Recente berichtgeving op NU.nl wekt de indruk dat het opsporingsbeleid van het OM op gespannen voet staat met het beleid van de minister van Veiligheid en Justitie. Deze aanname is feitelijk onjuist. Het OM heeft begin dit jaar beleid ontwikkeld hoe te handelen bij ethische hackers dat in lijn is met de ‘Leidraad Responsible Disclosure'.

Op 18 maart 2013 ontvingen alle parkethoofden van het OM hierover een beleidsbrief. Aanleiding was de handreiking ‘Leidraad om te komen tot een praktijk van Responsible Disclosure' dat kort daarvoor gepresenteerd was door het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid.

Doel van deze leidraad is het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure (RD) vast te kunnen stellen. Dit beleid geeft de ‘ethische hacker' duidelijkheid hoe door de desbetreffende organisatie zal worden omgegaan met door die hacker aangetoonde en/of gemelde kwetsbaarheden in de ICT-systemen. Het biedt de getroffen bedrijven de mogelijkheid om kwetsbaarheden te verhelpen en schade te beperken voordat de hacker met zijn daad naar buiten treedt.

Het RD is dan ook geen ‘gegeven' of ‘beleid' waar eenieder zich zondermeer op kan beroepen.  Evenmin is de RD uniform. Er is sprake van RD, wanneer het gehackte bedrijf ook een RD-beleid heeft. Wanneer daar geen sprake van is, is er ook geen sprake van RD. Dikwijls is nader (strafrechtelijk) onderzoek nodig om na te gaan of een melding die is gedaan door een hacker, onder de gegeven omstandigheden noodzakelijk en proportioneel was.

Als een hacker direct en veilig communiceert met de eigenaar van het ICT-systeem over een aangetroffen lek in de beveiliging en er geen gegevens zijn verwijderd of gemanipuleerd, kan er sprake zijn van RD en is er geen aanleiding om (verder) strafrechtelijk onderzoek of vervolging in te stellen. Er is echter geen sprake van RD daar waar wel gegevens zijn verwijderd, gemanipuleerd of gekopieerd, dan wel op onevenredige wijze toegang is verschaft tot het ICT-systeem.

Bron: OM

• Beleidsbrief Responsible Disclosure d.d. 18 maart 2013

Het Europees Parlement heeft gisteren ingestemd met strengere straffen voor cybercriminelen. De ontwerprichtlijn, waarover informeel al overeenstemming is bereikt met de Raad, moet ook het voorkomen van cyberaanvallen makkelijker maken en samenwerking tussen politie en justitie op dit gebied te stimuleren. In geval van een cyberaanval, moeten EU-landen binnen acht uur reageren op dringende verzoeken voor hulp.

De ontwerprichtlijn schrijft voor dat EU-landen maximale gevangenisstraffen vaststellen van minstens twee jaar in het geval van illegale toegang tot informatiesystemen, manipulatie van gegevens, het onderscheppen van communicatie of het produceren of verkopen van apparatuur die kan worden gebruikt om deze strafbare feiten te plegen. Kleine voorvallen vallen buiten de richtlijn, maar het is aan elk land zelf om vast te stellen wat een "klein" voorval is.

"Botnets"

De tekst stelt een minimumstraf van drie jaar voor het gebruiken van "botnets", wat wil zeggen dat er vanaf afstand controle wordt uitgeoefend over een groot aantal computers door ze te infecteren met kwaadaardige software.

Aanvallen op kritieke infrastructuur

Aanvallen tegen "kritieke infrastructuur", zoals elektriciteitscentrales en netwerken van vervoer en overheden, kan leiden tot een gevangenisstraf van vijf jaar. Hetzelfde geldt als een aanval is gepleegd door een criminele organisatie of als het ernstige schade veroorzaakt.

Acht uur deadline voor dringende verzoeken

Speciale contactpunten in de lidstaten moeten binnen acht uur reageren op dringende verzoeken voor hulp in het geval van een cyberaanval. Dit moet samenwerking tussen nationale politie-eenheden verbeteren.

Aansprakelijkheid van rechtspersonen

Rechtspersonen, zoals bedrijven, moeten aansprakelijk gesteld worden voor de strafbare feiten die in hun belang zijn gepleegd (bijvoorbeeld voor het inhuren van een hacker om toegang te krijgen tot de database van de concurrentie). Onder de sancties zou ook uitsluiting van aanspraak op uitkeringen of sluiting van panden kunnen vallen.

