Auteur jjoerlemans

Nieuwe Kamerbrief over de aanpak van kinderpornografie

jjoerlemans Een reactie plaatsen

Posted on 06/02/2012 on Oerlemansblog

27 januari 2012 heeft Minister Opstelten een brief naar de Tweede Kamer gestuurd over de aanpak van kinderpornografie. In de brief worden bestaande plannen bevestigd, zoals de nationale slachtoffergerichte aanpak en een verdubbeling van werkcapaciteit voor de bestrijding van kinderporno. Deze voornemens juich ik toe.

In dit bericht wil ik ingaan op een paar aspecten uit de brief die mij zijn opgevallen.

Alternatieve afdoeningen

Op pagina 5 wordt vrij uitgebreid ingegaan op de resultaten van de pilot ‘Initiatief Niets Doen Is Geen Optie’ (INDIGO). In de situatie waar een downloader of kijker van kinderpornografie door de politie wordt geïdentificeerd wordt namelijk soms een alternatief traject ingezet. Daarbij zal de politie met de houder van desbetreffende IP-adres of met de bewoner van de desbetreffende woning een ‘stevig gesprek’ gevoerd en krijgt de kinderpornogebruiker een waarschuwingsbrief van het OM. Dit wordt gedaan wanneer onvoldoende informatie aanwezig is een opsporingsonderzoek voort te zetten. De betrokkene wordt ook geregistreerd in de politiesystemen.

Een ander alternatief traject is dat de betrokkene – nadat is vastgesteld dat deze daadwerkelijk kinderporno volgens politie en justitie in bezit had – onder toezicht van de reclasseringsdient gaat en een intensief begeleidingstraject moet volgen bij een GGZ instelling.

Om eerlijk te zijn weet ik niet goed wat ik hier nu van moet vinden. Tegen het tweede traject zie ik op het eerste gezicht minder bezwaren dan het eerste. Wel vind ik het in ieder geval belangrijk genoeg hier op te merken.

Decryptiebevel

In navolging van de Kamerbrief van 10 juni 2011 laat de minister weten wat de ervaringen zijn met het decryptiebevel uit het Verenigd Koninkrijk. In het VK wordt het bevel per saldo positief gewaardeerd. Daarom is de minister van oordeel dat een vergelijkbare regeling ‘met een positieve grondhouding’ moet worden benaderd. Op zich vind ik het niet verassend dat  opsporingsambtenaren het een ‘nuttig instrument’ vinden de verdachte te verplichten gegevens voor opsporingsambtenaren weer leesbaar te maken. Het decryptiebevel staat echter wel in spanning met het nemo tenetur-beginsel zoals vervat in artikel 6 EVRM. Een verdachte hoeft in beginsel niet mee te werken aan zijn eigen veroordeling. Terecht merkt de minister op dat de regeling uit het Verenigd Koninkrijk niet is voorgelegd aan het Europees Hof voor de Rechten van de Mens en nader onderzoek wenselijk is.

Opmerkelijke potentiële maatregelen uit het barrièremodel

In het barrièrmodel kinderporno is het kinderpornografieproces in beeld gebracht. Daarbij wordt aangegeven op welke manieren op welk moment kan worden ingegrepen om kinderporno te bestrijden. Daarbij gaat het niet alleen om juridische maatregelen. In het ‘Actieplan aanpak kindermishandeling 2012-2016’ worden de interventies die eenvoudig en op korte termijn in te voeren zijn verder uitgewerkt. Het is onduidelijk welke dat precies zijn. Voorbeelden van interventies die directe of korte termijn kunnen worden uitgevoerd zijn: het runnen van informanten en toepassing wet bijzondere opsporingsbevoegdheden, ontwikkelen van protocol met creditcardmaatschappijen voor blokkering na aankoop kinderporno, standaard inbeslagname van gegevensdragers bij zedendelicten en het uitbreiden van digitale wijkagenten voor monitoren op websites voor kinderen.

