Het Europees Parlement heeft gisteren ingestemd met strengere straffen voor cybercriminelen. De ontwerprichtlijn, waarover informeel al overeenstemming is bereikt met de Raad, moet ook het voorkomen van cyberaanvallen makkelijker maken en samenwerking tussen politie en justitie op dit gebied te stimuleren. In geval van een cyberaanval, moeten EU-landen binnen acht uur reageren op dringende verzoeken voor hulp.

De ontwerprichtlijn schrijft voor dat EU-landen maximale gevangenisstraffen vaststellen van minstens twee jaar in het geval van illegale toegang tot informatiesystemen, manipulatie van gegevens, het onderscheppen van communicatie of het produceren of verkopen van apparatuur die kan worden gebruikt om deze strafbare feiten te plegen. Kleine voorvallen vallen buiten de richtlijn, maar het is aan elk land zelf om vast te stellen wat een "klein" voorval is.

"Botnets"

De tekst stelt een minimumstraf van drie jaar voor het gebruiken van "botnets", wat wil zeggen dat er vanaf afstand controle wordt uitgeoefend over een groot aantal computers door ze te infecteren met kwaadaardige software.

Aanvallen op kritieke infrastructuur

Aanvallen tegen "kritieke infrastructuur", zoals elektriciteitscentrales en netwerken van vervoer en overheden, kan leiden tot een gevangenisstraf van vijf jaar. Hetzelfde geldt als een aanval is gepleegd door een criminele organisatie of als het ernstige schade veroorzaakt.

Acht uur deadline voor dringende verzoeken

Speciale contactpunten in de lidstaten moeten binnen acht uur reageren op dringende verzoeken voor hulp in het geval van een cyberaanval. Dit moet samenwerking tussen nationale politie-eenheden verbeteren.

Aansprakelijkheid van rechtspersonen

Rechtspersonen, zoals bedrijven, moeten aansprakelijk gesteld worden voor de strafbare feiten die in hun belang zijn gepleegd (bijvoorbeeld voor het inhuren van een hacker om toegang te krijgen tot de database van de concurrentie). Onder de sancties zou ook uitsluiting van aanspraak op uitkeringen of sluiting van panden kunnen vallen.

Volgende stappen

De tekst wordt naar verwachting binnenkort formeel door de Raad goedgekeurd. De nieuwe richtlijn is gebaseerd op regels die sinds 2005 van kracht zijn. Als de regels eenmaal zijn aangenomen, hebben lidstaten twee jaar de tijd om de Europese regels om te zetten naar nationale wetgeving.

Bron: Europees Parlement

• Voorstel voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen en tot intrekking
• Questions and Answers: Directive on attacks against information systems

Klanten die op hun bankrekeningen slachtoffer zijn van online fraude als phishing of malware moeten geleden schade voortaan door hun bank vergoed krijgen. De Tweede Kamer stemde vandaag in met een voorstel hiervoor van PvdA en SP.

Nu verschilt het beleid voor dit soort schadevergoedingen nog per bank en zelfs binnen banken. De Kamer vindt dat mensen erop moeten kunnen vertrouwen dat online bankieren veilig is, zeggen de Kamerleden. Voorwaarde is wel dat mensen niet 'grof nalatig, roekeloos of met opzet' hebben gehandeld.

Bron: nrc.nl

Cybercriminaliteit als ook digitale spionage blijven de grootste dreigingen voor overheid en bedrijfsleven. Voorts is de dreiging op verstoring van online dienstverlening toegenomen. Het afgelopen jaar is de omvang van de criminele cyber dienstensector gegroeid en zichtbaarder geworden. Hulpmiddelen om aanvallen uit te voeren worden via ‘cybercrime-as-a-service’ commercieel door malafide partijen beschikbaar gesteld. Daarnaast wordt de potentiele impact van incidenten steeds groter waardoor de mogelijkheid van verstoring van de vitale infrastructuur en mogelijke maatschappelijke ontwrichting ook toeneemt. Dit komt door de toenemende afhankelijkheid van ICT door ontwikkelingen als hyperconnectiviteit, cloudcomputing en de mate waarin internet wordt ingezet. Dat komt naar voren in het derde Cybersecuritybeeld Nederland (CSBN-3) dat minister Opstelten van Veiligheid en Justitie vandaag naar de Tweede Kamer heeft gestuurd.

Op hoofdlijnen zijn er ten opzichte van het voorgaande Cybersecuritybeeld Nederland geen grote verschuivingen in dreigingen waarneembaar. Van de (heimelijke) activiteiten van beroepscriminelen en van staten gaan nog steeds de grootste dreigingen uit. Voor overheden richt de dreiging zich met name op de vertrouwelijkheid van informatie en de continuïteit van dienstverlening.

Voor het bedrijfsleven is de dreiging op verstoring van online dienstverlening toegenomen, die bijvoorbeeld recente incidenten zoals de DDoS-aanvallen op banken nadrukkelijk zichtbaar hebben gemaakt. Grootschalige verstoringen van de digitale infrastructuur kunnen binnen de vitale sectoren leiden tot ontwrichting van de dienstverlening en daarmee tot ongewenste maatschappelijke effecten.

