'Zorgplichten tegen cybercrime'

Op 16 en 17 april 2015 vond de Global Conference on Cyber Space 2015 in Den Haag plaats. De bestrijding van cybercrime stond daarbij hoog op de agenda. Cybercrime is wereldwijd een van de grote uitdagingen van het internet, en een terrein waarop Nederland vaak een voortrekkersrol speelt. Meestal richt de aandacht zich op daders en slachtoffers, maar bij een integrale aanpak van cybercrime moeten ook derde partijen worden betrokken, zoals internetaanbieders en softwareontwikkelaars. Kunnen deze derden ook juridisch worden aangesproken als zij hun rol bij de bestrijding van cybercrime verwaarlozen? Lees verder:

 

Print Friendly and PDF ^

Eerste Kamer akkoord met Implementatiewetsvoorstel EU-richtlijn aanvallen op informatiesystemen

De Eerste Kamer heeft op 21 april ingestemd met het Implementatiewetsvoorstel EU-richtlijn aanvallen op informatiesystemen. Met deze wet, die richtlijn 2013/40/EU  over aanvullen op informatiesystemen in het Wetboek van Strafrecht implementeert, wordt de strafbaarstelling van computercriminaliteit aangescherpt. Het gaat om de verhoging van enkele strafmaxima en de toevoeging van een aantal strafverzwarende omstandigheden aan de computerdelicten. Met dit voorstel worden de minimale maximumstraffen van een aantal computermisdrijven verhoogd naar 2 jaar. Daarnaast worden 3 strafverzwarende omstandigheden toegevoegd. De maximale gevangenisstraf wordt verhoogd naar 3 jaar wanneer gebruik wordt gemaakt van een "botnet", en naar 5 jaar wanneer het strafbare feit ernstige schade ten gevolge heeft of wanneer het feit is gepleegd tegen een geautomatiseerd werk van een vitale infrastructuur.

De Tweede Kamer heeft het voorstel op 26 maart 2015 als hamerstuk afgedaan.

De Eerste Kamercommissie voor Veiligheid en Justitie (V&J) heeft 14 april 2015 het blanco eindverslag uitgebracht. Het voorstel is op 21 april 2015 als hamerstuk afgedaan.

 

Print Friendly and PDF ^

Cyberspace, de cloud, en grensoverschrijdende opsporing: de grenzen en mogelijkheden van internationaal recht

Door de opkomst van cloud computing (het gebruik van schaalbare computercapaciteit als Internetdienst) worden computergegevens steeds vaker opgeslagen ‘in de cloud’ in plaats van op apparaten van gebruikers. Een bepaald bestand kan hierdoor gelijktijdig op meerdere plaatsen worden opgeslagen, terwijl het niet op één bepaalde plaats in zijn geheel hoeft te zijn opgeslagen. Uit snelheidsoverwegingen zullen data vaak opgeslagen worden in het serverpark dat het dichtst bij de locatie van de gebruiker ligt. Er kunnen meerdere aanbieders in gelaagde constructies betrokken zijn bij cloud computing. Ook kunnen data versleuteld zijn. De cloud heeft daarom significante gevolgen voor strafrechtelijke opsporingsonderzoeken, met name wanneer naar digitaal bewijs wordt gezocht. Lokale doorzoeking en inbeslagneming door de politie zal steeds minder bewijs opleveren door het gebruik van clouddiensten zoals webmail en dataopslag-op-afstand. Dit versterkt de al bestaande uitdagingen van cyberopsporing, zoals de noodzaak van snelle bewijsvergaring vanwege de kwetsbaarheid voor dataverlies en de vraag of bevoegdheden toereikend zijn om op afstand toegang te krijgen tot data. Een specifieke uitdaging bij cyberopsporing wordt gevormd door het feit een onderzoek zich snel uitstrekt tot buiten de landsgrenzen. Staten zullen dan terug moeten vallen op de traditionele procedures voor wederzijdse rechtshulp in strafzaken, wat over het algemeen een lastig proces is in cyberopsporing. Naast de organisatorische (capaciteitsproblemen, prioriteitstelling) en juridische (dubbele strafbaarheid) beperkingen, beschouwen de uitvoerders van cyberopsporing de rechtshulpprocedures als omslachtig en ineffectief voor digitale bewijsvergaring. Ondanks de inspanningen die zijn verricht om wederzijdse rechtshulp in cyberopsporingszaken te vergemakkelijken, blijven de procedures ontoereikend in situaties waarbij snelle datavergaring essentieel is of in situaties waarbij (cyber)criminelen data veelvuldig verplaatsen. De procedures bieden ook geen soelaas wanneer de locatie van de data niet, of alleen door middel van tijdrovende inspanningen, kan worden vastgesteld; dat kan vaak het geval zijn bij cloud computing.