Bij de middellange implementatietermijn wordt gedacht aan: het signaleren en melden van bepaalde zoektermen en taalgebruik door samenwerking met providers en social mediawebsites, remotebeheer: stelselmatig checken en / of beperken wat veroordeelde zedendelinquent met minderjaren online doet (monitoring), informatie uitwisselen door Openbaar Ministerie aan B&W m.b.t. veroordeelde zedendelinquenten in gemeente en verhuisberichten doorsturen, database veroordeelde zedendelinquenten beschikbaar stellen door organisaties die met kinderen werken t.b.v. screening kandidaten, zedenvolgsysteem en onder toezicht stellen van veroordeelde zedendelinquenten met minderjarigen.

Bij sommige maatregelen staat een vraagteken en dat zijn dan ook wel de meest opmerkelijke. Veel van die maatregelen vind ik héél curieus. Zie bijvoorbeeld: verstoren van peer-to-peer netwerken door aanmaken van nepaccounts, verspreiden of aanbieden van kinderporno met virussen, versturen van e-mailbom naar verdachte, en de uitsmijter: ‘cookies op kinderpornosites plaatsen dat de politie meekijkt, IP-adres registreert en doorverwijzing naar ‘Stop it now’ of afsluiten van net-kp pagina maken’.

Wel wordt hierover opgemerkt: “Deze interventies zijn overigens gebaseerd op de input van de diverse deelnemers aan de brainstormsessies en weerspiegelen niet direct de voorziene koers vanuit het PVAKP/de politie. Bij een aantal van de genoemde interventies zijn in dit stadium nog vraagtekens te plaatsen voor wat betreft de haalbaarheid en werkbaarheid, bijvoorbeeld in verband met juridische kwesties en digitale consequenties”. Hmm, dat er nog vraagtekens bij te plaatsen zijn vind ik wel een understatement..

Filter bij Leaseweb

Tenslotte nog een enkele opmerking over de filterdienst van Leasweb. Mede gezien mijn functie bij Fox-IT vind ik het niet gepast op mijn blog uitgebreid in te gaan op de brief van Bits of Freedom waarin wordt gesteld dat de kinderpornofilter bij Leaseweb in strijd zou zijn met het recht op privacy en de vrijheid van meningsuiting. Wel wil ik nog opmerken dat een filterdienst waarvan bedrijven gebruik kunnen maken om kinderporno op hun websites tegen te houden volgens mij gewoon legitiem is.

Het ‘einde’ van een ongefilterd internet?

jjoerlemans Een reactie plaatsen

Posted on 15/01/2012 on Oerlemansblog

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. Een kleine waarschuwing vooraf: ik kies geen duidelijk partij voor of tegen blokkeringsmaatregelen, maar ik wil slechts enkele overwegingen meegeven.

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het – op dit moment – blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteunt en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen laat de zaak het handhavingstekort op internet duidelijk zien. Zelfs na civiel en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-sites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muis spel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de website bij access providers te doen blokkeren. De stichting blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay blijft in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier blijft de norm duidelijk waar aan mensen zich moeten houden. Met wetten wordt een bepaald doel nagestreefd. Handhavende instanties zullen met betrekking tot internet redeneren dan wanneer blijkt dat het niet goed mogelijk is door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door de intermediaren te reguleren.

Mensen vergeten nog al eens dat de beheerders van The Pirate Bay in het binnen- en buitenland reeds verschillende malen zowel civiel- als strafrechtelijk zijn veroordeeld.

Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, gestolen persoonsgegevens of creditcards, het aansturen van malware, etc. Niet alle illegale websites rechtvaardigen een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat de illegale activiteiten door kunnen gaan toevallig omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat dit de ‘aard van het internet’ wordt veranderd? Ook nu worden spam en IP-adressen door internet providers toch soms geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt er wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn.

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om (wederom) kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert (en beslissingen neemt) in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de zorgvuldigheid van de handhavende particulieren en autoriteiten.

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filterverplichting voorbij gekomen. Op dit moment kunnen opsporingsambtenaren – net als iedereen – slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Belangrijk in de context van dit bericht is dat het Notice and Take Down bevel ook aan acces providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. Dit komt in essentie neer op een filterverplichting à la The Pirate Bay. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook de Notice and Take Down maatregel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar duidelijk een signaal wordt gegeven dat blokkeringsmaatregelen door internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden verwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover een DNS-filter, omdat het het ‘open internet’ bedreigt. In het Kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is in December 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden.