Daarnaast bestaat het grootse risico uit het achterhalen van concurrentiegevoelige informatie en misbruik van financiële gegevens voor fraude.

Burgers worden met name geraakt door identiteitsfraude en chantage. Hierbij staan belangen als geld, privacy, beschikbaarheid van online diensten en digitale identiteit op het spel. Zij hebben vooral te kampen met het vrijwaren van hun eigen computers en elektronica van malware en ransomware.

Publieke en private partijen nemen, zowel afzonderlijk als gezamenlijk, verschillende initiatieven om de digitale weerbaarheid te vergroten. Daarmee spelen zij in op de toenemende afhankelijkheid van ICT en veranderende dreigingen. Wel heeft een brede groep organisaties belangrijke basismaatregelen, zoals het patchen of updaten van systemen of het wachtwoordenbeleid, nog niet voldoende op orde. Daarom zijn oude kwetsbaarheden en aanvalsmethoden nog steeds effectief.

De eindgebruiker krijgt daarbij in de praktijk ook een steeds grotere verantwoordelijkheid toegedicht voor ICT-beveiliging, terwijl hij daarnaast wel steeds vaker wordt geconfronteerd met kwetsbaarheden in apparaten en diensten waar hij beperkte invloed op heeft of geen kennis van heeft. Om die reden wordt daarom onverminderd ingezet het vergroten van het cyber security bewustzijn van gebruikers, bijvoorbeeld door de campagne Alert Online die ook dit jaar weer wordt georganiseerd. Uiteindelijk begint veilig gebruik immers bij awareness.

Het is van belang deze snelle ontwikkelingen bij te houden en in te spelen op de risico’s die deze met zich mee brengen. Juist daarom wordt binnenkort de juridische verkenning afgerond die tot doel heeft de slagkracht van het Nationaal Cyber Security Centrum verder te versterken.

Ook komt het kabinet na de zomer met een actualisatie van de Nationale Cyber Security Strategie die inspeelt op de snelle ontwikkelingen in het digitale domein. Met deze strategie 2.0 wordt de brede cyber security aanpak met private en publieke partijen verder versterkt. Het Cybersecuritybeeld Nederland is opgesteld door het Nationaal Cyber Security Centrum onder verantwoordelijkheid van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Aan de totstandkoming is bijgedragen door een grote diversiteit aan spelers binnen de ICT-community waaronder partijen uit de publieke en private sectoren, wetenschappers en maatschappelijke organisaties.

Bron: Rijksoverheid

• Aanbiedingsbrief Cyber Security Beeld
• Cybersecuritybeeld Nederland

Meer weten over cybersecurity en cybercrime? Kom op donderdag 14 november naar de Studiedag Cybercrime in Den Haag.

Tijdens deze studiedag wordt de ontwikkeling van computercriminaliteit besproken en een overzicht gegeven van de meest voorkomende delicten en hoe zij worden gepleegd. Het juridisch kader wordt uiteen gezet met toepasselijk internationaal, Europees en nationaal recht. Hier zal ook uitgebreid aandacht worden besteed aan toekomstige ontwikkelingen, zoals het Wetsvoorstel versterking aanpak computer- criminaliteit. Welke (grensoverschrijdende) opsporingsmogelijkheden bestaan er in een geautomati- seerde omgeving? Welke praktische problemen spelen er met betrekking tot jurisdictie en hoe wordt daarmee omgegaan? Ook zal uitgebreid aandacht worden besteed aan e-evidence als nieuwe vorm van bewijs in strafzaken en onderzoek in cyberspace.

Klik hier voor meer informatie.

Onlangs is het Wetsvoorstel Computercriminlaiteit III ter consultatie aan een aantal organisaties. voorgelegd. In de optiek van Bits of Freedom moet het voorstel van tafel:

De voorgestelde hackbevoegdheid is onbegrensd. De maatregel vormt een ernstige inperking van de grondrechten van onschuldige en verdachte burgers wereldwijd, terwijl de noodzaak, proportionaliteit en effectiviteit van de maatregel niet zijn aangetoond. Bovendien heeft de maatregel grote internationale implicaties. De hackbevoegdheid is in strijd met internationaal recht en kan tegenreacties van andere landen uitlokken. Burgers wereldwijd worden daar het slachtoffer van. Verder heeft de hackbevoegdheid gevaarlijke gevolgen voor onze cybersecurity: de inzet van deze bevoegdheid creëert diverse veiligheidsrisico’s, waardoor Nederland niet veiliger, maar juist onveiliger zal worden. Om deze redenen – afzonderlijk en tezamen bezien – moet het voorstel van tafel.

Het decryptiebevel vormt een stevige inperking van de grondrechten van verdachten en niet-verdachten. Het is in strijd met het rechtsbeginsel dat je niet kan worden gedwongen mee te werken aan je eigen veroordeling en bovendien wordt het maatschappelijk belang van encryptie door zo’n bevel doorkruist. Dit terwijl de noodzaak van deze inperkingen van rechten niet is aangetoond, de maatregel niet effectief is en bovendien makkelijk misbruikt kan worden. Ook dit plan moet dus worden ingetrokken.

