Naar aanleiding van de Richtlijn aanvallen op informatie systemen heeft het kabinet een wetsvoorstel gemaakt ter implementatie van de richtlijn. Jan-Jaap Oerlemans staat op zijn blog kort stil bij de inhoud van het wetsvoorstel en plaatst daar enkele kanttekeningen bij.

Strafverhoging

De Europese Commissie en het Europese Parlement vonden het nodig computerdelicten binnen de EU te harmoniseren en maximale gevangenisstraffen voor te schrijven om computercriminaliteit beter te bestrijden. In het bijzonder maken zij zich zorgen over de opkomst van botnets, de economische schade dat cybercrime kan veroorzaken en de ontwrichtende gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.

Als gevolg van de Richtlijn aanvallen op informatiesystemen wordt nu in Nederland de maximale gevangenisstraf voor

1. computervredebreuk (art. 138ab lid 1 Sr),
2. het uitvoeren denial-of-service aanvallen (art. 138b lid 1 Sr) en
3. het wederrechtelijk aftappen van netwerkverkeer (139c lid 1 Sr en 139d lid 1 Sr)

verhoogd van maximaal één jaar naar maximaal twee jaar gevangenisstraf.

Strafverzwarende omstandigheden

Daarnaast schrijft de richtlijn voor dat in bepaalde (strafverzwarende) omstandigheden een maximale gevangenisstraf van vijf jaar moet gelden.

Voor de implementatie hiervan wordt ten eerste in een lastig geformuleerd artikel (art. 138b lid 2 Sr) voorgesteld om een maximale gevangenisstraf van 3 jaar voor te schrijven indien een botnet wordt gebruikt (dit staat er niet letterlijk, maar dat een “aanzienlijk aantal computers” worden aangestuurd na gebruik van kwaadaardige software, hacking tools of wachtwoorden zoals beschreven in art. 139d lid 2 Sr) om

1. denial-of-service aanvallen uit te voeren (art. 138b Sr) en
2. computers te beschadigen of malware te installeren (zie art. 350a Sr en het voorgestelde art. 350c Sr voor ‘werken voor telecommunicatie’).

Bij art. 350a lid 2 Sr en het voorgestelde artikel 350c lid 2 Sr wordt dan terugverwezen naar art. 138b lid 2 Sr.

Ten tweede schrijft de richtlijn voor dat in de omstandigheid dat een denial-of-service aanval of computerverstoringen worden gepleegd

1. in het kader van een criminele organisatie,
2. het feit ernstige schade tot gevolg heeft of
3. wanneer het feit is gepleegd tegen een geautomatiseerd werk behorende tot een vitale infrastructuur, een maximale gevangenisstraf van vijf jaar moet gelden.

Nu is dat volgens de minister al geregeld voor omstandigheid 1, maar geldt deze strafverzwaring nog niet voor aanvallen die “ernstige schade veroorzaken” of voor aanvallen gericht tot een “geautomatiseerd werk behorende tot een vitale infrastructuur”. Daarom wordt een nieuw lid in art. 138b Sr voorgesteld (art. 138b lid 3 Sr), waardoor voor een dos-aanval die leidt tot ernstige schade of gericht is op een computer die behoort tot een vitale infrastructuur een maximale gevangenisstraf van vijf jaar zou gaan gelden. De strafverzwaring moet ook gelden voor computerverstoringen zoals strafbaar is gesteld inart. 350a Sr en 350c Sr, waarvoor in deze artikelen wederom wordt terugverwezen naarart. 138b lid 3 Sr.

