverstanden de wereld uit geholpen zouden kunnen worden is lastig te beantwoorden. Een optie zou inderdaad zijn om er meer aandacht
Zelf heb ik Leonie vorig jaar mogen ontmoeten en ik heb een leuk gesprek met haar gehad. Ik kan je vertellen dat ze een onwijs leuk en open persoon is. Iemand die liefde heeft voor haar vak en je meesleept in vrolijkheid, humor en leuke verhalen.
9
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Interview met mr. Leonie Marloes Teunissen
aan te besteden, en dan al vanaf de middelbare school (of wellicht zelfs al de basisschool). Daarbij hoop ik daar natuurlijk zelf een bijdrage aan te leveren door middel van mijn blog. Via sociale media denken mensen steeds meer zelf het recht in hand te hebben, althans, te kunnen bepalen dat de ‘dader’ opgepakt moet worden. Hoe denk jij hierover? Dat klopt ja. Ook over het online tomatengooien heb ik wel een mening. Als ik door mijn Facebook tijdlijn scroll kom ik standaard een aantal posts tegen in de trant van: “Deel dit! Dit is 1 van de 2 mensen die een meisje uit IJmuiden van 15 jaar heeft mishandeld! De daders moeten opgepakt worden! Zijn naam is Eren Kaya.”. Ik noem dit fenomeen de digitale schandpaal. Tomatengooien dus. Maar deze tomaten zijn een stuk gevaarlijker dan vroeger. Mensen gaan namelijk zelf voor politie spelen. Het gevaar van zelf politieagentje spelen, is het gevaar dat je ook voor rechtertje gaat spelen. Iedere verdachte is onschuldig totdat het tegendeel is bewezen. Op grond van één enkel filmpje of een foto wordt in sociale media aangenomen dat degene die we daar zien ook daadwerkelijk degene is die we moeten hebben. Ook moet er rekening worden gehouden met privacy. Een gedeelte van Nederland lijkt te menen dat indien iemand een overtreding of misdrijf heeft (of lijkt te hebben) begaan, de persoon in kwestie direct al zijn rechten in de maatschappij verliest. Alle informatie over een crimineel zou gepubliceerd mogen worden, want de persoon zelf is verantwoordelijk voor zijn daden en de eventuele gevolgen daarvan. “Had ie maar 2 keer na moeten denken.” Mee eens? Ik niet. Je kunt het recht op privacy niet veranderen naar aanleiding van de daden van een persoon. Ook voor deze persoon blijft het grondwettelijke recht op privacy bestaan.
Laat de politie haar taak doen, en de rechter de zijne. Laat de (sociale) media weer berichten in plaats van berechten. En laat mij gewoon leuke filmpjes zien a la gingers do have souls. Of die parodie op Nicki Minaj’s Anaconda. Zoiets. Maak je me veel gelukkiger mee. Heb jij zelf wel eens een strafzaak met betrekking op ICT afgedaan? Afgedaan sowieso niet, want dat doet de rechter ;). Maar je bedoelt of ik ooit iemand heb bijgestaan die verdacht werd van een strafbaar feit in het kader van cybercrime? Dat nog nooit. Zou je een zaak weigeren als je merk dat je te weinig kennis hebt over het ICT gedeelte? Dat hangt heel erg van de situatie en van de zaak af. Er wordt zowel door het OM als door de verdediging vaak een specialist gevraagd om uitleg en toelichting indien sprake is van een zaak met een specialistisch karakter. Als deze specialist voldoende uitleg kan geven voorzie ik geen probleem. Veel delicten op het gebied van ICT worden ingekleurd door door huidige strafbepalingen. Hoe sta jij hier tegenover? Vind je dat deze bepalingen nog voldoen of dienen hier nieuwe bepalingen voor te worden gemaakt? Daar kan ik gelet op mijn antwoord op de vorige vraag niets over zeggen. In het wetsvoorstel computercriminaliteit III is een hackbevoegdheid opgenomen. Denk je hier profijt van te kunnen hebben bij het verkrijgen van bewijs? Dit wetsvoorstel is mij niet bekend. Zie ook mijn antwoord op de vorige twee vragen.
En niet te vergeten … wat als diegene uit het filmpje uiteindelijk onschuldig blijkt te zijn?
10
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Interview met mr. Leonie Marloes Teunissen
Merk je dat oudere advocaten moeite hebben met het bijbenen van ‘cybercrime’? Ook daar kan ik niets over zeggen, maar ik merk wel dat oudere advocaten moeite hebben met het digitaliseringsproces waar de rechtspraak op dit moment midden in zit. En dat is ook logisch natuurlijk. Mijn generatie krijgt van jongs af aan meer mee van computers, smartphones, laptops, etc. Dat is bij oudere advocaten anders. Ook merk je dat oudere advocaten het nut van digitaal werken niet of minder inzien dan jongere advocaten. Hoe dan ook, gelet op het project KEI zal iedereen er (op den duur) aan moeten geloven. Als ik dit interview nog eens bekijk kom ik tot de conclusie dat strafrecht advocaten wel degelijk te maken krijgen met online criminaliteit. Ik denk dat het goed is dat er daarom regels in de trant van Wetsvoorstel Computercriminaliteit III bij komen en er meer IT juristen als specialisten op het gebied van cybercrime worden ingeschakeld. Tevens vind ik, net als Leonie, dat er te weinig kennis is over de strafrechtspraak en er daarom meer informatie in de maatschappij moet worden verstrekt. Leonie heeft hier een begin meer gemaakt door met haar blog de maatschappij en het strafrecht dichter bij elkaar te brengen. Keep up the good work! Dankjewel Leonie!
