Annotatie bij Macro-malware zaak

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring  van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

Cybercrime jurisprudentieoverzicht juni 2020

Drugshandel via het darkweb, witwassen van bitcoins en voorbereiden van een aanslag

Op 23 april 2020 zijn in een megazaak door de Rechtbank Overijssel 12 verdachten veroordeeld voor drugshandel via het darkweb, witwassen met bitcoins en het voorbereiden van aanslagen op de voormalige motorclub Satudarah. Het ging om de onderzoeken ‘Metaal’ en ‘Liechtenstein’ (zie ook OM persbericht en dit nieuwsbericht).

De strafbare feiten kwamen volgens het OM aan het licht toen de politie kon meelezen met de cryptofoons (PGP-telefoons) van de verdachten. Het OM kreeg met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van een server met PGP-berichten in handen, dat de Nederlandse politie vervolgens op inhoud heeft onderzocht. De Britten hebben op basis van eigen bevoegdheden en met medeweten van een ander bedrijf, de chatberichten onderschept, ontsleutelt en vervolgens die chatberichten doorgeleid naar de Nederlandse autoriteiten (zie Rb. Overijssel 23 april 2020, ECLI:NL:RBOVE:2020:1587, r.o. 4.2).

De rechtbank Overijssel overweegt met betrekking tot het onderzoek Metaal dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd heeft bezig gehouden met omvangrijke drugshandel. Ook werden drugs geproduceerd en vond uitvoer van verdovende middelen naar het buitenland plaats. Zij maakten bij die handel en export onder meer gebruik van het “zogenoemde Darkweb” en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes. Het is jammer dat in deze uitspraak de namen van de desbetreffende darknet markets zijn geanonimiseerd.

De betaling voor de drugs vond plaats in Bitcoin. De politie heeft ook een pseudokoop van drugs op een darknet market uitgevoerd in de zaak ECLI:NL:RBOVE:2020:1587. Ook is het interessant te lezen hoe de politie op basis van de accountnaam van de verdachte als verkoper op drugsforum en de PGP-sleutel, de activiteiten op verschillende darknet markets heeft getraceerd. Ook wordt opgemerkt hoe bepaalde websites niet meer online waren, maar door de politie ‘konden worden bekeken, omdat het Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld’ (r.o. 4.4.3.8). De link met de verdachte en de geldtransacties konden worden vastgelegd op basis van de inhoud van de chatgesprekken, de observaties door de politie van verdachten en de door de politie gemaakte analyse met het programma ‘Chainalysis’ van de geldwissels (r.o. 4.5.3.1)

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachten vormden op basis van gelijkwaardigheid een samenwerkingsverband, volgens de rechhtbank. De taken waren en werden in overleg verdeeld. Zij communiceerden daarover met elkaar – en met onbekend gebleven derden – door middel een communicatieapp ‘Ironchat’. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen voor bijvoorbeeld Duitsland, Australië en de Verenigde Staten. Vier mannen krijgen voor de drugshandel via het darkweb, witwassen en deelname aan een criminele organisatie 7 jaar gevangenisstraf opgelegd.

In het onderzoek Liechtenstein ging het ook om internationale drugshandel en witwassen via bitcoins. De verdachten zijn geïdentificeerd door de accounts te koppelen van de verdachten die via de PGP-telefoon of laptops via de applicatie Ironchat met elkaar chatten over het voorbereiden van een aanslag. Twee van de zes verdachten planden meerdere aanslagen op motorclub Satudarah in Enschede. Zij dachten namelijk dat de voormalige motorclub hen had verraden bij de politie, nadat de politie een inval had gedaan bij het Enschedese drugspand. Ook verhandelden de groep XTC-pillen, methamfetamine, cocaïne, heroïne en LSD via sites, zoals ‘Rolex’, ‘Flamingo’, ‘Snapdrugz’, ‘AliExpress’ en ‘Vendor’ op het Darkweb. Via die sites zijn drugsorders uit onder meer Polen, Zweden, Duitsland en Australië bij de groep geplaatst (ECLI:NL:RBOVE:2020:1559, r.o. 4.3.3.1).