Waar de gangbare procedures voor wederzijdse rechtshulp ontoereikend zijn, dringt de vraag zich op of, en onder welke omstandigheden, grensoverschrijdende opsporing toegestaan is. Dit is niet alleen een relevante vraag voor computercriminaliteit, maar voor alle misdaden waarbij daders communiceren via email of smartphone-apps of gebruik maken van cloud-opslagdiensten. Ondanks de nodige pogingen om grensoverschrijdende cyberopsporing te vergemakkelijken, zijn er op dit vlak nog weinig zichtbare resultaten geboekt. Een belangrijke oorzaak daarvan is het feit dat op territorium gebaseerde nationale soevereiniteit de basis vormt voor internationaal recht, waardoor het internationaal recht onderzoeksactiviteiten op buitenlands grondgebied strikt verbiedt als er geen toestemming is van de buitenlandse staat. Er is daarom sprake van een impasse: cyberopspoorders willen op een of andere manier grensoverschrijdend kunnen opsporen maar kunnen dit niet door de huidige interpretatie van internationaal recht, en de uitdagingen van cyberopsporing hebben staten er vooralsnog niet toe bewogen om nieuwe regels te creëren die de strikte interpretatie van soevereiniteit loslaten.

Tegen deze achtergrond van een 21e -eeuws cloud computing-paradigma dat aanloopt tegen 20e - eeuwse procedures voor wederzijdse rechtshulp in strafzaken ontvouwt zich het probleem dat centraal staat in dit onderzoek. Dit rapport beoogt het debat over grensoverschrijdende cyberopsporing een stap verder te brengen door een brug te slaan tussen de gebieden van cyberopsporing en internationaal recht.

De onderzoeksvraag is welke grenzen en mogelijkheden er bestaan in het internationaal recht voor grensoverschrijdend cyberonderzoek door opsporingsinstanties.

Lees verder:

 

Print Friendly and PDF ^

Marktplaatsoplichting: Cybercrime of e-commerce, that's the question?

Vrijgesproken worden van oplichting, terwijl op hetzelfde moment iemand door een andere rechter veroordeeld wordt voor hetzelfde feit. Of, als raadsman terechtgewezen worden door de de rechter in een strafzaak omdat het niet slechts een civiele aangelegenheid is. Welkom in de bijzondere wereld van de Marktplaatsoplichting. Lees verder:

 

Print Friendly and PDF ^

Twee mannen aangehouden in onderzoek naar hacken computers en bankrekeningen

De politie heeft afgelopen dinsdag een 28-jarige Iraniër en een 26-jarige Pool uit Delft aangehouden die verdacht worden van computervredebreuk, oplichting, witwassen en valsheid in geschrift.

Internetbankieren

Het onderzoek onder leiding van het Landelijk Parket is gestart na een melding van een bank. Een onderzoeker van de bank stelde onregelmatigheden vast in via het internetbankieren account van een klant. Hierbij zijn sporen naar boven gekomen die hebben geleid naar de verdachten.

Rekeningnummers veranderen

Vermoedelijk hebben de verdachten computers van bedrijven besmet door grootschalig spam met malware te verspreiden via bijlagen in e-mailberichten. De spam werd naar duizenden email-adressen verspreid. Met behulp van de malware werd een Remote Acces Tool (RAT) geinstalleerd op de besmette computer, waarna de verdachten vrijwel volledige inzage konden krijgen in de besmette computers. Ze konden onder meer wachtwoorden onderscheppen en webcams aanzetten.

Op die manier hebben de verdachten vermoedelijk ook de bankoverschrijvingen die digitaal werden aangemaakt veranderd voordat ze werden verstuurd naar de bank. Op het moment dat er transacties werden klaargezet, veranderden de verdachten de rekeningnummers van de ontvangers.

De slachtoffers dachten dat ze geld overmaakten naar een bekende, maar in werkelijkheid kwam het geld terecht op de rekening van bekenden van de verdachten. Zij zorgden er later voor dat het geld bij de verdachten terecht kon komen.

77 Besmette computers

De spam werd op grote schaal verspreid en de verdachten hebben vermoedelijk meerdere grootschalige spamruns uitgevoerd, waardoor zij keer op keer bedrijven bleven besmetten. Op het moment van de aanhouding van een van de verdachten constateerde de politie dat hij op dat moment contact had met 77 besmette computers, waar hij direct toegang tot had.