Tenslotte kan nog worden gewezen over te nemen filtermaatregelen in verband met illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kanspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en hier over Frankrijk. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door rechters blijkbaar al afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en de maatregel voor het ene delict is misschien meer te zeggen dan voor het andere. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we dat in toenemende mate via internet providers willen doen.

Van belang is dat we zeer kritisch naar dergelijke maatregelen kijken, omdat het de internetbeleving van burgers anders maakt en het internet op termijn er wellicht door versplinterd raakt. Wat mij betreft kunnen de maatregelen alleen als ultimum remdium, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen.

Eerste Cyber Security Beeld Nederland gepubliceerd

jjoerlemans Een reactie plaatsen

Posted on 28/12/2011 on Oerlemansblog

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld.

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren.

Brief minister
De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader
Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt

Bijzondere opsporingsbevoegdheden
In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld.
Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie
Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking
Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum
Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;
2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;
3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad
De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn.

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie
Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen.

Nieuwe aanpak van kinderpornografie

jjoerlemans Een reactie plaatsen

Posted on 13/07/2011 op Oerlemansblog

De minister van Veiligheid en Justitie heeft per brief op 10 juni 2011 de Kamer bericht over de aanpak van kinderpornografie met betrekking tot de toezeggingen die zijn gedaan in het Algemeen Overleg van 17 mei 2011. Het nieuwe beleid is voor een groot deel gebaseerd op het rapport ‘Kinderporno aangepakt’ van de politie. Wel gaat Opstelten in de brief nog uitgebreid in op de strafbaarstelling van virtuele kinderpornografie en het afgeven van een ontsleutelbevel aan de verdachte. In dit bericht wordt ingegaan op de juridische aspecten met betrekking tot de nieuwe aanpak van kinderpornografie.

Focusverschuiving

Volgens de minister moet ‘de impact en het effect van de aanpak op de slachtoffers van seksueel misbruik centraal komen te staan en niet de omvang van de output van de verwerking van de werkvoorraad van de politie’. Om dat effect te bewerkstelligen wordt het politiebestel dat zich bezighoudt met de bestrijding van kinderpornografie drastisch gereorganiseerd.

De organisatie moet per 1 januari 2012 bestaan uit een nationale unit dat zich o.a. bezighoudt met innovatie en specialistische taken (zoals techniek, internetsurveillance, werken-onder-dekmantal, etc.), opsporing op internet van kinderpornografiezaken (o.a. bijdrage aan internationale zaken), en relaties met derden zoals buitenland (intake in/uit en samenwerking met Europol en Interpol) en private partijen. De 10 regionale units moeten zich bezighouden met de bestrijding van misbruik door identificatie van Nederlandse slachtoffers, bestrijden van productie, verspreiding en downloaden van kinderporno, en doorrechercheren (rapport ‘Kinderporno aangepakt’, p. 20 e.v.).

Deze nieuwe organisatie moet een focusverlegging naar pleger, producent en (commercieel) verspreider van kinderpornografie en het achterhalen van slachtoffers beter bewerkstelligen. Toch merkt de Minister in de brief op: “Uw Kamer heeft terecht aangegeven dat bij de focusverlegging aandacht voor zogenaamde downloadzaken geboden blijft en daar ben ik het mee. Daarvoor moeten wel ook andere afdoeningen worden ingezet”. De Minister doelt hier op het bewerkstelligen van een ‘barrièremodel’ en het op een ‘buitenstrafrechtelijke manier afdoen’ van zaken met downloaders van kinderpornografie. Mij is nog onduidelijk wat dit precies betekent en ik kan dan ook niet inschatten in hoeverre deze maatregelen juridisch gezien door de beugel kunnen. Ook streeft de Minister na dat 25% meer kinderpornozaken in 2014 worden afgehandeld. Dit streven lijkt mij wel heel ambitieus als tegelijkertijd meer zaken met verspreiders en vervaardigers moeten worden afgehandeld in plaats van bezitters van kinderporno en daarnaast op zaken met aanwijzingen van misbruik altijd lokaal gerechercheerd moeten worden. Dat zal veel meer capaciteit en expertise kosten en ten koste gaan van het aantal zaken dat kan worden afgehandeld (zie ook p. 49 van mijn scriptie over dit onderwerp).