Teruggave van bitcoins en waardebepaling

Op 5 oktober 2016 werd een verdachte veroordeeld voor het stelen van elektriciteit ten behoeve van bitcoinmining. Op een van de inbeslaggenomen computers worden 127,3 bitcoins aangetroffen. Na synchronisatie van de wallet met internet blijken er een half jaar 585,5 bitcoins te zijn bijgeschreven, maar de link met de bewezenverklaarde diefstal van elektriciteit ontbreekt. De tegenwaarde van de inmiddels vervreemde bitcoins dient te worden uitgekeerd aan de verdachte, zo beslist het Hof te Den Haag (Hof Den Haag 24 oktober 2018, Computerrecht 2019/54, ECLI:NL:GHDHA:2018:2821, m nt. N. van Gelder). Daarbij sloot het hof kort gezegd aan op de gemiddelde koerswaarde van Bitcoin ten tijde van de inbeslagname. Het middel klaagt over het feit dat niet de bitcoins teruggegeven worden en subsidiair dat de waardebepaling niet klopt. De Hoge Raad verwerpt het beroep (HR 12 mei 2020, ECLI:NL:HR:2020:845).  

De (juridisch complexe) conclusie bij het arrest (ECLI:NL:PHR:2020:249) AG Bleichrodt is met name interessant, omdat daar is te lezen dat ‘de waardebepaling niet aan de rechter is’. ‘Tegen die achtergrond heeft het hof met zijn overwegingen over de waardebepaling van de 585,48591218 bitcoins waarop de last tot teruggave betrekking heeft, blijk gegeven van een onjuiste rechtsopvatting.’ De teruggave van de bitcoins is in dit geval feitelijk niet meer mogelijk. De ‘bewaarder’ dient volgens de AG over te gaan tot uitbetaling van in beginsel de prijs die de bitcoins bij verkoop door hem hebben opgebracht (r.o. 23).

Hoge Raad arrest over bezit kinderporno

Op 12 mei 2020 heeft de Hoge Raad een belangrijk arrest (ECLI:NL:HR:2020:799) gewezen over de vraag of kinderpornoafbeeldingen in een cloudopslagruime (Microsoft’s Skydrive) kwalificeert als ‘bezit’ van kinderporno (zie met name r.o. 2.3.2-2.3.3).

De Hoge Raad beslist dat bezit een fysieke connotatie heeft en mede daarom kinderporno in opslagruimte niet kwalificeert als bezit van kinderporno. Destijds is ‘toegang verschaffen’ tot kinderpornografisch materiaal ook strafbaar gesteld met de overweging dat ‘de voorgestelde aanscherping van artikel 240b Sr biedt een ruimer bereik en vormt een nuttig en wenselijk vangnet voor gevallen die mogelijk niet onder de strafbaarstelling van «bezit» zouden kunnen worden gebracht’ (Kamerstukken II 2008/09, 31810, nr. 3, p. 3-4). Overigens adviseerde AG Knigge in de conclusie bij het arrest dat het beter was gewest afbeeldingen zelf ten laste te leggen in plaats van de gegevensdrager (ECLI:NL:PHR:2020:139, r.o. 4.6.3).

Zie ook deze annotatie van Michael Berndsen (de @cyberadvocaat) over dit arrest op Bijzonderstrafrecht.nl.

E-book over digitaal kinderpornografisch materiaal

Het Kenniscentrum Cybercrime van het Hof Den Haag heeft een informatief boek (.pdf) uitgebracht over de strafbaarstelling van kinderpornografie in artikel 240b Sr. Het boek is geheel geactualiseerd en zeer uitgebreid. Door het in open access beschikbaar te stellen kan ook buiten de rechtspraak van deze kennis gebruik worden gemaakt.

A. Kuijer, J.W. van den Hurk & S.J. de Vries, Artikel 240b Sr. Juridische en digitaal-technische aspecten van strafvervolging wegens gedragingen met digitaal kinderpornografisch materiaal, Kennis Centrum Cybercrime 2020, Rechtspraak.nl

AI, strafrecht en het recht op een eerlijk proces

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf).

