Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek.

Lees verder:

• Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime, IUS MENTIS

Rechterlijk toezicht bij opsporing van cybercrime is noodzakelijk. Daarvoor is van belang dat meer computercriminaliteit voor de rechter wordt gebracht. Dat zegt Christiaan Baardman, onderzoeker en vanaf volgende maand coördinator bij het Kenniscentrum Cybercrime van de Rechtspraak. “De manier waarop met opsporingsbevoegdheden wordt omgegaan, moet deugen”, zegt hij. “Rechterlijke toetsing is daarvoor essentieel.”

Wetsvoorstel

Minister Opstelten van Veiligheid en Justitie wil met een nieuw wetsvoorstel politie en justitie meer instrumenten geven in de strijd tegen cybercrime. Om beter aan te sluiten bij de snelle digitale ontwikkeling wil hij hen onder meer de bevoegdheid geven op afstand onderzoek te doen in computers van criminelen en gegevens over te nemen of ontoegankelijk te maken. Het voorstel is gisteren voor advies naar onder andere de Raad voor de rechtspraak en het Openbaar Ministerie gestuurd. Opsporingsinstanties maken deels al gebruik van dergelijke methodes. Tijdens een recente themadag van het Kenniscentrum Cybercrime schetste een vertegenwoordiger van het OM hoe speurders in het onderzoek naar het netwerk van Roberts M. inbraken in computers, bestanden vernietigden en een waarschuwing achterlieten dat de politie de websites in de gaten hield.

Golf

Het Kenniscentrum Cybercrime, onderdeel van het gerechtshof in Den Haag waar Baardman als raadsheer aan verbonden is, verzamelt voor rechters kennis die via een website, nieuwsbrieven, themadagen en presentaties wordt verspreid. “We hebben een cursus voor rechters opgezet en geven ook in Europees verband workshops”, zegt Baardman. “Alle cybercrime-wetgeving is gebaseerd op een Europees verdrag, maar een kenniscentrum als het onze kennen andere lidstaten niet. Wij zijn pioniers op dit gebied.” Het centrum heeft tot doel rechters goed voor te bereiden op een grote golf van cybercrime-zaken die te verwachten valt, zegt Baardman. Die blijft tot nu toe uit. “Als je ziet wat er allemaal in de krant staat over computercriminaliteit, moet je vaststellen dat wij absoluut geen gelijke tred houden. We kunnen ons er te weinig mee bemoeien als rechters.”

Snel beslissen

Ook voor het OM is het goed om te weten hoe ver de bevoegdheden reiken, vindt Baardman. “Maar het kan voor een officier ook prettig zijn om dat niet tot achter de komma te weten. Bijvoorbeeld bij het onderzoek naar het netwerk van Roberts M., waarbij rechercheurs in de krochten van internet op afschuwelijke vormen van kindermisbruik stuitten. Ingrijpen en de zaak kapot maken kan dan van groter belang zijn dan een dader veroordeeld krijgen.” Het onderzoeksteam had vooraf een machtiging gevraagd aan de rechter-commissaris. “Die moet snel beslissen, op basis van summiere en eenzijdige informatie. Een zittingsrechter zou de kans moeten krijgen dergelijke beslissingen te toetsen en rechters-commissarissen houvast te geven bij hun belangrijke taak. Over ernstige kinderpornozaken bestaat brede consensus: de kinderen moeten worden gered. Maar bij andere zaken ligt het veel ingewikkelder. Voordat je het weet zijn grondrechten als de vrijheid van meningsuiting in het geding. Hoe zouden wij het vinden als bijvoorbeeld Russische autoriteiten inbraken op onze computers om anti-Poetin teksten te verwijderen?”

Buitenlandse daders

Het grensoverschrijdende karakter van cybercrime maakt opsporing moeilijk. “Een aanval op software van de bank bijvoorbeeld is gewoon te koop op internet. Zo kan vanuit het buitenland ons hele betalingsverkeer worden ontwricht. Omdat de digitale infrastructuur hier opvallend goed is – er staan in ons land veel servers en bijna alle huishoudens maken gebruik van internet, helaas ook opvallend veel kinderpornobezitters – plegen buitenlandse daders vaak delicten in Nederland. De politie is dan bezig om zaken voor andere landen op te lossen, waarvan bij voorbaat vaststaat dat ze nooit voor onze rechter zullen komen. We zijn verplicht die rechtshulp te verlenen, dat hebben de EU-lidstaten afgesproken. Jammer is alleen wel dat onze politie veel meer onderzoeken doet voor andere landen dan andersom, en de capaciteit is toch al zo beperkt.”

