Het wetsvoorstel “Computercriminaliteit” is deze week voor advies naar de Raad van State gestuurd. In het wetsvoorstel wordt onder meer een nieuwe bevoegdheid voor politie en het openbaar ministerie geïntroduceerd, die hen de mogelijkheid moet bieden om op afstand onderzoek te doen in ‘geautomatiseerde werken’. Volgens Bits of Freedom is het wetsvoorstel een onzalig plan, omdat de noodzaak voor dit wetsvoorstel onduidelijk is en de essentiële waarborgen ontbreken. Vanaf deze weblog wil ik met name de aandacht vestigen op de voorgestelde strafbaarstelling van het wederrechtelijk overnemen van niet-publieke gegevens en de daarmee samenhangende strafbare ‘heling’ van gegevens die door een misdrijf zijn verkregen.
Deze strafbaarstelling heeft gevolgen voor zogenaamde ethische hackers. Ethische hackers opereren veelal vanuit de overtuiging dat een bedrijf de beveiliging van zijn IT-systemen op orde dient te hebben. Wanneer een ethische hacker een kwetsbaarheid aantreft in een IT-systeem, wordt dit op een verantwoordelijke manier gemeld bij dat bedrijf. Responsible disclosure, wordt dit dan genoemd: de hacker meldt zich netjes bij het bedrijf en meldt de details van de kwetsbaarheid.
Een probleem wat zich hier voordoet is dat een dergelijke melding niet door alle bedrijven even serieus genomen wordt. De praktijk is dat de verantwoordelijke IT-afdeling immers zelf niet snel zal toegeven dat de beveiliging niet op orde is. Een slager zal ook niet snel zijn eigen vlees afkeuren. Het overnemen van enkele gegevens uit een slecht beveiligde database, om zo te kunnen bewijzen dat een systeem echt lek is, komt dan veel voor.
Strikt genomen pleegt de hacker al een strafbaar feit door zonder toestemming het IT-systeem binnen te dringen. Volgens de regering wordt die strafbaarheid niet weggenomen door het enkele feit dat de hacker de kwetsbaarheid op verantwoorde wijze meldt. Met dit wetsvoorstel zou ook het overnemen van niet-openbare gegevens – en zelfs het voor handen hebben van deze gegevens – strafbaar worden. Dit zet ethische hackers voor het blok. Neem je (enkele) gegevens over om zo te kunnen bewijzen dat een systeem lek is, dan pleeg je dus een (extra) strafbaar feit. Zonder het overnemen van de gegevens heb je geen bewijs en word je misschien niet serieus genomen.
Ik wil voorop stellen dat ik het een logische ontwikkeling vind om het voor handen hebben van gegevens die op criminele wijze zijn verkregen in beginsel strafbaar te verklaren. De omstandigheden waaronder die gegevens zijn verkregen, zijn naar mijn mening echter wel essentieel. Een (niet-ethische) hacker die een database hackt met als oogmerk de daarin opgeslagen creditcardgegevens buit te maken zou anders beoordeeld moeten worden dan een ethische hacker, die – geheel volgens de normen van responsible disclosure – zonder crimineel oogmerk een kwetsbaarheid wil melden bij een bedrijf.
In het wetsvoorstel is naar mijn mening onvoldoende rekening gehouden met deze omstandigheden, en het voorgestelde artikel biedt daarnaast weinig ruimte aan rechters om de omstandigheden van het geval te verdisconteren in hun oordeel. Tot slot nog een interessante gedachte: waarom is het eigenlijk wel strafbaar om een pertinent onveilig systeem binnen te dringen, maar is het niet strafbaar om je IT-systemen slecht te beveiligen? Met een onveilige auto mag je toch ook niet de weg op?
