NL EN
  • Home»
  • Weblog »
  • Hackvoorstel “Computercriminaliteit III” naar Raad van State – wordt ethisch hacken strafbaar?

Hackvoorstel “Computercriminaliteit III” naar Raad van State – wordt ethisch hacken strafbaar?

Het wetsvoorstel “Computercriminaliteit” is deze week voor advies naar de Raad van State gestuurd. In het wetsvoorstel wordt onder meer een nieuwe bevoegdheid voor politie en het openbaar ministerie geïntroduceerd, die hen de mogelijkheid moet bieden om op afstand onderzoek te doen in ‘geautomatiseerde werken’. Volgens Bits of Freedom is het wetsvoorstel een onzalig plan, omdat de noodzaak voor dit wetsvoorstel onduidelijk is en de essentiële waarborgen ontbreken. Vanaf deze weblog wil ik met name de aandacht vestigen op de voorgestelde strafbaarstelling van het wederrechtelijk overnemen van niet-publieke gegevens en de daarmee samenhangende strafbare ‘heling’ van gegevens die door een misdrijf zijn verkregen.

 

Deze strafbaarstelling heeft gevolgen voor zogenaamde ethische hackers. Ethische hackers opereren veelal vanuit de overtuiging dat een bedrijf de beveiliging van zijn IT-systemen op orde dient te hebben. Wanneer een ethische hacker een kwetsbaarheid aantreft in een IT-systeem, wordt dit op een verantwoordelijke manier gemeld bij dat bedrijf. Responsible disclosure, wordt dit dan genoemd: de hacker meldt zich netjes bij het bedrijf en meldt de details van de kwetsbaarheid.

 

Een probleem wat zich hier voordoet is dat een dergelijke melding niet door alle bedrijven even serieus genomen wordt. De praktijk is dat de verantwoordelijke IT-afdeling immers zelf niet snel zal toegeven dat de beveiliging niet op orde is. Een slager zal ook niet snel zijn eigen vlees afkeuren. Het overnemen van enkele gegevens uit een slecht beveiligde database, om zo te kunnen bewijzen dat een systeem echt lek is, komt dan veel voor.

 

Strikt genomen pleegt de hacker al een strafbaar feit door zonder toestemming het IT-systeem binnen te dringen. Volgens de regering wordt die strafbaarheid niet weggenomen door het enkele feit dat de hacker de kwetsbaarheid op verantwoorde wijze meldt. Met dit wetsvoorstel zou ook het overnemen van niet-openbare gegevens – en zelfs het voor handen hebben van deze gegevens – strafbaar worden. Dit zet ethische hackers voor het blok. Neem je (enkele) gegevens over om zo te kunnen bewijzen dat een systeem lek is, dan pleeg je dus een (extra) strafbaar feit. Zonder het overnemen van de gegevens heb je geen bewijs en word je misschien niet serieus genomen.

 

Ik wil voorop stellen dat ik het een logische ontwikkeling vind om het voor handen hebben van gegevens die op criminele wijze zijn verkregen in beginsel strafbaar te verklaren. De omstandigheden waaronder die gegevens zijn verkregen, zijn naar mijn mening echter wel essentieel. Een (niet-ethische) hacker die een database hackt met als oogmerk de daarin opgeslagen creditcardgegevens buit te maken zou anders beoordeeld moeten worden dan een ethische hacker, die – geheel volgens de normen van responsible disclosure – zonder crimineel oogmerk een kwetsbaarheid wil melden bij een bedrijf.

 

In het wetsvoorstel is naar mijn mening onvoldoende rekening gehouden met deze omstandigheden, en het voorgestelde artikel biedt daarnaast weinig ruimte aan rechters om de omstandigheden van het geval te verdisconteren in hun oordeel. Tot slot nog een interessante gedachte: waarom is het eigenlijk wel strafbaar om een pertinent onveilig systeem binnen te dringen, maar is het niet strafbaar om je IT-systemen slecht te beveiligen? Met een onveilige auto mag je toch ook niet de weg op?



PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIES (6)

Marc donderdag 27 februari 2014 09:15

Bij ons in het dorp woont een groep inbrekers die overal aan deuren en ramen voelt. Vervolgens lopen zij naar binnen en melden dan heel beleefd dat deuren en ramen beter beveiligd hadden moeten zijn. Zij dragen een witte cap en noemen zich legale inbrekers. Ik heb daar toch wat moeite mee en neig er naar dit toch wel erg strafbaar te vinden.

Micha Schimmel donderdag 27 februari 2014 09:19

Hi Marc,
Dank voor je reactie. Ik ben het helemaal met je eens. Voor mij wordt het anders wanneer het niet gaat om jouw privéhuis wat niet goed beveiligd is, maar om de IT-systemen van een bedrijf waar je jouw persoonlijke gegevens aan toevertrouwd hebt.

Nog 's donderdag 27 februari 2014 09:24

Nav "Met een onveilige auto mag je toch ook niet de weg op?"; dat mag inderdaad niet. Maar suggereert SOLV nu dat iedereen met een witte cap, auto's zonder toestemming van de eigenaar aan een technisch onderzoek mag onderwerpen? Daar hebben we toch de autoriteiten voor?

BB donderdag 27 februari 2014 09:28

Iedereen mag een auto aan de buitenkant op enige delen van de technische staat inspecteren, doen de lampen het als ze aan staan, hangt de uitlaat los (en is die uberhaubt wel aanwezig), zijn de banden geen spekgladde sliks enzovoort. Je kunt daarna een eigenaar aanspreken op de gevonden gebreken. De meeste eigenaren vinden het zelfs een beetje prettig als je ze meld dat hun remlichten stuk zijn bijvoorbeeld. En je mag zelfs de politie ervoor bellen als je het niet fijn vindt.

Tsja donderdag 27 februari 2014 09:44

Dag Mischa, de beveiliging van dergelijke privé gegevens vallen onder de WBP en bijbehorende (extreme) sancties. En het CBP ziet toe op de naleving daarvan c.q. de mogelijk boetes motiveren, los van intrsinsieke motivatie, tot bescherming van de gegevens. Bedrijven doen er verstandig aan hun beveiliging te laten testen; maar dan wel onder hun regie. Anders kan het middel erger zijn dan de kwaal. Mensen moeten gewoon afblijven van gegevens die niet van hen zijn. Dat is de basisregel. Als m'n achterdeur openstaat is dat geen legitimatie voor het jatten van m/n spulleboel., noch pleeg ik zelf daarmee een strafbaar feit. ;-)

antonijn donderdag 27 februari 2014 10:16

Toch blijft het zo dat autoriteiten een plicht hebben informatie veilig op te slaan, en dat zou niet alleen door autoriteiten gecontroleerd moeten kunnen worden: dan ben je nog steeds nergens zeker van. Autoriteiten moeten transparant zijn: van onderaf geïnspecteerd kunnen worden. Daarbij is het doel van deze mensen niet om in te breken bij autoriteiten, maar om dit te voorkomen. Vergelijkingen maken met auto's en inbraak blijft lastig, omdat je hier ook te maken hebt met een machtsconflict. Het gaat hier namelijk niet om burger-burger inspectie, het gaat om burger-autoriteit inspectie.

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.