Versleutelen

De politie is ook nog niet voldoende ingespeeld op digitalisering van de misdaad, maar daar komt verbetering in, weet Baardman: “Het hightech crimeteam van het KLPD wordt binnen enkele jaren verviervoudigd, van 30 tot 120 specialisten”. Intussen hebben de mogelijkheden om informatie door versleuteling ontoegankelijk te maken een enorme vlucht genomen: “Roberts M. heeft de politie zelf toegang tot zijn geheime bestanden en netwerken gegeven. Anders had het 60 eeuwen gekost om zijn codes te kraken. Daar is geen beginnen aan.”

Decryptiebevel

Het wetsvoorstel waarover nu advies wordt gevraagd, voorziet in de mogelijkheid om verdachten van kinderpornozaken of terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer. De officier van justitie kan dan een decryptiebevel geven, waarmee politie en justitie toegang krijgen tot afgeschermde gegevens. Verdachten die niet meewerken, kunnen daarvoor drie jaar gevangenisstraf krijgen. Wetenschappers twijfelen of zo’n verplichting wel zin heeft en juridisch houdbaar is, bleek tijdens de themadag; niemand is verplicht mee te werken aan zijn eigen veroordeling, luidt een belangrijk uitgangspunt in ons strafrecht.

Creatief

In afwachting van verdere ontwikkelingen zorgt het kenniscentrum ervoor dat rechters hun kennis op peil houden. “Om optimaal te profiteren van de weinige zaken die wel voor de rechter komen, proberen we hoger beroepszaken over cybercrime binnen het Haagse hof te concentreren”, zegt Baardman. “Die zaken behandelen wij als kenniscentrum zelf, op themazittingen. Van de dossiers steken we veel op. De ontwikkelingen gaan razendsnel in de haasje-over wereld van de cybercrime; zodra er een nieuwe wet is, is er alweer iets bedacht waarin de wetgeving niet voorziet. En als de politie zich op steeds ingewikkelder technieken stort, grijpen de daders juist weer terug op iets eenvoudigers. Terroristen gebruikten bijvoorbeeld gewoon e-mail om te communiceren. Ze verzonden de berichten alleen niet, maar sloegen ze op als concept. Niemand die ze zag, behalve de partner-in-crime die op een ander adres met dezelfde naam inlogde.” De creativiteit van cybercriminelen is groot: “Direct na de eerste bankenaanval werden phishingmails verstuurd die inspeelden op dat nieuws. Gebeurde dat vroeger in krom Nederlands, nu zijn die berichten niet van echt te onderscheiden - heel slim”.

Voor de rechter

Intussen drukt Baardman officieren van justitie op het hart om vooral zaken voor de rechter te brengen. “Het is best voorstelbaar en verontschuldigbaar als dat even niet gebeurt, zeker bij ernstig kindermisbruik. Maar dat moet vooral niet te lang duren. Een neveneffect is dat ook de ontwikkeling van specifieke deskundigheid van advocaten ten aanzien van cybercrime op die manier ook achterblijft. Zo passeren misschien ongemerkt dingen waar we ons allemaal eigenlijk ongemakkelijk bij zouden moeten voelen.”

Meer weten over (de aanpak van) cybercrime en alle ins and outs van het wetsvoorstel computercriminaliteit III? Kom dan naar de Studiedag Cybercrime op 14 november in Den Haag, waar - naast o.a. Bert-Jaap Koops en Wout de Natris - ook Christiaan Baardman zal spreken.

Klik hier voor meer informatie.