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

Grenzen stellen aan datahonger

Gisteren (16 november 2020) mocht ik mijn oratie houden getiteld: ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’ (.pdf). Die ochtend kreeg mijn oratie ook de aandacht in een mooi bericht van de Volkskrant, waarin mijn pleidooi wordt beschreven voor een aanpassing van de informantenbevoegdheid. Daarbij stel ik dat de huidige regeling voor de informantenbevoegdheid onvoorzienbaar is en met onvoldoende waarborgen is omkleed, voor zover het gaat om het verzamelen van bulkdatasets.

Verder leg ik mijn oratie uit hoe de Wet op de inlichtingen- en veiligheidsdiensten in de loop der jaren is ontwikkeld en steeds complexer is geworden. Ik vind het goed dat de Commissie-Jones-Bos in hun evaluatie van Wiv 2017 ook aandacht hebben voor de vraag of de wet voldoende werkbaar is en wat er mogelijk gewijzigd moet worden om het werkbaar te houden. Tegelijkertijd blijf ik de komende vijf jaar dat ik mijn leerstoel mag bekleden scherp op eventuele uitbreidingen van bevoegdheden van de AIVD en de MIVD.

Ten slotte maak ik duidelijk dat mijn onderzoek zich ook richt op het verwerken van inlichtingen door andere instanties, zoals de politie, de NCTV, de FIOD en particulieren. Daar heb ik uiteraard ook de hulp van andere onderzoekers en auteurs bij nodig. Ik kijk er naar uit de komende jaren mijn bijdrage te leveren op het gebied van ‘Inlichtingen en Recht’.

Basisboek Cybercriminaliteit

In het najaar van 2019 staken enkele criminologiedocenten hun koppen bij elkaar en vatten het plan op een boek te schrijven over cybercriminaliteit ten behoeve van het onderwijs. Dat leidde uiteindelijk tot het Basisboek Cybercriminaliteit van Wytske van der Wagen, Marleen Weulen Kranenbarg en mijzelf. Ook hebben enkele andere auteurs aan het boek meegewerkt en vanuit hun eigen expertise een mooie bijdrage geleverd. Het boek is vanaf 29 oktober 2020 verkrijgbaar via de website van Boom Uitgevers (met hoofdstuk 1 als voorproefje) of te bestellen via bol.com (37,50 euro).

In ons onderwijs over Cybercriminaliteit merkten we dat steeds een samenraapsel van artikelen en andere stukken bij elkaar moesten zoeken. Een samenhangend, actueel en overzichtelijk verhaal ontbrak. Dat is voor ons het motief geweest dit boek te schrijven. Het boek (300+ pagina’s) biedt inzicht in de verschillende verschijningsvormen en kenmerken van cybercriminaliteit, strafbaarstellingen, daders, slachtoffers, onderzoeksmethoden voor het online domein, het opsporingsproces en mogelijke interventies.

Persoonlijk ben ik in mijn nopjes over het eindresultaat! Het boek verschaft een uitstekend overzicht van de wetenschappelijke kennis op criminologische en juridisch gebied over cybercriminaliteit. Hoofdstuk 3 en Hoofdstuk 7 – die ik zelf hoofdzakelijk heb geschreven (ook op basis van eerder werk) – verschijnen beiden over één jaar in open access.

De combinatie van (inleiding van) techniek, criminologie en rechten werkt heel goed en ik ga het zeker gebruiken in mijn eigen (gast)colleges en cursussen. Verder wordt het in ieder geval dit jaar al gebruikt voor onderwijs op verschillende universiteiten, zoals de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit Leiden. Ik ga het uiteraard ook promoten bij mijn collega’s aan de Universiteit Utrecht.

Feedback is altijd welkom, dus jullie kunnen mij daarover altijd mailen. Wie weet verschijnt er t.z.t. wel een tweede druk!

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak. De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Cybercrime jurisprudentieoverzicht oktober 2020

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.  

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Death by ransomware

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.

National security and the processing of personal data

On 10 October 2018, ‘Convention 108’ of the Council of Europe regarding the ‘automatic processing of personal data’ (1985) was updated. Convention 108+ now explicitly incorporates the processing of personal data in a national securitycontext. The Netherlands signed Convention 108+ on 10 October 2018 and is now in the ratification process.