11
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
DDoS-aanval
Sadaf Zamani & Sven Oonk DDoS-aanval “Verschillende websites, waaronder die van de belastingdienst, zijn in de nacht van vrijdag op zaterdag onbereikbaar geweest door een DDoS-aanval” Zomaar de eerste zin van een nieuwsbericht zoals je ze tegenwoordig vaak ziet. Zo vaak zelfs dat niet eens altijd meer wordt uitgelegd wat een DDoS-aanval eigenlijk is. Begrijpelijk, want media proberen hun nieuwsberichten zo kort mogelijk te houden en bovendien blijkt uit de bovenstaande zin al wat een DDoS-aanval doet: het maakt een website onbereikbaar. Maar daardoor weten maar weinig mensen wat een DDoS-aanval nu precies is, hoe het werkt en wat de gevolgen zijn. In dit artikel zullen we proberen op deze vragen een antwoord te geven en zo een beetje licht te laten schijnen op een duister deel van het internet, waar DDoS-aanvallen net zo makkelijk online besteld kunnen worden als een pizza via thuisbezorgd.nl. Wat is een DDoS-aanval? De afkorting ‘DDoS’ staat voor Distributed Denial of Service. ‘Distributed’ houdt in dat een aanval vanaf verschillende computers wordt uitgevoerd. ‘Denial of Service’ betekent dat een dienstverlening niet langer mogelijk is. Bij een DDoS-aanval krijgt een server zodanig veel verzoeken, die gelijktijdig worden verzonden vanaf meerdere punten, dat de dienst (vaak een website) overbelast raakt en hierdoor instabiel of onbereikbaar wordt. In sommige gevallen crasht zelfs de achterliggende server door een DDoS-aanval.
Stel je eens voor dat het internet een snelweg is en diensten/websites de afrit. Op een normale dag rijdt al het verkeer rustig door op de snelweg. Als het drukker wordt op de snelweg gaat het allemaal wat langzamer en komen voertuigen later aan op hun bestemmingen. Als er plotseling veel verkeer naar dezelfde afrit wordt geleid, komt het verkeer vast te staan in de file, waardoor niemand meer bij het eindpunt kan komen. Bij zo’n file kunnen de auto’s en zelfs één of meerdere knooppunten geheel tot stilstand komen. Er zijn verschillende typen DDoS-aanvallen, van de Smurf tot de Pings of Death. Deze aanvallen kun je weer onderverdelen in 4 categorieën: - TCP connectie aanvallen; - volume aanvallen; - fragmentatie aanvallen; - applicatie aanvallen. Het feit dat een DDoS-aanval vanaf meerdere computers wordt uitgevoerd, betekent niet altijd dat het gaat om een grote groep hackers. In de meeste gevallen opereert de dader alleen en maakt hij gebruik van een ‘botnet’. Een botnet is een groep op afstand bestuurbare computers die door een stukje geïnstalleerde malware een aanval met een lawine aan serververzoeken kan opzetten. De eigenaren van de computers hebben vaak niet eens door dat er malware op hun computers staat. Ontstaan en schade Tegenwoordig kan iedereen een DDoS-aanval veroorzaken. Je kunt het zelf doen, je kunt het door een ander laten doen en het kan zelfs per ongeluk gebeuren. Als je er verstand van hebt, kun je zelf een DDoS-aanval uitvoeren. Maar het kan ook per ongeluk gebeuren. Denk hierbij aan het crashen van de site van Apple bij het lanceren van een nieuwe iPhone. Teveel legitiem verkeer op piekmomenten kan een site platleggen en dus in feite hetzelfde veroorzaken als een DDoS-aanval.
12
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
DDoS-aanval
Sadaf Zamani & Sven Oonk “Er zijn duizenden websites waar je een DDoS-aanval kunt kopen.” Daarnaast kun je een DDoS-aanval kopen. Op het internet kun je mensen vinden die, tegen betaling, een DDoS-aanval voor je uitvoeren.Er zijn duizenden websites waar je een DDoS-aanval kunt kopen. Hoeveel je moet betalen voor een aanval verschilt. Hoe meer aanvalscapaciteit wordt gebruikt, hoe meer je betaalt. Gemiddeld kost het 34 euro per uur om een dienst plat te leggen door een DDoS-aanval. Betaling gebeurt vaak in bitcoins, zodat je je anonimiteit behoudt. Hoewel een DDoS-aanval voor relatief weinig geld gekocht kan worden, zijn de kosten om de schade te herstellen vele malen groter. Een DDoS-aanval kost kleine- tot middelgrote bedrijven gemiddeld 46.000 euro en bij grote bedrijven kan dat zelfs oplopen tot 390.000 euro. Veel bedrijven moeten na een dergelijk aanval ICT-consultants inhuren. Bovendien gaat er kostbare informatie verloren. Bijna de helft van de bedrijven moet kosten maken om de infrastructuur te herstellen of verbeteren. De verzekeringspremies gaan vaak omhoog. Er zijn ook kosten die later gemaakt worden voor bijvoorbeeld reputatieverlies of een lagere waardering.