Om de opsporing en vervolging van computercriminaliteit te versterken neemt minister van Veiligheid en Justitie Opstelten maatregelen, die beter aansluiten bij de snelle ontwikkeling op het terrein van technologie, internet en computercriminaliteit. Bestaande wetgeving is verouderd en biedt onvoldoende mogelijkheden om bijvoorbeeld versleuteling van gegevens ongedaan te maken, illegale acties op het internet aan te pakken of kinderpornografie online te bestrijden. Dit blijkt uit een wetsvoorstel dat hij voor advies naar verschillende instanties heeft gestuurd, zoals het openbaar ministerie en de Raad voor de rechtspraak.

De bewindsman wil politie en justitie op afstand onderzoek laten doen in computers van criminelen en - indien nodig - gegevens overnemen of ontoegankelijk maken. Het betreft het zogeheten ‘onderzoek in een geautomatiseerd werk’ dat opsporingsambtenaren ruimte geeft onder strikte voorwaarden verschillende onderzoekshandelingen toe te passen bij opsporing van ernstige delicten.

Daarbij gaat het niet alleen om het ontoegankelijk maken of het overnemen van gegevens, zoals kinderpornografie of opgeslagen e-mailberichten met informatie over misdrijven, maar ook om het aftappen van communicatie of observatie. Er gelden strikte waarborgen voor de toepassing van de nieuwe bevoegdheid, zoals een voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de logging van gegevens.

Een eerdere brief aan de Tweede Kamer meldt dat de ontwikkelingen op het gebied van de cybercrime tot actie dwingen. Als criminelen bijvoorbeeld bezig zijn met behulp van botnets vitale onderdelen van de samenleving plat te leggen, moet daar beter tegen opgetreden kunnen worden, aldus Opstelten. Botnets zijn grootschalige netwerken van semi-autonoom werkende softwarerobots op ‘zombiecomputers’, die op afstand kunnen worden bediend om illegale acties uit te voeren, zoals het versturen van spam, het verzamelen van (bedrijfs)geheimen, creditcardgegevens en wachtwoorden. DDos-aanvallen en het verspreiden van malware behoren ook tot de mogelijkheden. Om een botnet onschadelijk te maken, is het noodzakelijk toegang te krijgen tot de servers die daar onderdeel van zijn. Het optreden in cyberspace kan met zich meebrengen dat gegevens ontoegankelijk worden gemaakt, ook als deze zich op een server in het buitenland bevinden. Dit kan het geval zijn als de feitelijke locatie van de gegevens redelijkerwijs niet is te achterhalen, zoals bij gegevens in de Cloud.

Bij het aftappen van communicatie hebben politie en justitie steeds meer last van versleuteling van elektronische gegevens. Op internet worden speciale programma’s aangeboden om gegevensbestanden te versleutelen. Informatiesystemen en software zijn dikwijls standaard ingesteld op versleutelde vormen van communicatie, bijvoorbeeld Gmail en Twitter. Internetgebruikers kunnen zelfs via bepaalde diensten gegevens anoniem transporteren. Dit speelt criminelen in de kaart. Weliswaar is de aanbieder verplicht mee te werken aan het ongedaan maken van versleutelde communicatie, maar daar is hij soms zelf niet toe in staat of de aanbieder is gevestigd in het buitenland. Daarom wil Opstelten dat politie en justitie bij ernstige strafbare feiten onder strikte voorwaarden kunnen aftappen op het apparaat in plaats van op de verbinding. Het onderzoek in een geautomatiseerd werk maakt dat mogelijk.

Het wetsvoorstel voorziet tevens in de mogelijkheid om verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer. De officier van justitie geeft dan een zogeheten decryptiebevel aan de verdachte. Politie en justitie krijgen dan toegang tot afgeschermde gegevens en kunnen de vervaardiging, de verspreiding en het bezit van kinderpornografie effectiever bestrijden en hulp bieden aan de slachtoffers. Ook hiervoor gelden strikte waarborgen, waaronder een voorafgaande rechterlijke toetsing. Op het negeren van een decryptiebevel van de officier van justitie staat een gevangenisstraf van maximaal drie jaar.

Verder regelt Opstelten dat heling van computergegevens strafbaar wordt. Daarmee wil hij voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen. Voor een veroordeling is het van belang dat de verdachte wist of kon vermoeden dat de bewuste informatie van misdrijf afkomstig is. In de praktijk worden regelmatig computergegevens gebruikt die door misdrijf verkregen zijn, bijvoorbeeld door hacken van een computer of door het listig afhandig maken van wachtwoorden en toegangscodes van gebruikers. Er komt een gevangenisstraf van maximaal een jaar op te staan.