Volgende stappen

De tekst wordt naar verwachting binnenkort formeel door de Raad goedgekeurd. De nieuwe richtlijn is gebaseerd op regels die sinds 2005 van kracht zijn. Als de regels eenmaal zijn aangenomen, hebben lidstaten twee jaar de tijd om de Europese regels om te zetten naar nationale wetgeving.

Bron: Europees Parlement

• Voorstel voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen en tot intrekking
• Questions and Answers: Directive on attacks against information systems

Klanten die op hun bankrekeningen slachtoffer zijn van online fraude als phishing of malware moeten geleden schade voortaan door hun bank vergoed krijgen. De Tweede Kamer stemde vandaag in met een voorstel hiervoor van PvdA en SP.

Nu verschilt het beleid voor dit soort schadevergoedingen nog per bank en zelfs binnen banken. De Kamer vindt dat mensen erop moeten kunnen vertrouwen dat online bankieren veilig is, zeggen de Kamerleden. Voorwaarde is wel dat mensen niet 'grof nalatig, roekeloos of met opzet' hebben gehandeld.

Bron: nrc.nl

Cybercriminaliteit als ook digitale spionage blijven de grootste dreigingen voor overheid en bedrijfsleven. Voorts is de dreiging op verstoring van online dienstverlening toegenomen. Het afgelopen jaar is de omvang van de criminele cyber dienstensector gegroeid en zichtbaarder geworden. Hulpmiddelen om aanvallen uit te voeren worden via ‘cybercrime-as-a-service’ commercieel door malafide partijen beschikbaar gesteld. Daarnaast wordt de potentiele impact van incidenten steeds groter waardoor de mogelijkheid van verstoring van de vitale infrastructuur en mogelijke maatschappelijke ontwrichting ook toeneemt. Dit komt door de toenemende afhankelijkheid van ICT door ontwikkelingen als hyperconnectiviteit, cloudcomputing en de mate waarin internet wordt ingezet. Dat komt naar voren in het derde Cybersecuritybeeld Nederland (CSBN-3) dat minister Opstelten van Veiligheid en Justitie vandaag naar de Tweede Kamer heeft gestuurd.

Op hoofdlijnen zijn er ten opzichte van het voorgaande Cybersecuritybeeld Nederland geen grote verschuivingen in dreigingen waarneembaar. Van de (heimelijke) activiteiten van beroepscriminelen en van staten gaan nog steeds de grootste dreigingen uit. Voor overheden richt de dreiging zich met name op de vertrouwelijkheid van informatie en de continuïteit van dienstverlening.

Voor het bedrijfsleven is de dreiging op verstoring van online dienstverlening toegenomen, die bijvoorbeeld recente incidenten zoals de DDoS-aanvallen op banken nadrukkelijk zichtbaar hebben gemaakt. Grootschalige verstoringen van de digitale infrastructuur kunnen binnen de vitale sectoren leiden tot ontwrichting van de dienstverlening en daarmee tot ongewenste maatschappelijke effecten.

Daarnaast bestaat het grootse risico uit het achterhalen van concurrentiegevoelige informatie en misbruik van financiële gegevens voor fraude.

Burgers worden met name geraakt door identiteitsfraude en chantage. Hierbij staan belangen als geld, privacy, beschikbaarheid van online diensten en digitale identiteit op het spel. Zij hebben vooral te kampen met het vrijwaren van hun eigen computers en elektronica van malware en ransomware.

Publieke en private partijen nemen, zowel afzonderlijk als gezamenlijk, verschillende initiatieven om de digitale weerbaarheid te vergroten. Daarmee spelen zij in op de toenemende afhankelijkheid van ICT en veranderende dreigingen. Wel heeft een brede groep organisaties belangrijke basismaatregelen, zoals het patchen of updaten van systemen of het wachtwoordenbeleid, nog niet voldoende op orde. Daarom zijn oude kwetsbaarheden en aanvalsmethoden nog steeds effectief.

De eindgebruiker krijgt daarbij in de praktijk ook een steeds grotere verantwoordelijkheid toegedicht voor ICT-beveiliging, terwijl hij daarnaast wel steeds vaker wordt geconfronteerd met kwetsbaarheden in apparaten en diensten waar hij beperkte invloed op heeft of geen kennis van heeft. Om die reden wordt daarom onverminderd ingezet het vergroten van het cyber security bewustzijn van gebruikers, bijvoorbeeld door de campagne Alert Online die ook dit jaar weer wordt georganiseerd. Uiteindelijk begint veilig gebruik immers bij awareness.

Het is van belang deze snelle ontwikkelingen bij te houden en in te spelen op de risico’s die deze met zich mee brengen. Juist daarom wordt binnenkort de juridische verkenning afgerond die tot doel heeft de slagkracht van het Nationaal Cyber Security Centrum verder te versterken.