De wet Het uitvoeren van een DDoS-aanval is strafbaar gesteld in artikel 138b van het Wetboek van Strafrecht (Sr). Dit artikel bestaat uit vier onderdelen. Ten eerste moet de toegang tot een ‘geautomatiseerd werk’ worden belemmerd. Volgens artikel 80sexies Sr is een geautomatiseerd werk een ‘inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen’. Hiermee worden apparaten bedoeld die op een netwerk zijn aangesloten, zoals computers en smartphones. Systemen die uitsluitend bestemd zijn voor de opslag van gegevens of om te functioneren zonder interactie met hun omgeving vallen er niet onder, zoals een elektronisch klokje of een USB-stick. Overigens is in het wetsvoorstel Computercriminaliteit III de definitie van een geautomatiseerd werk aanmerkelijk opgerekt, waardoor bijvoorbeeld een USB-stick wel als zodanig gezien kan worden, mits deze aangesloten is op een computer. Ten tweede moet het belemmeren van de toegang tot het geautomatiseerde werk gebeuren doordat er gegevens worden gestuurd naar het werk, dat hierdoor overbelast raakt. Ten derde moet dit alles met opzet gebeuren. Een DDoS-aanval kan alleen een aanval zijn, indien het de bedoeling is dat er een aanval wordt uitgevoerd. Tot slot is er slechts sprake van mogelijke strafbaarheid als het uitvoeren van de
13
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
DDoS-aanval
Sadaf Zamani & Sven Oonk DDoS-aanval plaatsvindt zonder toestemming van de eigenaar van het geautomatiseerde werk. Een netwerk testen in opdracht van de eigenaar mag natuurlijk wel.
“Indien het feit ernstige schade veroorzaakt of is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur kan er zelfs tot vijf jaar gevangenisstraf worden opgelegd.”
Als aan deze vier voorwaarden is voldaan, is er sprake van het strafbaar uitvoeren van een DDoS-aanval. Hier staat een maximale gevangenisstraf van twee jaar of een geldboete van maximaal € 20.250 op. Indien het feit ernstige schade veroorzaakt of is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur kan er zelfs tot vijf jaar gevangenisstraf worden opgelegd. Daarnaast kan de eigenaar van het aangevallen geautomatiseerde werk de schade die hij heeft geleden doordat zijn site een tijd niet bereikbaar was, deze uiteraard ook proberen te verhalen op de dader. Opsporing en vervolging Het opsporen van de daders achter een DDoS-aanval verloopt over het algemeen moeizaam. Vaak vormen verkeersgegevens het enige spoor. Deze moeten dan
weer worden verkregen van service providers en die zijn meestal niet bereid persoonsgegevens van hun klanten zonder slag of stoot te verstrekken. Hierdoor wordt het proces vertraagd en het spoor langzaam koud. Zeker bij een aanval gepleegd via een botnet is het zeer lastig de computer te achterhalen waarvandaan het proces is gestart. Daar komt nog eens bij dat de personen die achter een grote DDoS-aanval zitten, weten wat ze doen en vaak over meer technische kennis beschikken dan degenen die belast zijn met de opsporing.
Dit blijkt ook uit de hoeveelheid rechtszaken die er in Nederland zijn gevoerd tegen daders van DDoS-aanvallen. Meer dan een handje vol zijn het er niet. Dit heeft er onder andere mee te maken dat een groot aantal DDoS-aanvallen wordt uitgevoerd door minderjarigen. Het Openbaar Ministerie kiest er in deze gevallen vaak voor om de zaak zelf af te doen en niet voor te laten komen. De zwaarste straf tot nu toe opgelegd in een rechtszaak waarin een DDoS-aanval een rol speelde is 18 maanden gevangenisstraf. In deze zaak ging het echter primair om afpersing en was de DDoS-aanval slechts het middel om geld los te krijgen van een tweetal bedrijven. De enige zaak waarbij het puur ging om het uitvoeren van een DDoS-aanval is er één uit 2013, waarin een (ten tijde van het plegen van het delict) 17-jarige jongen werd veroordeeld tot een taakstraf van 60 uur
14
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
DDoS-aanval
Sadaf Zamani & Sven Oonk voor het platleggen van de website van de ING Bank. Het wachten is nu op de rechtszaak over één van de grootste DDoS-aanvallen in Nederland tot nu toe, in augustus 2015 tegen Ziggo en KPN. Hiervoor zijn in oktober vijf jongeren aangehouden. Het heeft er alle schijn van dat ze dit slechts deden om te laten zien dat ze tot grote dingen in staat waren, stoer doen dus. Het Openbaar Ministerie heeft al laten weten DDoS-aanvallen te zien als ernstige strafbare feiten en zal naar verwachting deze zaak aangrijpen om dit punt te onderstrepen. Conclusie DDoS-aanvallen zijn een steeds populairder wordend middel om iemand te treiteren, schade toe te brengen of een punt te maken. Op het oog lijkt het uitvoeren ervan een erg ingewikkeld en technisch verhaal, maar iedereen met een computer en een beetje handigheid in zoeken via Google kan vele websites vinden, waar tegen een redelijke prijs een aanval gekocht kan worden. De schade bij degene die aangevallen wordt, is echter allesbehalve redelijk en kan behoorlijk oplopen. Puur kijkend naar de wettekst lijkt deze het uitvoeren van een DDoS-aanval streng te bestraffen, maar mede door de moeizame opsporing van de daders, blijkt dit in de praktijk toch flink tegen te vallen. Wel zegt het Openbaar Ministerie dat ze DDoS-aanvallen serieuzer gaan nemen. Mooie woorden, maar of deze zich ook doorzetten in daden, moeten we afwachten.