Surprisingly, Convention 108+ did not gain much attention yet. For the Netherlands, the treaty may bring changes to current legislation, because it provides more stringent regulations for the processing of data in a national security context and possibly provides for broader powers for oversight authorities.

Processing data in a national security context within the EU
Convention 108+ contains basic principles and provisions for processing personal data, as well as standards regarding oversight mechanisms and the international transfer of data. Many provisions are similar to the General Data Protection Regulation (GDPR).

However, the GDPR does not apply to national security and intelligence agencies. The European Union (EU) has no competence to regulate national security law for EU Member States. As a result, regulations for processing data in a national security context differ across the EU.

Convention 108+ may bring more harmonisation of the regulations for processing personal data and oversight mechanisms. The treaty enters into force on 11 October 2023 if there are 38 Parties to the Protocol amending Convention 108. So far, 36 States have signed the new Convention but only six have ratified.

Stricter regulations for processing data
Convention 108+ encompasses many basic principles of data processing, such as the principle of processing data (a) for specified and legitimate purposes; (b) adequate, relevant and not excessive in relation to the purposes for which they are stored; (c) accurate and, where necessary, kept up to date; and (d) no longer stored than necessary (see article 5 of Convention 108+). In addition, categories of sensitive data are identified (and updated in the new protocol) and data subjects gain certain rights (such as the right to be informed and the right to request rectification when informed).

In a national security context (similar to a law enforcement context) some principles do not apply or apply differently, such as the right to be informed of data processing and limitations to the notification principle. It is understandable, that some limitations to the notification principle apply. For instance, when so-called ‘targets’ (in a national security context) or ‘suspects’ (in a law enforcement context) are informed about the processing of their data, they know they are of interest to these national authorities and may then change their behaviour to continue their harmful activities without being detected.

The updated Convention 108+ strengthens the data processing regulations in a national security context. For example, the new Convention does not differentiate levels of protection afforded to a State’s own citizens or foreigners with regard to transborder flows of personal data (adjusted in article 14 of Convention 108+). Some States do apply this differentiation in their national security legislation. In addition, compared to Dutch legislation for national security and intelligence services, the Convention entails a broader definition of ‘sensitive data’, for which stricter regulations apply to process this type of data.

Oversight powers
Convention 108+ may bolster supervision of data processing activities in a national security context. Some oversight bodies for national security and intelligence agencies have access to data located at these agencies and some can even halt unlawful data processing activities. Convention 108+ demands that oversight bodies for data processing activities are independent (similar to the judiciary or a judicial body) and effective. Based on article 15 and 16 of the Convention, to be effective an oversight body must have the power to intervene, such as the possibility to halt data processing activities or even order that unlawfully processed data be deleted.

The new Convention allows for limitations to these far reaching powers in the field of national security and defense, provided that it is done ‘by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfill such an aim’. Granting oversight bodies such far reaching powers is a big step, because the fear of States may be that their security and intelligence services will no longer have pieces of information that may be relevant in the future to secure national security (for example to prevent a terrorist attack). However, from the perspective of protecting human rights, it can be argued that this step is part of the requirement of effective review and supervision of intelligence and security services, as interpreted in the jurisprudence of the European Court of Human Rights (ECHR) and pursued by the new Convention 108+.

Now what?
What does this mean for processing personal data for the purpose of national security? For the Netherlands, it means the provisions of Convention 108+ must be implemented in national law. This requires some changes, for example with regard to the aforementioned category of ‘sensitive data’. In addition, the Dutch oversight body for intelligence and security services does not have the binding power to intervene in unlawful data processing activities. The Dutch government must address this issue and decide which changes to law are desirable.

We welcome Convention 108+ because it brings more harmonisation to the regulations for processing data in a national security context and may strengthen oversight bodies for national security and intelligence agencies for States that ratify Convention 108+. It protects the individuals involved in the processing of personal data and provides more legal certainty with regard to the applicable rights and regulations. We look forward to contributing and monitoring the implementation of the treaty throughout the world.

Jan-Jaap Oerlemans & Mireille Hagens

This is cross post from the Montaigne Centre Blog.

Cybercrime jurisprudentieoverzicht augustus 2020

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Cybersecuritybeeld Nederland 2020

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.