De capaciteit aan mensen die zich bezighouden met de bestrijding van kinderpornografie wordt verdubbeld met 75 FTE tot en met 150 FTE. Dit wordt naar verluidt geregeld door een interne herverdeling in de politieorganisatie. De capaciteitsuitbreiding en het versterken van de aanpak van kinderpornografie op nationaal niveau vind ik wenselijk en waren dan ook aanbevelingen uit mijn onderzoek in februari 2010 naar de bestrijding van kinderpornografie op internet. Zie in dat kader ook dit artikel van mij.

Vooralsnog wordt vooral reactief opgespoord na meldingen van buitenlandse politiediensten, kinderpornomeldpunten, en aangifte vanuit de burgerij door vooral onderzoeken naar seksueel misbruik en meldingen van computerreparatiebedrijven (op dit moment goed voor meer dan 1400 zaken per jaar). Het proactief opsporen van kinderporno op internet wordt in het rapport afgedaan als ineffectief (p. 12): “De focus hierop richten zou de werkvoorraad kunnen verveelvoudigen, terwijl er weinige opsporingsmogelijkheden zijn om de betrokkenen – overigens vrijwel uitsluitend – buitenlandse slachtoffers en daders op te sporen”. Ik kan mij voorstellen dat daar niet de prioriteit op ligt, maar ik denk wel de toepassing van bijzondere opsporingsbevoegdheden op internet ten aanzien van Nederlandse verspreiders in georganiseerd verband (bijvoorbeeld binnen besloten netwerken) nadrukkelijker overwogen had moeten worden. Voor mijn part is dat een onderdeel van ‘doorrechercheren’ in plaats van ‘proactief rechercheren’.

Virtuele kinderporno

Opnieuw is er in kader van de aanpak van kinderporno tot een uitbreiding van het begrip
kinderpornografie gekomen. In vrij recente wijzigingen was de leeftijd al verhoogd van 16 naar 18 jaar en sinds 1 januari 2010 is het ‘toegang verschaffen tot kinderporno’ strafbaar. Virtuele kinderpornografie werd in 2006 strafbaar gesteld door toevoeging van het zinsdeel ‘of schijnbaar betrokken’ uit artikel 240b Sr na ratificatie van een optioneel artikel in het Cybercrime verdrag. Destijds was een belangrijke reden voor de strafbaarstelling dat het OM niet meer hoefde te bewijzen dat kinderpornografie ‘levensecht’ is. Nu hoeft virtuele kinderpornografie niet meer ‘levensecht’, maar slechts ‘realistisch’ te zijn. Voldoende is dat de afbeeldingen ‘dermate realistisch zijn dat die kunnen worden gebruikt om kinderen aan te moedigen of te verleiden om deel te nemen aan seksueel gedrag of gedrag dat deel kan gaan uitmaken van een subcultuur die seksueel misbruik van kinderen bevordert. Tevens moeten die afbeeldingen onmiskenbaar en naar objectieve maatstaven bezien zijn bedoeld tot het opwekken van seksuele prikkeling of andere seksuele doeleinden.’ Dit nieuwe criterium kan worden afgeleid uit de uitspraak van Rb. Rotterdam van 31 maart 2011 (LJN BP9776).

De Minister sluit daarbij aan en verwijst naar de ratio van de strafbaarstelling van kinderporno uit het recentelijk geratificeerde verdrag van Lanzarote. De Minister merkt in de brief nog op: “Door nadruk te leggen op een ruime uitleg van de strafbaarstelling van virtuele kinderpornografie zal worden bevorderd dat meer zaken van virtuele kinderpornografie aan de rechter worden opgelegd.” Afgevraagd moet worden hoe zich dit rijmt met de focusverlegging naar verspreiders en vervaardigers van kinderpornografie en de focus op seksueel misbruik van de slachtoffers van kinderpornografie.