15
LISA E-magazine - strafrecht en ICT
Vanaf maart 2010 wordt eJure.nl beheerd door studenten van de sectie Recht en ICT. EJure is een informatieportal over onderwerpen op het gebied van Recht en IT. De portal bevat artikelen die zijn geschreven door studenten die participeren in het Multidisciplinair Seminar onder supervisie van dr. mr. C.N.J. de Vey Mestdagh of mr. K. Konings. Klik op onderstaande link om de website te bezoeken: www.ejure.nl
vrijdag 29 april | jaargang 2 | editie 3
Ejure: Hacking door de AIVD Hacking wordt in de juridische wereld ook wel het zonder toestemming binnendringen van een geautomatiseerd werk genoemd. Hoewel hackers dit anders zien, wordt hacken vaak gezien als een actie met kwade bedoelingen. ((J. Bakker, ‘Het woord hacker is voorgoed vervuild’, Computable 24 maart 2015, https://www.computable.nl/artikel/opinie/ discussie/5243644/5213713/het-woord-hacker-isvoorgoed-vervuild.html, laatst geraadpleegd op 13-11-2015))(( K.M. Beaver, Hacking for dummies, Hoboken: John Wiley & Sons: 2013, p. 10.)). In Nederland is dit verboden bij wet((art. 138ab Sr)) Dit begrip wordt daarom ook wel geassocieerd met criminaliteit. Maar is dit wel terecht? Ook de Algemene Inlichtingen en Veiligheidsdienst (hierna: AIVD) maakt gebruikt van hacken om nationale belangen te beschermen.((Althans, dat is het doel van de AIVD, zie art. 6 WIV.)) De bevoegdheid tot hacking door de AIVD lijkt onmisbaar in de huidige informatiemaatschappij. Uit gelekte documenten door Snowden blijkt dat bepaalde fora door de AIVD zijn gehackt waarbij veel gebruikersgegevens zijn verzameld.((S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http:// www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-112015. )) Maar hoe ver mag de AIVD eigenlijk gaan? Waar ligt de grens? Wanneer prevaleert de privacy van burgers boven het veiligheidsbelang? Hacking Volgens een rapport van het Nationaal Cyber Security Centrum wordt om binnen te dringen in geautomatiseerde werken gebruik gemaakt van kwetsbaarheden in systemen.((Cybercrime. Van herkenning tot aangifte, Nationaal Cyber Security Centrum, Den Haag: 2012, p. 15 en 16)) Ongeveer 21% van de meest bezochte websites blijkt software te draaien welke al bekende kwetsbaarheden heeft(( State of the Web 2015: Vulnerability Report, Menlo Security maart 2015, https://www.menlosecurity. com/blog/state-web-2015-vulnerability-report, laatst
16
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Hacking door de AIVD Ejure
geraadpleegd op 13-11-2015.)). Dit grote aantal bekende kwetsbaarheden illustreert de fragiele situatie van de IT infrastructuur. Niet ondenkbaar is dat de nog onbekende kwetsbaarheden het percentage van 21% flink kunnen verhogen. Deze kwetsbaarheden kunnen bijvoorbeeld al in software aanwezig zijn voordat de ontwikkelaar hiervan op de hoogte is. Hackers maken hier vaak ongezien gebruik van. Dit wordt ook wel een ‘zero-day aanval’ genoemd. Uit eerder genoemde documenten gelekt door Snowden blijkt dat de AIVD gebruikt maakt van Computer Network Exploitation (hierna: CNE) om webfora te hacken.((Documenten NSA & AIVD Snowden, http://issuu.com/pimvandendool/docs/ document03/1?e=7781744/5822935, laatst geraadpleegd op 08-12-2015)) CNE is een tool voor de exploitatie van kwetsbaarheden in netwerken. In de documenten van Snowden staat “they acquire mySQL databases via CNE acces” waaruit afgeleid kan worden dat meerdere databanken als geheel gehackt en gekopieerd zijn via CNE. Dit ongericht verzamelen van gegevens stuit op juridische en ethische bezwaren.((vgl. A.U. de Haes, ‘AIVD gaat boekje te buiten bij hacken’, Webwereld 11 maart 2014, http://webwereld.nl/security/81690aivd-gaat-boekje-te-buiten-bij-hacken, laatst geraadpleegd op 13-11-2015. & S. Derix e.a., ‘AIVD hackt internetfora, ‘tegen wet in’’, NRC 30 november 2013, http://www.nrc.nl/nieuws/2013/11/30/aivd-hackt-internetfora-tegen-wet-in, laatst geraadpleegd op 13-11-2015. & Toezichtsrapport inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingenen veiligheidsdiensten, 5 februari 2014 nr. 38 p. 23.)) Materieel juridisch kader De bevoegdheid tot hacking is vastgelegd in art. 24 Wet op de Inlichtingen- en veiligheidsdiensten (hierna: WIV). Bij het maken van dit artikel is aangesloten bij de formulering van de strafrechtelijke bepaling van hacken te weten computervredebreuk ex art. 138ab Sr. Beiden dienen dus overeenkomstig uitgelegd te worden.((Memorie