Kanttekeningen

• Oerlemans vindt het vreemd dat er een apart wetsvoorstel is gemaakt: het Wetsvoorstel Computercriminaliteit III is immers nog niet naar de Tweede Kamer gestuurd en ziet eveneens op de versterking van de bestrijding van cybercrime.
• Ten tweede worden de materieelrechtelijke bepalingen m.b.t. computercriminaliteit door het wetsvoorstel nu wel erg ingewikkeld door het creëren van een complex systeem met kruisverwijzingen naar art. 138b Sr en 139d Sr. Art. 139d Sr verwijst naar het wederrechtelijk voorhanden hebben van ‘hacking tools’ en wachtwoorden met het oogmerk om te hacken, wederrechtelijk gegevens af te tappen en om denial-of-service aanvallen uit te voeren.
• Ten derde acht Oerlemans het kwalijk dat het brede begrip “vitale infrastructuren” uit de richtlijn niet nader wordt gedefinieerd in de Memorie van Toelichting van het wetsvoorstel.

Lees verder:

• Nóg een wet computercriminaliteit? OerlemansBlog – Blog about cybercrime and privacy

De politie heeft dinsdagavond drie mannen aangehouden op verdenking van computervredebreuk. Het drietal heeft vermoedelijk het computernetwerk van een adviesbureau in Alkmaar gehackt op zoek naar financiële gegevens over de nalatenschap van de in 2004 geliquideerde vastgoedhandelaar Willem Endstra.

Kwaadaardige software

De verdachten hebben de afgelopen maanden mailberichten met kwaadaardige software verstuurd naar het adviesbureau. Op deze manier probeerden zij op afstand controle te krijgen over het computernetwerk van het kantoor in Alkmaar. Het is nog niet bekend of de hackers daadwerkelijk informatie over de nalatenschap van wijlen Endstra hebben weten te vergaren.

In dit onderzoek heeft de politie dinsdag een 34-jarige man aangehouden in Amsterdam- Zuid. Hij wordt gezien als de opdrachtgever voor de computerinbraak. De verdachte heeft vermoedelijk twee broers van 24 en 21 jaar uit Amstelveen ingeschakeld om de hack uit te voeren. Zij zijn eveneens dinsdag aangehouden.

Botnet

Een van de broers beheerde een botnet, dat inmiddels onschadelijk is gemaakt door de politie. Hij is vermoedelijk ook betrokken bij het beheer van een website waar gestolen creditcards worden verkocht. De politie onderzoekt ook of de verdachten betrokken zijn bij computerinbraken bij andere bedrijven.

De politie is de zaak op het spoor gekomen na een aangifte van het advieskantoor uit Alkmaar. Bij doorzoeking van de woningen van verdachten heeft de politie beslag gelegd op computers en administratie. Het drietal is donderdagavond na verhoor op vrije voeten gesteld. De drie blijven verdachte in het strafrechtelijk onderzoek onder leiding van het Landelijk Parket.

Bron: OM

Daarnaast is in het wetsvoorstel een regeling opgenomen voor de inzet van zogeheten lokpubers om seksuele uitbuiting en seksueel misbruik van kinderen steviger aan te pakken. Nieuw is ook dat online handelsfraude verder aan banden wordt gelegd door misbruik van webshops tegen te gaan.

Opstelten wil straks politie en openbaar ministerie op afstand onderzoek laten doen in computers van criminelen en - indien nodig - gegevens overnemen of ontoegankelijk maken. Het betreft het zogeheten ‘onderzoek in een geautomatiseerd werk’ dat opsporingsambtenaren ruimte geeft onder strikte voorwaarden verschillende onderzoekshandelingen toe te passen bij opsporing van ernstige delicten. Hiervoor is niet alleen een bevel van de officier van justitie vereist, maar ook instemming van de rechter-commissaris. Daarbij gaat het niet alleen om het ontoegankelijk maken of het overnemen van gegevens, zoals kinderpornografie of opgeslagen e-mailberichten met informatie over misdrijven, maar ook om observatie en het aftappen van communicatie.

Het wetsvoorstel voorziet tevens in de mogelijkheid om verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer. De officier van justitie geeft dan een zogeheten decryptiebevel aan de verdachte, na machtiging van de rechter-commissaris. Verder regelt het kabinet dat heling van computergegevens strafbaar wordt. Dat moet voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen.