In een uitstekende scriptie heeft Emiel van Dongen in 2009 veel kritiek geleverd op de strafbaarstelling van virtuele kinderpornografie wegens de ‘promotie van een subcultuur van seksueel misbruik van kinderen’. Hij stelt dat meer onderzoek moet worden gedaan naar het waarheidsgehalte van de aannames rondom aanmoediging of de vorming van een markt, klimaat of subcultuur ten aanzien van virtuele kinderpornografie. Moerings waarschuwde bovendien al in 2003 de overheid zich hiermee op glad ijs begeeft: “zij draagt in feite argumenten aan die ook benut kunnen worden om pornografie, waar volwassenen zijn betrokken, onder de werking van de het strafrecht te brengen. Hiermee krijgt zij mogelijk inmiddels bejaarde feministen uit de jaren zeventig achter zich, die zich keerden tegen pornografie waarin de vrouw als lustobject werd afgebeeld en die de weg naar seksuele onderdrukking en uitbuiting verder open zette.” (M. Moerings, ‘Virtuele kinderporno’,  Ars Aequi 2003, p. 29).

Onduidelijk is waar nu de grens ligt van virtuele kinderpornografie. In het verleden kon nog gezegd worden dat strips, tekeningen, cartoons en schilderijen uitdrukkelijk buiten de strafbaarstelling vielen. Nu niet meer. Vallen bijvoorbeeld de typisch Japanse sekscartoon-video’s  (‘Hentai’) nu onder kinderpornografie? Dit komt niet ten goede aan de rechtszekerheid.

Ontsleutelbevel verdachte

Tijdens het Algemeen Overleg van 17 mei 2011 heeft Kamerlid Van Toorenburg van de CDA-fractie gepleit voor wetgeving die voorziet in mogelijkheden om verdachten in kinderpornozaken te verplichten om versleutelde gegevens op gegevensdragers die in beslag zijn genomen, toegankelijk te maken. Daarbij werd verwezen naar artikel 49 van de Regulation of Investigatory Powers Act 2000 uit het Verenigd Koninkrijk. De verdachte mag een ontsleutelbevel worden gegeven indien dat in het belang is van de nationale veiligheid, het voorkomen of opsporen van misdrijven tegen de zeden of de economische welvaart van het Verenigde Koninkrijk. Daar is een machtiging van de rechter voor vereist. De verdachte dient na de vordering de encryptiesleutel, of de ontsleutelde gegevens, te overhandigen aan de opsporingsautoriteiten. Indien niet wordt voldoen aan het bevel staat daar een maximum gevangenisstraf van 5 jaar tegenover bij misdrijven tegen de zeden (waaronder kinderpornografie) en van de nationale veiligheid. In overige gevallen bedraagt het strafmaximum 2 jaar.

In de brief zegt Opstelten toe verder in overleg te treden met het Verenigd Koninkrijk over de effectiviteit van de regeling en onderzoekt hij (terecht) tevens hoe het ontsleutelbevel zich verhoudt tot het nemo tenturbeginsel (men hoeft niet mee te werken aan de eigen veroordeling). De minister geeft aan de ervaringen in het Verenigd Koninkrijk met de bevoegdheid ‘gevarieerd’ zijn. Of de bezitter de sleutel daadwerkelijk afgeeft, is afhankelijk van de ernst van de zaak. De minister onderzoekt de wenselijkheid van de maatregel en neemt daarbij mee voor welke delicten het zou moeten gelden en welke procedurele waarborgen voor een zorgvuldige toepassing wenselijk zijn. Ook alternatieven worden overwogen en in de eerstvolgende voortgangsbrief over de aanpak van kinderpornografie worden we hier nader over geïnformeerd.

Belangrijk is te realiseren dat deze discussie niet nieuw is. Rond 1999 speelde de discussie ook en achtte de toenmalige Minister van Justitie het verplichten van de verdachte aan ontsleuteling ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding (Kamerstukken II 1998/99, 26 671, nr. 3 (MvT), p. 26). In 2000 heeft Bert-Jaap Koops een uitgebreid onderzoek gedaan naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht (B.J. Koops, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur?, Deventer: Kluwer 2000, (ITeR-Reeks, nr. 31).