van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3.4.3.4.6)) Wat is een geautomatiseerd werk? Art. 80sexies Sr: een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Ondanks dat de wetgever expliciet had benoemd in de MvT dat het in de praktijk voornamelijk zal gaan om stand-alone pc’s, vallen computernetwerken hier ook onder. ((Memorie van toelichting wet op de inlichtingen- en veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3.4.3.4.6)) (( Nota naar aanleiding van het verslag, Kamerstukken II 1999/2000, 25 877, nr. 8, p. 63)) Een geautomatiseerd werk hoeft niet zelfstandig bestemd te zijn om gegevens op te slaan, te verwerken en over te dragen maar kan deel zijn van een netwerk, zoals een router.((Hoge Raad 26 maart 2013, ECLI:NL:HR:2013:BY9718)) Wat is binnendringen? Binnendringen is jezelf toegang verschaffen tegen de wil van de rechthebbende, ongeacht of de beveiliging verbroken wordt of aanwezig is.(( Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.4.)) Het binnendringen hoeft niet door een mens te gebeuren; een virus kan tevens binnendringen.(( Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (Toxbot), r.o. 2.2.2. onder n. )) Ook als je de sleutel hebt die toegang verschaft tot het systeem kan sprake zijn van binnendringen indien dit onbevoegd gebeurt. (( Hof den Haag 8 juni 2004, ECLI:NL:GHSGR:2004:AP7974, r.o. 11.)) Artikel 24 WIV geeft een niet-limitatieve opsomming van drie situaties waarin er in ieder geval sprake is van binnendringen: 1. Wanneer beveiliging doorbroken is. Dit spreekt voor zich, zonder de bevoegdheid tot het doorbreken van enige beveiliging is er vaak geen mogelijkheid tot hacken. 2. Bij het aanbrengen van technische voorzieningen teneinde versleuteling ongedaan te maken. Het decrypten van informatie kan hieronder vallen en kan noodzakelijk zijn als er bij een hack
17
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Hacking door de AIVD Ejure
blijkt dat cruciale informatie gecodeerd is. 3. Wanneer de gegevens opgeslagen of verwerkt in het geautomatiseerde werk overgenomen worden. De AIVD hackt om gegevens te bemachtigen en dus is het kopiëren of overnemen daarvan een noodzakelijkheid. Formele kader Artikel 24 WIV behoort tot de zogenaamde bijzondere bevoegdheden van de AIVD.((N.J.M. Kwakman, Terrorismebestrijding, Deventer: Kluwer 2013, p. 192)) Hierdoor moet er alvorens gebruik te maken van de bevoegdheid tot hacking toestemming worden gegeven door of namens de minister (art. 19 lid 1 WIV). Het hoofd van de dienst kan dit vervolgens ondermandateren (art. 19 lid 2 WIV). De toestemming geldt maximaal drie maanden maar kan telkens verlengd worden. Voordat Snowden de documenten uitlekte, heeft de minister van Binnenlandse Zaken gebruik gemaakt van de mandaatregeling. Na het uitlekken van de documenten, heeft minister Plasterk besloten dit niet meer te mandateren. Gevolg hiervan is dat bij hacking altijd toestemming aan de minister gevraagd moet worden.((A. Wokke, ‘Minister past beleid rondom hacken door AIVD aan na Snowden-onthullingen’, Tweakers 9 april 2014, http://tweakers.net/nieuws/95313/minister-past-beleid-rondom-hacken-door-aivd-aan-na-snowden-onthullingen.html, laastst geraadpleegd op 13-11-2015. & Mandaatbesluit AIVD 2015)) Noodzakelijkheid; Proportionaliteit en Subsidiariteit Aangezien bijzondere bevoegdheden een grote inbreuk op de persoonlijke levenssfeer kunnen opleveren zijn er ook waarborgen in de WIV opgenomen. Wanneer er een verzoek tot toestemming wordt gedaan voor het inzetten van een bijzondere bevoegdheid, zoals hacken, moet dit aan een drietal vereisten voldoen: noodzakelijkheid, proportionaliteit en subsidiariteit. Noodzakelijkheid Art. 18 WIV stelt dat een bijzondere bevoegdheid slechts mag worden uitgeoefend, voor zover dat
