Minister Opstelten van Veiligheid en Justitie vindt dat de aanpak van cybersecurity de komende jaren hoog op de agenda van de Europese Unie (EU) moet blijven. Het belang daarvan is groot en aan de hand van de EU-cybersecurity strategie kunnen resultaten worden geboekt, met als doel een open, vrije en beveiligde cyberomgeving te realiseren. Ook wil hij dat binnen de Europese Unie grensoverschrijdend en effectief kan worden opgetreden tegen cybercriminaliteit.

Dit blijkt uit de Nederlandse inbreng tijdens de informele JBZ-raad in Vilnius waar de agenda voor samenwerking in de Europese Unie werd besproken voor de periode vanaf 2015. Aanleiding hiervoor is het meerjarenbeleidskader op het terrein van Justitie en Binnenlandse Zaken - het zogeheten Stockholmprogramma - dat eind 2014 afloopt. De EU-bewindslieden spraken voor het eerst over een opvolger voor het Stockholmprogramma onder het voorzitterschap van Litouwen. Nederland vindt dat de nadruk moet komen te liggen op onder andere cyber security, de (bestuurlijke) aanpak van georganiseerde criminaliteit en de positie van slachtoffers.

Volgens de minister mag er in de uitvoering van de Europese cybersecurity strategie meer aandacht zijn voor publiek-private samenwerking. Een veiliger cyberspace kan niet zonder een beroep te doen op de kracht van het bedrijfsleven. Goede publiek-private samenwerking  kan leiden tot snelle uitwisseling van informatie over dreigingen met partners in de vitale sectoren van de samenleving, zoals financiële dienstverlening. Nederland heeft inmiddels de nodige ervaring opgedaan. Voorbeeld daarvan is het Nationale Cyber Security Centrum (NCSC), waar publieke organisaties zoals het computer emergency response team (CERT), politie en Defensie samenwerken met private partijen. Ook kent Nederland de ICT Response Board, die adviseert bij een grootschalig incident.

Verder is de aanpak van cybercrime een van de belangrijke activiteiten binnen de Europese cybersecurity strategie. Opstelten vindt dat aandacht en actie nodig is om politie en justitiediensten beter in staat te stellen cybercriminaliteit, die naar zijn aard grenzeloos is, effectief aan te pakken zowel door diensten van de individuele lidstaten zelf als door Europese en zelfs nog bredere internationale samenwerking.

Handhaving op internet staat daardoor onder grote druk en is soms niet mogelijk of effectief, terwijl de belangen van burgers en bedrijven of het land met strafbare handelwijzen worden geschaad. Nederland wil daar verandering in brengen. Daarom heeft de bewindsman een wetsvoorstel gemaakt dat bevoegdheden creëert om onder strikt gereglementeerde voorwaarden en op basis van rechterlijke machtiging op afstand (dus via het internet) in computers binnen te dringen. Als niet duidelijk kan worden vastgesteld waar de data zijn opgeslagen, kan die bevoegdheid ook grensoverschrijdend worden ingezet.

Andere landen kampen met vergelijkbare problemen in de opsporing en vervolging en zoeken naar ‘eigen’ oplossingen. Opstelten vindt het belangrijk dat in ieder geval binnen de EU zoveel mogelijk op gelijke wijze adequaat en effectief kan worden opgetreden. Nederland pleit ervoor het actiepunt van het Stockholm Programma dat ziet op verduidelijking en versterking van het juridisch kader met het oog op effectieve opsporing alsnog op te pakken.

bron: Rijksoverheid

The Dutch (concept) bill to fight computer crime is controversial due to the proposed new hacking capabilities for law enforcement authorities. However, the proposed “Notice and Take Down” (NTD)-order is another aspect of the bill that deserves our attention.

The proposed Notice and Take Down-order is meant for criminal cases in which a person or company can take down an illegal website, but fails to do so voluntarily. However, the measure contradicts the right to obtain information as part of the right to free speech. The measure may even result in a filter obligation of specific websites for ISPs. Our Parliamentary Members should think and debate thoroughly about the blocking and filtering measures before making them permissable as an instrument for law enforcement authorities.

Lees verder:

• Filtering the Internet for law enforcement purposes?, Leiden Law Blog

Rechterlijk toezicht is van essentieel belang als de mogelijkheden voor de opsporing van computercriminaliteit worden verruimd. Het is daarom ‘wenselijk en verstandig’ dat minister Opstelten nieuwe bevoegdheden voor politie en justitie, die vergaande inbreuk kunnen maken op grondrechten, koppelt aan de voorwaarde dat de rechter-commissaris daar vooraf toestemming voor moet geven. Dat staat in een advies van de Raad voor de rechtspraak over het Wetsvoorstel computercriminaliteit III.

Weinig mogelijkheden

Recente technologische ontwikkelingen bieden criminelen ongekende mogelijkheden om ongezien de wet te ontduiken en bij slachtoffers schade aan te richten. De Raad erkent in het advies dat politie en justitie op dit moment te weinig mogelijkheden hebben om bijvoorbeeld de verspreiding van kinderporno aan te pakken en massale aanvallen via zogeheten botnets, waarmee computersystemen van belangrijke instellingen worden platgelegd, te bestrijden. De minister wil daar verandering in brengen door extra bevoegdheden in de wet op te nemen.