Lokpuber

Daarnaast maakt de bewinsdman de inzet mogelijk van zogeheten lokpubers voor de opsporing en vervolging van personen die via internet in contact willen komen met minderjarigen om ze seksueel te misbruiken. Dit staat bekend als grooming, waarbij een kind met behulp van chat- of emailverkeer wordt verleid tot een ontmoeting. Een lokpuber is een politiefunctionaris die onder een dekmantel werkt en zich voordoet als een minderjarige onder de zestien jaar. Dit kan ook een animatie van een persoon zijn, waardoor de dader denkt dat hij met een minderjarige te maken heeft. Ook als een minderjarige wordt verleid getuige te zijn van seksuele handelingen, kan een lokpuber worden ingezet.

Online fraude

Malafide verkopers die op internet herhaaldelijk goederen of diensten te koop aanbieden maar niet leveren, kunnen straks strafrechtelijk worden vervolgd. Op websites worden kopers verleid te betalen zonder dat de goederen of diensten worden geleverd. Slachtoffers blijven met lege handen achter omdat de verkoper voor hen niet of nauwelijks is te achterhalen.

Vervolging van deze malafide verkopers is moeilijk omdat verkoop van goederen op internet, zonder te leveren, volgens huidige jurisprudentie niet zonder meer een veroordeling voor oplichting oplevert. Dit heeft te maken met de ontwikkeling van het internet en de invloed daarvan op het handelsverkeer. Consumenten kopen steeds meer ‘op afstand’ en worden slachtoffer van nieuwe vormen van handelsfraude. Daarom past het kabinet de wet aan, zodat het openbaar ministerie malafide praktijken op het internet beter kan vervolgen. Slachtoffers zijn daarbij gebaat: zij kunnen zich voor schadevergoeding als benadeelde partij voegen in het strafproces.

Bron: Rijksoverheid

Het onderzoek naar de verdenkingen van grootschalig hacking door een 19-jarige Rotterdammer is nog niet klaar. Maar het Openbaar Ministerie verwacht de zaak over drie maanden inhoudelijk te kunnen behandelen. Dat bleek donderdagochtend bij de pro-formabehandeling van de zaak tegen de jongeman die in oktober werd aangehouden.

De Rotterdammer werd in oktober aangehouden op verdenking van grootschalig hacking. Dat gebeurde nadat de digitale opsporing van de politie Eenheid Rotterdam in twee onderzoeken naar hacking uitkwam bij hetzelfde adres. Onderzoek naar degene achter dat adres leidde tot het vermoeden dat hij duizenden computers had gehackt. Vermoedelijk kon de man op afstand webcams aan en uit zetten, downloadde hij bestanden van andermans computer, mogelijk vernietigde hij ook bestanden, of hij keek mee en downloadde chats van gehackte computers.

Gaande het onderzoek is ook gebleken dat deze verdachte vermoedelijk schuilging achter de publicatie van het VWO-eindexamen Frans op internet, één dag voor het werd afgenomen. Die publicatie leidde onder andere tot het onderzoek naar de grootschalige examendiefstal op een Rotterdamse middelbare school. Donderdag maakte het Openbaar Ministerie bekend dat de 19-jarige Rotterdammer ook vervolgd gaat worden voor het hacken van de computer waarmee dat examen op internet werd gezet.

In de computers van de man zijn ruim 42 miljoen bestanden gevonden. Daaronder is materiaal dat als kinderpornografisch kan worden gekwalificeerd. Door in te breken op computers zou de man door tieners zelfgemaakt materiaal met een seksuele lading hebben kunnen downloaden, dan wel met de gehackte webcams opnames hebben kunnen maken van tieners in seksuele poses. Inmiddels zijn zo'n  25 slachtoffers van deze hacks geïdentificeerd, onder wie 10 Belgische meisjes. Het OM maakte donderdag bekend door middel van een rechtshulpverzoek de Belgische autoriteiten om assistentie te gaan vragen bij het inlichten van deze meisjes.

De verdachte blijft in voorlopige hechtenis.

Bron: OM