noodzakelijk is voor de goede uitvoering van de taken van de dienst. Dit noodzakelijkheidsvereiste sluit aan bij het begrip als genoemd in art. 8 EVRM: bij ieders privacy is slechts inmenging van enig openbaar gezag toegestaan voor zover dit noodzakelijk is in het belang van de nationale veiligheid. Het wordt verder aangevuld in art. 32 WIV. Uitoefening van een bijzondere bevoegdheid moet onmiddellijk gestaakt worden wanneer het doel is bereikt (proportionaliteit) of wanneer er een minder inbreukmakend alternatief is (subsidiariteit). Proportionaliteit Het proportionaliteitsbeginsel houdt in dat de inbreuk evenredig moet zijn aan het te bereiken doel en dat de bevoegdheid achterwege moet blijven wanneer het de betrokkene een onevenredig nadeel oplevert (art. 31 lid 3 en 4 WIV). Oftewel, weegt het rechtsbelang van het doel zwaarder dan het rechtsbelang van de mogelijke inbreuk? Een voorbeeld: er is een sterke aanwijzing voor een aanslag op maandag. Om de dader te identificeren moet een emailadres gehackt worden om zo een IP-adres te achterhalen. Het belang van nationale veiligheid weegt in deze instantie zwaarder omdat de aanwijzing sterk is. De bevoegdheid tot hacken kan dus proportioneel worden gebruikt. Subsidiariteit In lid 1 en 2 van artikel 31 WIV is het subsidiariteitsbeginsel verankerd. Dit beginsel houdt in dat voor het middel gekozen moet worden dat de minst zware inbreuk maakt op iemands privacy. Alvorens de inbreuk te maken bestaan er een aantal gradaties waar naar gekeken moet worden. Dit houdt in dat de AIVD moet kijken naar zijn algemene bevoegdheden in plaats van direct gebruik te maken van zijn bijzondere bevoegdheden. Allereerst moet gekeken worden of de dienst al over de informatie beschikt, vervolgens of de gegevens niet achterhaald kunnen worden door openbare bronnen te raadplegen en daarna, wanneer openbare bronnen geen mogelijkheid bieden, informatiebronnen waarvoor aan de dienst een recht op kennisneming is verleend (bijvoorbeeld Politieregisters.((Memorie van toelichting wet op de inlichtingen- en
18
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Hacking door de AIVD Ejure
veiligheidsdiensten 2002, Kamerstukken II 1997/1998, 25 877, nr. 3, p.52. )) Ook het ondervragen van informanten (art. 17 WIV) kan onder de alternatieve opties vallen om geen gebruik te maken van een bijzondere bevoegdheid.(( Toezichtsrapport inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD, Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten, 5 februari 2014 nr. 38 p. 57.)) Als er geen alternatieve optie is, kan er gebruik gemaakt worden van een bijzondere bevoegdheid. Bij die bevoegdheid moet vervolgens wel rekening gehouden worden met het subsidiariteitsvereiste: kiezen voor de minst inbreukmakende optie. Bijvoorbeeld het hacken van een emailadres om een IP-adres onder omstandigheden te achterhalen is subsidiair, het hacken van een gehele mailserver waarschijnlijk niet.
worden op dit wetsvoorstel. Conclusie De hedendaagse IT-infrastructuur brengt veel mogelijkheden met zich mee voor hackers. Er zijn tal van kwetsbaarheden die geëxploiteerd kunnen worden. De AIVD maakt hier op dit moment ook gebruik van door middel van CNE. Het binnendringen van geautomatiseerde werken door de AIVD is toegestaan op basis van art. 24 WIV. Hij moet hier wel toestemming voor hebben van de minister en voldoen aan drie vereisten: noodzakelijkheid, proportionaliteit en subsidiariteit. Op dit moment is er een conceptwetsvoorstel, de WIV 20XX. Dit voorstel tracht, onder andere, de hackingsbevoegdheid uit te breiden maar stuit tot dusver op veel bezwaar.