Heimelijk binnendringen

Bepaalde opsporingsambtenaren krijgen volgens het wetsontwerp onder strikte voorwaarden toestemming om ‘onderzoek te doen in een geautomatiseerd werk’. Dat houdt in dat ze op afstand heimelijk binnendringen in computers van verdachten en zo nodig software installeren om de beveiliging te doorbreken en versleutelde gegevens te ontcijferen. De officier van justitie krijgt bovendien meer mogelijkheden om te bevelen dat gegevens op internet ontoegankelijk worden gemaakt, en de nieuwe bevoegdheid om verdachten op te dragen om versleutelde gegevens zichtbaar en leesbaar te maken. Ten slotte wil de minister heling van computergegevens strafbaar maken.

Vergaande inbreuk

De voorgestelde opsporingsbevoegdheden kunnen vergaand inbreuk maken op bepaalde grondrechten, zoals de eerbiediging van de persoonlijke levenssfeer en het brief-, telefoon- en telegraafgeheim. De Raad vindt het van groot belang dat die inbreuk zoveel mogelijk wordt beperkt en dat de burger wordt beschermd tegen willekeurige inmenging van de overheid in zijn privéleven. Het wetsvoorstel houdt daar rekening mee door te stellen dat de bevoegdheden alleen kunnen worden ingezet met een schriftelijke machtiging van de rechter-commissaris. Hij beoordeelt het verzoek niet alleen op rechtmatigheid, maar weegt ook af of het opsporingsdoel – dat vooraf gespecificeerd moet zijn - zo’n zware inbreuk rechtvaardigt.

Kanttekeningen

Dat de minister behoefte heeft aan uitbreiding van opsporingsbevoegdheden nu criminelen steeds meer gebruik maken van draadloze netwerken, versleuteling en ‘cloudcomputing’, vindt de Raad begrijpelijk. Er zijn echter wel wat kanttekeningen te plaatsen. Zo vraagt de Raad zich af of het ontsleutelbevel in strijd is met het beginsel dat niemand aan zijn eigen veroordeling hoeft mee te werken, zoals vervat in artikel 6 van het EVRM (het Europees Verdrag voor de Rechten van de Mens). De minister meent van niet, maar de Raad wijst erop dat rechters daar wel eens anders over kunnen oordelen. Verder moet onder meer gelet worden op het verschoningsrecht van bijvoorbeeld advocaten. Hoe wordt, bij het tappen van computergegevens, gegarandeerd dat hun gegevens buiten beschouwing blijven?

Bron: de Rechtspraak

Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders?

Lees verder:

• Kan de National Security Agency hier vervolgd worden wegens computercriminaliteit?, Ius mentis

Recente berichtgeving op NU.nl wekt de indruk dat het opsporingsbeleid van het OM op gespannen voet staat met het beleid van de minister van Veiligheid en Justitie. Deze aanname is feitelijk onjuist. Het OM heeft begin dit jaar beleid ontwikkeld hoe te handelen bij ethische hackers dat in lijn is met de ‘Leidraad Responsible Disclosure'.

Op 18 maart 2013 ontvingen alle parkethoofden van het OM hierover een beleidsbrief. Aanleiding was de handreiking ‘Leidraad om te komen tot een praktijk van Responsible Disclosure' dat kort daarvoor gepresenteerd was door het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid.

Doel van deze leidraad is het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure (RD) vast te kunnen stellen. Dit beleid geeft de ‘ethische hacker' duidelijkheid hoe door de desbetreffende organisatie zal worden omgegaan met door die hacker aangetoonde en/of gemelde kwetsbaarheden in de ICT-systemen. Het biedt de getroffen bedrijven de mogelijkheid om kwetsbaarheden te verhelpen en schade te beperken voordat de hacker met zijn daad naar buiten treedt.

Het RD is dan ook geen ‘gegeven' of ‘beleid' waar eenieder zich zondermeer op kan beroepen.  Evenmin is de RD uniform. Er is sprake van RD, wanneer het gehackte bedrijf ook een RD-beleid heeft. Wanneer daar geen sprake van is, is er ook geen sprake van RD. Dikwijls is nader (strafrechtelijk) onderzoek nodig om na te gaan of een melding die is gedaan door een hacker, onder de gegeven omstandigheden noodzakelijk en proportioneel was.

Als een hacker direct en veilig communiceert met de eigenaar van het ICT-systeem over een aangetroffen lek in de beveiliging en er geen gegevens zijn verwijderd of gemanipuleerd, kan er sprake zijn van RD en is er geen aanleiding om (verder) strafrechtelijk onderzoek of vervolging in te stellen. Er is echter geen sprake van RD daar waar wel gegevens zijn verwijderd, gemanipuleerd of gekopieerd, dan wel op onevenredige wijze toegang is verschaft tot het ICT-systeem.

Bron: OM

• Beleidsbrief Responsible Disclosure d.d. 18 maart 2013