Ook komt het kabinet na de zomer met een actualisatie van de Nationale Cyber Security Strategie die inspeelt op de snelle ontwikkelingen in het digitale domein. Met deze strategie 2.0 wordt de brede cyber security aanpak met private en publieke partijen verder versterkt. Het Cybersecuritybeeld Nederland is opgesteld door het Nationaal Cyber Security Centrum onder verantwoordelijkheid van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Aan de totstandkoming is bijgedragen door een grote diversiteit aan spelers binnen de ICT-community waaronder partijen uit de publieke en private sectoren, wetenschappers en maatschappelijke organisaties.

Bron: Rijksoverheid

• Aanbiedingsbrief Cyber Security Beeld
• Cybersecuritybeeld Nederland

Meer weten over cybersecurity en cybercrime? Kom op donderdag 14 november naar de Studiedag Cybercrime in Den Haag.

Tijdens deze studiedag wordt de ontwikkeling van computercriminaliteit besproken en een overzicht gegeven van de meest voorkomende delicten en hoe zij worden gepleegd. Het juridisch kader wordt uiteen gezet met toepasselijk internationaal, Europees en nationaal recht. Hier zal ook uitgebreid aandacht worden besteed aan toekomstige ontwikkelingen, zoals het Wetsvoorstel versterking aanpak computer- criminaliteit. Welke (grensoverschrijdende) opsporingsmogelijkheden bestaan er in een geautomati- seerde omgeving? Welke praktische problemen spelen er met betrekking tot jurisdictie en hoe wordt daarmee omgegaan? Ook zal uitgebreid aandacht worden besteed aan e-evidence als nieuwe vorm van bewijs in strafzaken en onderzoek in cyberspace.

Klik hier voor meer informatie.

Onlangs is het Wetsvoorstel Computercriminlaiteit III ter consultatie aan een aantal organisaties. voorgelegd. In de optiek van Bits of Freedom moet het voorstel van tafel:

De voorgestelde hackbevoegdheid is onbegrensd. De maatregel vormt een ernstige inperking van de grondrechten van onschuldige en verdachte burgers wereldwijd, terwijl de noodzaak, proportionaliteit en effectiviteit van de maatregel niet zijn aangetoond. Bovendien heeft de maatregel grote internationale implicaties. De hackbevoegdheid is in strijd met internationaal recht en kan tegenreacties van andere landen uitlokken. Burgers wereldwijd worden daar het slachtoffer van. Verder heeft de hackbevoegdheid gevaarlijke gevolgen voor onze cybersecurity: de inzet van deze bevoegdheid creëert diverse veiligheidsrisico’s, waardoor Nederland niet veiliger, maar juist onveiliger zal worden. Om deze redenen – afzonderlijk en tezamen bezien – moet het voorstel van tafel.

Het decryptiebevel vormt een stevige inperking van de grondrechten van verdachten en niet-verdachten. Het is in strijd met het rechtsbeginsel dat je niet kan worden gedwongen mee te werken aan je eigen veroordeling en bovendien wordt het maatschappelijk belang van encryptie door zo’n bevel doorkruist. Dit terwijl de noodzaak van deze inperkingen van rechten niet is aangetoond, de maatregel niet effectief is en bovendien makkelijk misbruikt kan worden. Ook dit plan moet dus worden ingetrokken.

Ook is de organisatie van mening dat het strafbaar stellen van het overnemen van ‘niet-openbare gegevens’ leidt tot een zeer breed verbod, dat belemmerend werkt op de vrijheid van meningsuiting van mensen met een belangrijke functie in een democratische samenleving, zoals journalisten, klokkenluiders en security-onderzoekers. Ook in dit geval ontbreekt de noodzaak die zo’n maatregel vereist, zodat dit voorstel in deze vorm niet in stand kan blijven.

Verder moet de bevoegdheid om informatie ontoegankelijk te maken worden aangepast. Om voldoende recht te doen aan het grondrecht op vrijheid van meningsuiting, moeten de belangen van de verdachte en de aanbieder van de gegevens altijd worden gehoord.

Hoe nu verder? Het Ministerie van Veiligheid en Justitie gaat alle reacties bestuderen en het wetsvoorstel aanpassen. Het aangepaste voorstel wordt vervolgens besproken in de Ministerraad en ter consultatie aan de Raad van State voorgelegd. Pas daarna gaat het richting de Tweede Kamer. Dat zal waarschijnlijk tegen het einde van 2013 zijn.