Cyberspace, de cloud, en grensoverschrijdende opsporing: de grenzen en mogelijkheden van internationaal recht

/

Door de opkomst van cloud computing (het gebruik van schaalbare computercapaciteit als Internetdienst) worden computergegevens steeds vaker opgeslagen ‘in de cloud’ in plaats van op apparaten van gebruikers. Een bepaald bestand kan hierdoor gelijktijdig op meerdere plaatsen worden opgeslagen, terwijl het niet op één bepaalde plaats in zijn geheel hoeft te zijn opgeslagen. Uit snelheidsoverwegingen zullen data vaak opgeslagen worden in het serverpark dat het dichtst bij de locatie van de gebruiker ligt. Er kunnen meerdere aanbieders in gelaagde constructies betrokken zijn bij cloud computing. Ook kunnen data versleuteld zijn. De cloud heeft daarom significante gevolgen voor strafrechtelijke opsporingsonderzoeken, met name wanneer naar digitaal bewijs wordt gezocht. Lokale doorzoeking en inbeslagneming door de politie zal steeds minder bewijs opleveren door het gebruik van clouddiensten zoals webmail en dataopslag-op-afstand. Dit versterkt de al bestaande uitdagingen van cyberopsporing, zoals de noodzaak van snelle bewijsvergaring vanwege de kwetsbaarheid voor dataverlies en de vraag of bevoegdheden toereikend zijn om op afstand toegang te krijgen tot data. Een specifieke uitdaging bij cyberopsporing wordt gevormd door het feit een onderzoek zich snel uitstrekt tot buiten de landsgrenzen. Staten zullen dan terug moeten vallen op de traditionele procedures voor wederzijdse rechtshulp in strafzaken, wat over het algemeen een lastig proces is in cyberopsporing. Naast de organisatorische (capaciteitsproblemen, prioriteitstelling) en juridische (dubbele strafbaarheid) beperkingen, beschouwen de uitvoerders van cyberopsporing de rechtshulpprocedures als omslachtig en ineffectief voor digitale bewijsvergaring. Ondanks de inspanningen die zijn verricht om wederzijdse rechtshulp in cyberopsporingszaken te vergemakkelijken, blijven de procedures ontoereikend in situaties waarbij snelle datavergaring essentieel is of in situaties waarbij (cyber)criminelen data veelvuldig verplaatsen. De procedures bieden ook geen soelaas wanneer de locatie van de data niet, of alleen door middel van tijdrovende inspanningen, kan worden vastgesteld; dat kan vaak het geval zijn bij cloud computing.

Waar de gangbare procedures voor wederzijdse rechtshulp ontoereikend zijn, dringt de vraag zich op of, en onder welke omstandigheden, grensoverschrijdende opsporing toegestaan is. Dit is niet alleen een relevante vraag voor computercriminaliteit, maar voor alle misdaden waarbij daders communiceren via email of smartphone-apps of gebruik maken van cloud-opslagdiensten. Ondanks de nodige pogingen om grensoverschrijdende cyberopsporing te vergemakkelijken, zijn er op dit vlak nog weinig zichtbare resultaten geboekt. Een belangrijke oorzaak daarvan is het feit dat op territorium gebaseerde nationale soevereiniteit de basis vormt voor internationaal recht, waardoor het internationaal recht onderzoeksactiviteiten op buitenlands grondgebied strikt verbiedt als er geen toestemming is van de buitenlandse staat. Er is daarom sprake van een impasse: cyberopspoorders willen op een of andere manier grensoverschrijdend kunnen opsporen maar kunnen dit niet door de huidige interpretatie van internationaal recht, en de uitdagingen van cyberopsporing hebben staten er vooralsnog niet toe bewogen om nieuwe regels te creëren die de strikte interpretatie van soevereiniteit loslaten.

Tegen deze achtergrond van een 21e -eeuws cloud computing-paradigma dat aanloopt tegen 20e - eeuwse procedures voor wederzijdse rechtshulp in strafzaken ontvouwt zich het probleem dat centraal staat in dit onderzoek. Dit rapport beoogt het debat over grensoverschrijdende cyberopsporing een stap verder te brengen door een brug te slaan tussen de gebieden van cyberopsporing en internationaal recht.

De onderzoeksvraag is welke grenzen en mogelijkheden er bestaan in het internationaal recht voor grensoverschrijdend cyberonderzoek door opsporingsinstanties.

Lees verder:

 

/ /
,

joyce verhaert

Print Friendly and PDF ^

Marktplaatsoplichting: Cybercrime of e-commerce, that's the question?