• Memorie van toelichting wetsvoorstel versterking aanpak computercriminaliteit

Meer weten over (de aanpak van) cybercrime? Kom op 14 november naar de Studiedag Cybercrime in Den Haag. Klik hier voor meer informatie.

De maand april maakte wel heel duidelijk hoe kwetsbaar en afhankelijk de populariteit van digitale dienstverlening ons heeft gemaakt. Tegoeden op bankrekeningen verdwenen in de virtuele wereld als sneeuw voor de zon, internetwinkels leden naar eigen zeggen tientallen miljoenen euro’s schade omdat het betaalsysteem iDeal niet functioneerde, de KLM was uit de lucht voor wie comfortabel online wilde inchecken en ook de overheidsauthenticatiedienst DigiD werd getroffen. Oorzaak: zogenaamde Denial-of-Service-aanvallen (DoS-aanval).

De getroffen bedrijven hebben aangifte gedaan, maar de kans is klein dat de daders worden gepakt. Ondertussen zien diverse partijen zich geconfronteerd met miljoenen euro’s schade en ligt de vraag voor wie deze gaat betalen. Als het aan Eurocommissaris Kroes ligt komen de banken in beeld: “Kapitaalkrachtige partijen als banken moeten aansprakelijk gehouden kunnen worden voor schade door cybercriminaliteit.” Voormalig minister van Defensie Van Middelkoop, nu kwartiermaker voor de Cybersecurity Academy, merkte in het FD op: “Het is genant dat banken ons massaal aan het interbankieren hebben gekregen en we nu moeten constateren dat ze de zaken niet op orde hebben”. Maar de voorzitter van de Nederlandse Vereniging van Banken (NVvB), Boele Staal, liet al direct weten dat compensatie niet aan de orde is, omdat sprake is van overmacht. De banken doen ‘er alles aan’ om de dreiging te pareren. Maar wat is ‘er alles aan doen’ als het aankomt op de te nemen maatregelen om het uitvallen van (betalings)netwerken te voorkomen? Waren de genomen maatregelen – binnen de grenzen van het redelijke – wel ‘voldoende’? Dat verlangt een discussie over de vraag welke risico’s bij een DoS-aanval de aanbieder van online diensten vallen toe te rekenen en dus wanprestatie oplevert (art 6:74 BW) en in welke situaties de omstandigheden zodanig zijn dat ze een overmachtsituatie rechtvaardigen (artikel 6:75 BW)?

Lees verder:

• Zorgplichten en Cybercrime, Corien Prins (NJBlog.nl)

In een onderzoek naar grootschalige cyberaanvallen is donderdag in Spanje de 35-jarige Nederlander S. K. aangehouden. Door het Landelijk Parket van het Openbaar Ministerie was daarvoor een Europees aanhoudingsbevel uitgegeven.

K. wordt verdacht van ongekend zware aanvallen op de non-profitorganisatie Spamhaus, waar anti-spamdatabases worden beheerd. Deze zogenoemde DDoS-aanvallen werden vorige maand ook op partners van Spamhaus in de Verenigde Staten, Nederland en Groot-Brittannië uitgevoerd. De aanvallers maakten daarbij gebruik van vervalste IP-adressen.

Op verzoek van het Landelijk Parket is in Barcelona ook de woning waar K. verbleef doorzocht. Daarbij is beslag gelegd op computers, gegevensdragers en mobiele telefoons.

Het politieonderzoek in Nederland wordt uitgevoerd door het Team High Tech Crime. De aanhouding in Spanje is mede mogelijk gemaakt door bemiddeling van Eurojust, een samenwerkingsverband van justitiële autoriteiten binnen de Europese Unie.

Er zijn geen aanwijzingen dat de aanval op Spamhaus verband houdt met later ingezette cyberaanvallen op onder andere banken, het betaalsysteem iDeal en DigiD.

Naar verwachting wordt K. binnenkort overgedragen aan het Nederlandse Openbaar Ministerie.

Bron: OM