The Dutch (concept) bill to fight computer crime is controversial due to the proposed new hacking capabilities for law enforcement authorities. However, the proposed “Notice and Take Down” (NTD)-order is another aspect of the bill that deserves our attention.

The proposed Notice and Take Down-order is meant for criminal cases in which a person or company can take down an illegal website, but fails to do so voluntarily. However, the measure contradicts the right to obtain information as part of the right to free speech. The measure may even result in a filter obligation of specific websites for ISPs. Our Parliamentary Members should think and debate thoroughly about the blocking and filtering measures before making them permissable as an instrument for law enforcement authorities.

Lees verder:

• Filtering the Internet for law enforcement purposes?, Leiden Law Blog

Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders?

Lees verder:

• Kan de National Security Agency hier vervolgd worden wegens computercriminaliteit?, Ius mentis

Recente berichtgeving op NU.nl wekt de indruk dat het opsporingsbeleid van het OM op gespannen voet staat met het beleid van de minister van Veiligheid en Justitie. Deze aanname is feitelijk onjuist. Het OM heeft begin dit jaar beleid ontwikkeld hoe te handelen bij ethische hackers dat in lijn is met de ‘Leidraad Responsible Disclosure'.

Op 18 maart 2013 ontvingen alle parkethoofden van het OM hierover een beleidsbrief. Aanleiding was de handreiking ‘Leidraad om te komen tot een praktijk van Responsible Disclosure' dat kort daarvoor gepresenteerd was door het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid.

Doel van deze leidraad is het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure (RD) vast te kunnen stellen. Dit beleid geeft de ‘ethische hacker' duidelijkheid hoe door de desbetreffende organisatie zal worden omgegaan met door die hacker aangetoonde en/of gemelde kwetsbaarheden in de ICT-systemen. Het biedt de getroffen bedrijven de mogelijkheid om kwetsbaarheden te verhelpen en schade te beperken voordat de hacker met zijn daad naar buiten treedt.

Het RD is dan ook geen ‘gegeven' of ‘beleid' waar eenieder zich zondermeer op kan beroepen.  Evenmin is de RD uniform. Er is sprake van RD, wanneer het gehackte bedrijf ook een RD-beleid heeft. Wanneer daar geen sprake van is, is er ook geen sprake van RD. Dikwijls is nader (strafrechtelijk) onderzoek nodig om na te gaan of een melding die is gedaan door een hacker, onder de gegeven omstandigheden noodzakelijk en proportioneel was.

Als een hacker direct en veilig communiceert met de eigenaar van het ICT-systeem over een aangetroffen lek in de beveiliging en er geen gegevens zijn verwijderd of gemanipuleerd, kan er sprake zijn van RD en is er geen aanleiding om (verder) strafrechtelijk onderzoek of vervolging in te stellen. Er is echter geen sprake van RD daar waar wel gegevens zijn verwijderd, gemanipuleerd of gekopieerd, dan wel op onevenredige wijze toegang is verschaft tot het ICT-systeem.

Bron: OM

• Beleidsbrief Responsible Disclosure d.d. 18 maart 2013

Het Europees Parlement heeft gisteren ingestemd met strengere straffen voor cybercriminelen. De ontwerprichtlijn, waarover informeel al overeenstemming is bereikt met de Raad, moet ook het voorkomen van cyberaanvallen makkelijker maken en samenwerking tussen politie en justitie op dit gebied te stimuleren. In geval van een cyberaanval, moeten EU-landen binnen acht uur reageren op dringende verzoeken voor hulp.

De ontwerprichtlijn schrijft voor dat EU-landen maximale gevangenisstraffen vaststellen van minstens twee jaar in het geval van illegale toegang tot informatiesystemen, manipulatie van gegevens, het onderscheppen van communicatie of het produceren of verkopen van apparatuur die kan worden gebruikt om deze strafbare feiten te plegen. Kleine voorvallen vallen buiten de richtlijn, maar het is aan elk land zelf om vast te stellen wat een "klein" voorval is.

"Botnets"

De tekst stelt een minimumstraf van drie jaar voor het gebruiken van "botnets", wat wil zeggen dat er vanaf afstand controle wordt uitgeoefend over een groot aantal computers door ze te infecteren met kwaadaardige software.

Aanvallen op kritieke infrastructuur

Aanvallen tegen "kritieke infrastructuur", zoals elektriciteitscentrales en netwerken van vervoer en overheden, kan leiden tot een gevangenisstraf van vijf jaar. Hetzelfde geldt als een aanval is gepleegd door een criminele organisatie of als het ernstige schade veroorzaakt.

Acht uur deadline voor dringende verzoeken

Speciale contactpunten in de lidstaten moeten binnen acht uur reageren op dringende verzoeken voor hulp in het geval van een cyberaanval. Dit moet samenwerking tussen nationale politie-eenheden verbeteren.

Aansprakelijkheid van rechtspersonen

Rechtspersonen, zoals bedrijven, moeten aansprakelijk gesteld worden voor de strafbare feiten die in hun belang zijn gepleegd (bijvoorbeeld voor het inhuren van een hacker om toegang te krijgen tot de database van de concurrentie). Onder de sancties zou ook uitsluiting van aanspraak op uitkeringen of sluiting van panden kunnen vallen.

Volgende stappen

De tekst wordt naar verwachting binnenkort formeel door de Raad goedgekeurd. De nieuwe richtlijn is gebaseerd op regels die sinds 2005 van kracht zijn. Als de regels eenmaal zijn aangenomen, hebben lidstaten twee jaar de tijd om de Europese regels om te zetten naar nationale wetgeving.

Bron: Europees Parlement

• Voorstel voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen en tot intrekking
• Questions and Answers: Directive on attacks against information systems

Klanten die op hun bankrekeningen slachtoffer zijn van online fraude als phishing of malware moeten geleden schade voortaan door hun bank vergoed krijgen. De Tweede Kamer stemde vandaag in met een voorstel hiervoor van PvdA en SP.

Nu verschilt het beleid voor dit soort schadevergoedingen nog per bank en zelfs binnen banken. De Kamer vindt dat mensen erop moeten kunnen vertrouwen dat online bankieren veilig is, zeggen de Kamerleden. Voorwaarde is wel dat mensen niet 'grof nalatig, roekeloos of met opzet' hebben gehandeld.

Bron: nrc.nl