Koops geeft overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare inbreuk geeft op het nemo tenetur-beginsel: “de aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem  voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem. En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen.” (Koops 2000, p. 98). Hij geeft bijvoorbeeld aan dat het OM zou moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen (Koops 2000, p. 82 en 83). Zie ook de blog van crypto-deskundige Ronald Prins over de voorgestelde maatregel.

Nu is het wel zo dat het versleutelprobleem in de laatste jaren is toegenomen. Versleuteling vormt zowel een probleem bij communicatie (bijvoorbeeld bij versleutelde VoIP-telefonie) en gegevensdragers (versleutelde harde schijven met bijvoorbeeld kinderpornografie). In het kader van de nieuwe actualiteit van de problematiek en gewijzigde jurisprudentie rond het zwijgrecht is het lastig aan te geven of de maatregel van een ontsleutelplicht aan de verdachte juridisch mogelijk is. Wel is duidelijk dat het een nogal drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy voelen geschaad. Misschien moet we op dit punt gewoon principieel zijn. Het is van Opstelten in elk geval verstandig niet overhaast de maatregel door te voeren en de effectiviteit van de maatregel goed te onderzoeken.

Persoonlijk zie ik meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’ onder de bevoegdheid van direct afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen. Het probleem daarmee is natuurlijk dat politie en justitie pas nadat de gegevensdrager in beslag genomen er achter komt dat het werk versleuteld is. In het kader van ‘niet-proactief’ rechercheren kan dat nog lastig worden!

Conclusie

Een nieuwe aanpak van kinderpornografie zou dit keer daadwerkelijk bewerkstelligd kunnen worden door de drastische veranderingen die in de politieorganisatie worden doorgevoerd. De regionale focus bij aanwijzingen van misbruik en de toegezegde focusverlegging van bezitter naar verspreiders en vervaardigers vind ik zeer terecht.

Een beetje tegenstrijdig vind ik het echter het streven naar 25% meer zaken in 2014 van de minister en de nadruk op meer vervolgingen voor virtuele kinderpornografie. Naar mijn idee kan je niet álles oppakken en moeten soms (harde) keuzes worden gemaakt. Ook had ik graag gezien dat de mogelijkheden voor het inzetten van opsporingsbevoegdheden op internet bij verspreiders van kinderpornografie die in georganiseerd verband werken nadrukkelijker werd overwogen.

Het ontsleutelbevel aan de verdachte is juridisch een lastig punt en ik hoop dat de overwegingen in de discussie rond 2000 door de regering worden meegenomen. Hopelijk vertalen de drastische maatregelen zich in een effectievere aanpak van kinderpornografie in Nederland.

Artikel Toxbot-zaak

jjoerlemans Een reactie plaatsen

Posted on 20/05/2011 op Oerlemansblog

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest is de gelijkstelling van het besmetten van computers met malware aan het delict computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van computervredebreuk op het moment dat een de besmette computer contact maakt met een command-and-control server dat een botnet aanstuurt of via een ‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr (computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en het verrichten van transacties via online betalingsdiensten als PayPal als een dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren door een DDoS-aanval wordt verstoord en mensen niet meer online transacties kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord, omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel 161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen internetbankieren bij een bepaalde bank zou artikel 161sexies óók van toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar onze mening wordt het artikel in deze variant daarom veel te extensief geïnterpreteerd.

Het arrest komt de rechtszekerheid niet ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke verwatering in het onderscheid tussen de verschillende typen delicten plaats.  

(Citeertitel: J.J. Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets’, Nederlands Juristenblad 2011, vol. 86, nr. 18, pp. 1181-1185).

High Tech Crime in de polder

jjoerlemans Een reactie plaatsen

Posted on 23/02/2011 op Oerlemansblog

Op 22 februari 2011 is het arrest (ECLI:NL:HR:2011:BN9287) van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar. 

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.