/

Vrijgesproken worden van oplichting, terwijl op hetzelfde moment iemand door een andere rechter veroordeeld wordt voor hetzelfde feit. Of, als raadsman terechtgewezen worden door de de rechter in een strafzaak omdat het niet slechts een civiele aangelegenheid is. Welkom in de bijzondere wereld van de Marktplaatsoplichting. Lees verder:

 

/ /

joyce verhaert

Print Friendly and PDF ^

Twee mannen aangehouden in onderzoek naar hacken computers en bankrekeningen

/

De politie heeft afgelopen dinsdag een 28-jarige Iraniër en een 26-jarige Pool uit Delft aangehouden die verdacht worden van computervredebreuk, oplichting, witwassen en valsheid in geschrift.

Internetbankieren

Het onderzoek onder leiding van het Landelijk Parket is gestart na een melding van een bank. Een onderzoeker van de bank stelde onregelmatigheden vast in via het internetbankieren account van een klant. Hierbij zijn sporen naar boven gekomen die hebben geleid naar de verdachten.

Rekeningnummers veranderen

Vermoedelijk hebben de verdachten computers van bedrijven besmet door grootschalig spam met malware te verspreiden via bijlagen in e-mailberichten. De spam werd naar duizenden email-adressen verspreid. Met behulp van de malware werd een Remote Acces Tool (RAT) geinstalleerd op de besmette computer, waarna de verdachten vrijwel volledige inzage konden krijgen in de besmette computers. Ze konden onder meer wachtwoorden onderscheppen en webcams aanzetten.

Op die manier hebben de verdachten vermoedelijk ook de bankoverschrijvingen die digitaal werden aangemaakt veranderd voordat ze werden verstuurd naar de bank. Op het moment dat er transacties werden klaargezet, veranderden de verdachten de rekeningnummers van de ontvangers.

De slachtoffers dachten dat ze geld overmaakten naar een bekende, maar in werkelijkheid kwam het geld terecht op de rekening van bekenden van de verdachten. Zij zorgden er later voor dat het geld bij de verdachten terecht kon komen.

77 Besmette computers

De spam werd op grote schaal verspreid en de verdachten hebben vermoedelijk meerdere grootschalige spamruns uitgevoerd, waardoor zij keer op keer bedrijven bleven besmetten. Op het moment van de aanhouding van een van de verdachten constateerde de politie dat hij op dat moment contact had met 77 besmette computers, waar hij direct toegang tot had.

De verdachten zijn vandaag voorgeleid bij de rechter-commissaris in Rotterdam en voor veertien dagen in bewaring gesteld.

Bron: OM

/ /

joyce verhaert

Print Friendly and PDF ^

Internetconsultatie Over Meldplicht Cybersecurity: Ruimere Gevolgen Dan Alleen Voor Aanbieders Vitale Infrastructuur

/

Het ministerie van Veiligheid en Justitie heeft op internetconsultatie.nl een wetsvoorstel gepubliceerd dat een meldplicht introduceert voor aanbieders van vitale infrastructuur bij bepaalde inbreuken. Opvallend is dat het wetsvoorstel ook voor alle andere partijen verplichtingen oplegt.

Zo introduceert het wetsvoorstel ook een informatieplicht voor iedereen (niet alleen voor aanbieders van vitale infrastructuur). Artikel 4 bepaalt namelijk dat de minister aan een ieder kan verzoeken om gegevens te verstrekken ten behoeve van de doeleinden en taken die in artikel 2 genoemd zijn.

/ /
,

joyce verhaert

Print Friendly and PDF ^

Concept wetsvoorstel gegevensverwerking en meldplicht cybersecurity in consultatie

/

Vandaag is Concept wetsvoorstel gegevensverwerking en meldplicht cybersecurity in consultatie gegaan. Dit wetsvoorstel introduceert een meldplicht voor ernstige ICT-inbreuken en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie op het terrein van cybersecurity. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving.

Doel van de regeling

De melding moet worden gedaan aan de Minister van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan.

De regels over gegevensverwerking beogen versteviging van de wettelijke grondslag voor de werkzaamheden van het NCSC en duidelijkheid over de verstrekking door het NCSC van vertrouwelijke gegevens aan derden.

Doelgroepen die door de regeling worden geraakt

Aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden.

Verwachte effecten van de regeling

Voor de samenleving vitale partijen (bedrijven en overheidsorganisaties) kunnen door dit wetsvoorstel effectiever door het NCSC worden bijgestaan om de beschikbaarheid en betrouwbaarheid van hun producten en diensten te waarborgen of te herstellen. Dat is ook in het belang van niet-vitale partijen en van burgers. Als een ernstige ICT-inbreuk onder de meldplicht valt, dan veroorzaakt dat voor de getroffen aanbieder een bescheiden stijging van zijn administratieve lasten.

/ /
,

joyce verhaert

Print Friendly and PDF ^