Ook is de organisatie van mening dat het strafbaar stellen van het overnemen van ‘niet-openbare gegevens’ leidt tot een zeer breed verbod, dat belemmerend werkt op de vrijheid van meningsuiting van mensen met een belangrijke functie in een democratische samenleving, zoals journalisten, klokkenluiders en security-onderzoekers. Ook in dit geval ontbreekt de noodzaak die zo’n maatregel vereist, zodat dit voorstel in deze vorm niet in stand kan blijven.

Verder moet de bevoegdheid om informatie ontoegankelijk te maken worden aangepast. Om voldoende recht te doen aan het grondrecht op vrijheid van meningsuiting, moeten de belangen van de verdachte en de aanbieder van de gegevens altijd worden gehoord.

Hoe nu verder? Het Ministerie van Veiligheid en Justitie gaat alle reacties bestuderen en het wetsvoorstel aanpassen. Het aangepaste voorstel wordt vervolgens besproken in de Ministerraad en ter consultatie aan de Raad van State voorgelegd. Pas daarna gaat het richting de Tweede Kamer. Dat zal waarschijnlijk tegen het einde van 2013 zijn.

De OPTA heeft op 5 november 2007 aan drie Nederlandse bedrijven en hun directeuren boetes opgelegd van in totaal € 1.000.000 omdat ze ongewenste software installeerden op meer dan 22 miljoen computers van internetgebruikers in Nederland en daarbuiten. Met de illegale plaatsing van deze zogeheten ad- en spyware verspreidden de samenwerkende bedrijven onder de naam DollarRevenue reclameboodschappen en verschaften zich toegang tot gegevens van de internetgebruikers. Dit is in strijd met artikel 4.1, eerste lid, van het Besluit universele dienstverlening en eindgebruikersbelangen (Bude), thans artikel 11.7a Tw.

Tegen dit besluit hebben partijen gezamenlijk bezwaar gemaakt. Op 18 juni 2008 heeft ACM het bezwaar ongegrond verklaard. Hiertegen hebben partijen beroep ingesteld bij de rechtbank Rotterdam. Op 3 februari 2010 heeft de rechtbank uitspraak gedaan.

• Rechtbank Rotterdam 3 februari 2010, LJN: BL2092

Eerdere uitspraak rechtbank Rotterdam

De rechtbank liet de opgelegde boetes in beroep goeddeels in stand. Zij was van oordeel dat artikel 4.1 Bude een groot aantal maal is overtreden, dat ACM bevoegd was om op te treden en dat onder de naam alsmede onder verantwoordelijkheid van het samenwerkingsverband DollarRevenue de overtredingen hebben plaatsgevonden. Ten aanzien van de rol van verschillende overtreders heeft de rechtbank overwogen dat twee rechtspersonen en één directeur terecht en één rechtspersoon en één directeur ten onrechte als overtreder zijn aangemerkt. De hoogte van de (aan de overgebleven drie overtreders) opgelegde boetes achtte de rechtbank niet onevenredig.

Zowel ACM als partijen hebben vervolgens tegen de uitspraak van de rechtbank hoger beroep ingesteld bij het College van Beroep voor het bedrijfsleven (CBb).

Uitspraak van het CBb

In afwijking van het oordeel van de rechtbank heeft het CBb op 20 juni 2013 het boetebesluit vernietigd en alle opgelegde boetes geschrapt. Het CBb stelt eerst vast dat de verbodsbepaling van artikel 4.1, eerste lid, Bude alleen de gebruikers in Nederland beschermt en niet geldt voor computers buiten de Nederlandse landsgrenzen, ook niet als de plaatsing van de software vanuit Nederland plaatsvindt. Hierdoor beperkt het CBb het aantal overtredingen.

Het CBb komt verder tot de conclusie dat er weliswaar sprake is van overtredingen maar dat de daarvoor beboete bedrijven geen overtreder zijn. ACM had alle beboete partijen als zelfstandig overtreder aangemerkt. Het CBb beperkt de kring van overtreders echter tot de degenen die de initiële software feitelijk plaatsten (in dit geval tussenpersonen, de zgn. affiliates). Zij zijn volgens het CBb als (feitelijke) overtreder allleen verantwoordelijk voor de informatieverstrekking en het geven van een weigeringsmogelijkheid. Het feit dat door plaatsing van de software vervolgens ook nog automatisch andere software werd geplaats (waaronder die van partijen), maakt hen niet tot overtreders.Partijen kunnen volgens hetCBb evenmin als medepleger worden aangemerkt omdat de Algemene wet bestuursrecht pas vanaf 1 juli 2009 de mogelijkheid kent om een boete aan medeplegers op te leggen en de overtredingen voor die tijd hebben plaatsgevonden. Het oordeel van het CBb is definitief: tegen deze uitspraak kan geen beroep meer worden aangetekend.

• College van Beroep voor het bedrijfsleven 20 juni 2013, LJN: CA3716

ACM is teleurgesteld over deze strikte interpretatie van het CBb van de regels voor het verspreiden van spyware.

Bron: ACM