Wetsvoorstel WIV 20XX Naar aanleiding van een rapport van de commissie Dessens heeft de wetgever een wetsvoorstel gemaakt om onder meer de hackingsbevoedheid uit te breiden. Dit wetsvoorstel codificeert het verkennen van geautomatiseerde werken, het hacken van een derde, verplichting tot vernietiging van irrelevante gegevens en het combineren van technische mogelijkheden. Hoewel volgens dit voorstel de toestemming om gebruik te maken van deze bevoegdheid wordt verzwaard, ontbreken er nog een aantal waarborgen, aldus verschillende organisaties.((vgl. Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX , Commissie van Toezicht betreffende de inlichtingen- en veiligheidsdiensten 26 augustus 2015, http://www.ctivd.nl/documenten/publicaties/2015/08/26/reactie-ctivd-conceptwetsvoorstel, laatst geraadpleegd op 13-11-2015. & Reactie op consultatie Wet op de inlichtingen- en veiligheidsdiensten 20XX, Bits of Freedom 1 september 2015, https://www.bof.nl/live/wp-content/ uploads/20150901-BoF-reactie-consultatie-wiv.pdf, laatst geraadpleegd op 13-11-2015.)) In een volgend nog te publiceren artikel op eJure zal nader ingegaan
19
LISA E-magazine - strafrecht en ICT
donderdag 28 april | jaargang 2 | editie 2
ADVERTENTIE OVERHEID
Als Rijks ICT-trainee meehelpen aan de toekomst van Nederland Het Nederland van de toekomst zoekt ICT’ers van nu. Als ICT’er bij de Rijksoverheid werk je aan maatschappelijke vraagstukken die heel Nederland aan gaan. Bijvoorbeeld aan het beveiligen van DigiD. Het systeem dat jaarlijks meer dan 200 miljoen authenticaties verwerkt. Of aan complexe vraagstukken op het gebied van privacy en security. Wij leiden jonge talenten zelf op met het nieuwe 2-jarige Rijks ICT Traineeprogramma (RITP). Twee richtingen Om goed voorbereid te zijn op de toekomst hebben we een splitsing gemaakt in het traineeprogramma. Je kunt kiezen voor de richting waarin naast vakkennis de procesmatige en bestuurlijke kant belangrijk is (het CIO-programma). Of je kiest voor de richting waarin de nadruk ligt op ICT-techniek (het CTO-programma).
www.werkenvoornederland.nl
Voor beide varianten geldt dat je maximaal 4 jaar geleden bent afgestudeerd bij aanvang van je traineeship. En ook als je nog aan het afstuderen bent, kun je solliciteren. Aanmelden Je kunt je tot en met 10 mei 2016 aanmelden voor het RITP. Het programma start vanaf september 2016. Alle informatie over de twee richtingen, de toelatingseisen, de selectieprocedure en de organisaties die aan het programma deelnemen vind je op werkenvoornederland.nl/RITP En heb je een vraag? Dan mail je naar
[email protected]
20
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Wet computercriminaliteit III Max Landkroon & Marloes Teunissen
Stel je voor: een crimineel voert door middel van het web een misdrijf uit. De politie is iets op het spoor, maar mag geen actie ondernemen (de computer van de crimineel hacken). De crimineel krijgt lucht van het feit dat de politie hem op de hielen zit en verwijdert alle gegevens met betrekking tot het misdrijf. Wanneer het misdrijf is uitgevoerd en de politie met een huiszoekingsbevel bij de crimineel binnenkomt, is al het bewijs gewist. Als vanzelfsprekend zocht men in de hogere bestuurslagen naar een oplossing voor deze crimineel-vriendelijke gang van zaken. Zodoende kwam men uit bij het inmiddels zwaar bekritiseerde ‘wetsvoorstel bestrijding cybercrime’, of beter te noemen, in navolging van deel I en II, het wetsvoorstel Computercriminaliteit III. De grootschalige werving van IT’ers voor de politie is je vast niet ontgaan indien je regelmatig naar de radio luistert en/of geen adequate adblocker geïnstalleerd hebt. Wij zitten niet vuistdiep geïnfiltreerd bij de digitale hermandad, maar de samenhang van deze grootschalige werving en het nieuwe wetsvoorstel kan bijna geen toeval zijn. Wij hebben de voor en nadelen van de nieuwe wet voor je op een rijtje gezet en gekeken naar wat er precies gaat veranderen. Hoezeer treft dit de ‘gewone burger’?
Door de exponentiële groei van computercriminaliteit kon de wetgeving niet achterblijven. Het nieuwe wetsvoorstel heeft dus als doel om de computercriminaliteit in zijn geheel aan te pakken, maar streeft het doel zichzelf voorbij met de middelen die daarvoor ter beschikking worden gesteld, of is dit de enige manier om het probleem aan te pakken? Om tot dat antwoord te komen lichten wij hieronder de inhoud van de geopperde hackbevoegdheid van de politie nader toe.
“De nieuwe hackbevoegdheid houdt in dat de politie ook op afstand moet kunnen hacken.” Het wetsvoorstel Computercriminaliteit III is inmiddels ingediend bij de Tweede Kamer, echter is er vanwege de zware kritiek nog zeker geen sprake van een meerderheid die het goed zal keuren. Veel politieke partijen hebben inmiddels een motie ingediend tot aanpassing van de wet, maar al met al lijkt het uiteindelijk wel af te stevenen op een goedkeuring, hoewel het wetsvoorstel dus wel onderhevig is aan veranderingen. Onder andere is het omstreden decryptiebevel reeds geschrapt. Dat deel van de wet was volgens de indieners nodig om verdachten te dwingen wachtwoorden te overhandigen (bij ernstige misdrijven), maar dit gaat in tegen het recht van een verdachte om niet mee te werken aan de eigen veroordeling (nemo tenetur beginsel). De hackbevoegdheid van de politie beperkt zich op dit moment nog tot het plaatsen van een tap na fysieke toegang tot een apparaat. Bestanden mogen niet worden gekopieerd. De nieuwe hackbevoegdheid houdt in dat de politie ook op afstand moet kunnen hacken. En dan niet alleen computers, maar ook smartphones en andere elektronische apparaten, waaronder zelfs pacemakers (?!). Dit mag de politie doen bij verdenking van betrokkenheid van een misdrijf waar acht jaar of meer cel op staat (deze eis is ook middels een motie tot stand gekomen). De politie wordt daarmee in staat gesteld om constant te bespioneren. Verder moet voorlopige hechtenis mogelijk zijn en
21
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Wet computercriminaliteit III Max Landkroon & Marloes Teunissen
moet het delict een ernstige inbreuk op de rechtsorde kunnen vormen. Overigens geldt bij alle onderzoekshandelingen dat er een machtiging nodig is van de rechter-commissaris, op verzoek van de officier van justitie. Ook wordt de inzet van de bevoegdheid getoetst door de Centrale Toetsingscommissie, een adviesorgaan binnen het Openbaar Ministerie. Er komen strikte waarborgen met betrekking tot bescherming van de persoonlijke levenssfeer naar aanleiding van het advies van de Raad van State. De gekozen lijn lijkt dus wel meer en meer te veranderen richting het burgervriendelijke wetsvoorstel, in plaats van een algehele hackbevoegdheid.
“Dat je verdachte bent, wil nog zeker niet zeggen dat je ook daadwerkelijk strafbaar bent.” Met dit in het achterhoofd zullen kort de voor en nadelen van het nieuwe wetsvoorstel besproken worden. Voordelen van de hackbevoegdheid van de politie zijn uiteraard het vroegtijdig kunnen achterhalen van snode plannen van criminelen. Het zal zowel preventief als ten tijde van een uiteindelijke veroordeling enorm gunstig kunnen uitpakken. Preventief omdat iedereen die weet dat hij in de gaten gehouden kan worden, steeds moeiliker kan handelen en daardoor eerder afhaakt. Psychologisch min of meer vergelijkbaar met flitsers op een snelweg. Als je weet dat je makkelijker gepakt kan worden, weerhoudt het mensen van bepaald gedrag. Echter zal ook de opsporing en bewijsvergaring na een reeds gepleegd misdrijf veel soepeler gaan, daar tegenwoordig zo ontzettend veel gegevens op computers/smartphones verzameld zijn, denk aan gesprekken, locaties, mails, zoekgegevens etc. De nadelen zijn ook juist de redenen waarom het wetsvoorstel nog steeds zo omstreden is. Met bovenstaande grenzen is er natuurlijk pas een recht om te hacken indien aan alle voorwaarden voldaan is, maar wanneer ben je officieel verdachte van een strafbaar feit van acht jaar of meer? Dat je verdachte bent, wil nog zeker niet zeggen dat je ook
daadwerkelijk strafbaar bent. Niemand zit er op te wachten dat hij of zij constant in de gaten gehouden wordt, een agent die mee kan kijken wat voor appjes jij in een groepsapp gooit. Hoe zit het met de opslag van alle gegevens die doorgespit worden? Het lijkt ons dat daar tevens erg sterke beveiligingsmaatregelen voor getroffen mogen worden. Al met al lijkt het erop dat er een steeds betere middenweg gevonden wordt door alle politici. Het doel is in ieder geval een nobel streven, want weet ook dat criminelen jou ook kunnen treffen. Wat dat betreft is het, zoals zo vaak, een afweging tussen privacy en de dagelijkse veiligheid. De voorwaarden lijken ons inmiddels behoorlijk genoeg, mits juist toegepast. Hoe denk jij over de nieuwe hackbevoegdheden van de politie? Mee doorgaan, stoppen, versoepelen of juist aan hele zware voorwaarden onderwerpen?
22
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Agenda April - 29 april excursie Agentschap Telecom Mei - 12 mei Meiborrel - 13 mei Masterclass Brinkhof - 20 mei Masterclass Hoyng Rokh Monegier - 24 mei Actieve Leden dag Juni - 2 juni Overdrachts ALV
23
LISA E-magazine - strafrecht en ICT
vrijdag 29 april | jaargang 2 | editie 3
Nawoord Elk magazine proberen wij er weer een feestje van te maken. Niet alleen voor ons als redactie, maar ook voor jullie als lezers. We zouden graag willen weten of dat dit magazine is gelukt en daarom vragen we jullie om feedback. Zouden jullie een berichtje willen achterlaten op onze Facebook pagina?
Facebook! Ons feestje is in ieder geval gelukt. Tot het volgende (en tevens laatste) magazine. De redactie, Marloes Teunissen (voorzitter) Ruben Verweij (secretaris) Max Landkroon (layout) Sanne van Rees (redacteur) Sven Oonk (redacteur) Sadaf Zamani (redacteur)
24