De verdachten zijn vandaag voorgeleid bij de rechter-commissaris in Rotterdam en voor veertien dagen in bewaring gesteld.

Bron: OM

Print Friendly and PDF ^

Internetconsultatie Over Meldplicht Cybersecurity: Ruimere Gevolgen Dan Alleen Voor Aanbieders Vitale Infrastructuur

Het ministerie van Veiligheid en Justitie heeft op internetconsultatie.nl een wetsvoorstel gepubliceerd dat een meldplicht introduceert voor aanbieders van vitale infrastructuur bij bepaalde inbreuken. Opvallend is dat het wetsvoorstel ook voor alle andere partijen verplichtingen oplegt.

Zo introduceert het wetsvoorstel ook een informatieplicht voor iedereen (niet alleen voor aanbieders van vitale infrastructuur). Artikel 4 bepaalt namelijk dat de minister aan een ieder kan verzoeken om gegevens te verstrekken ten behoeve van de doeleinden en taken die in artikel 2 genoemd zijn.

Print Friendly and PDF ^

Concept wetsvoorstel gegevensverwerking en meldplicht cybersecurity in consultatie

Vandaag is Concept wetsvoorstel gegevensverwerking en meldplicht cybersecurity in consultatie gegaan. Dit wetsvoorstel introduceert een meldplicht voor ernstige ICT-inbreuken en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie op het terrein van cybersecurity. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving.

Doel van de regeling

De melding moet worden gedaan aan de Minister van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan.

De regels over gegevensverwerking beogen versteviging van de wettelijke grondslag voor de werkzaamheden van het NCSC en duidelijkheid over de verstrekking door het NCSC van vertrouwelijke gegevens aan derden.

Doelgroepen die door de regeling worden geraakt

Aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden.

Verwachte effecten van de regeling

Voor de samenleving vitale partijen (bedrijven en overheidsorganisaties) kunnen door dit wetsvoorstel effectiever door het NCSC worden bijgestaan om de beschikbaarheid en betrouwbaarheid van hun producten en diensten te waarborgen of te herstellen. Dat is ook in het belang van niet-vitale partijen en van burgers. Als een ernstige ICT-inbreuk onder de meldplicht valt, dan veroorzaakt dat voor de getroffen aanbieder een bescheiden stijging van zijn administratieve lasten.

Print Friendly and PDF ^

‘Bijzondere rechter’ Christiaan Baardman: specialist cybercrime

Computers spelen steeds vaker een rol in de misdaad. Niet alleen in high-tech crime, zoals hackers die dreigen een energiebedrijf lam te leggen. Ook traditionele delicten als diefstal, verduistering, oplichting, afpersing, belediging, discriminatie en smaad, kinderlokken (‘grooming’) en het vergaren van kinderporno worden via de computer gepleegd.

Om voldoende kennis in huis te hebben voor de berechting van dergelijke delicten, heeft de Rechtspraak het Kenniscentrum Cybercrime opgericht. Senior raadsheer bij het gerechtshof Den Haag Christiaan Baardman is coördinator van dit centrum. Samen met twee collega’s verzamelt hij voor alle rechters en gerechtssecretarissen in Nederland kennis over dit rechtsgebied. Baardman kan uren vertellen over botnets waarmee criminelen banken plat kunnen leggen en Tor-netwerken die kinderpornobezitters gebruiken om anoniem hun duistere verzameling uit te breiden. “Ik ben een jurist, geen techneut”, zegt hij. “Maar ik wil wel in grote lijnen weten hoe het werkt en collega’s daarover informeren. Hoe kunnen wij deze zaken anders goed beoordelen?”

Lees verder:

Print Friendly and PDF ^

Achttien maanden gevangenisstraf voor hacken

Op 11 december 2014 heeft de rechtbank Rotterdam een man veroordeeld tot een gevangenisstraf van achttien maanden voor een poging tot computercriminaliteit (‘hacken’), alsmede oplichting middels identiteitsfraude.

De 32 jarige man heeft geprobeerd in te breken in het netwerk van de ING bank en overslagbedrijf ECT. Verder heeft de man zich schuldig gemaakt aan oplichting. Hij heeft mensen die dachten online te solliciteren kopieën van hun rijbewijs en bankpas ontfutseld. Vervolgens bestelde hij op naam van deze personen en met hun legitimatiebewijs goederen zoals telefoons. Deze werden dan afgeleverd op een adres waar ze voor of door de verdachte in ontvangst werden genomen.

De rechtbank vindt dit ernstige feiten. Voor de slachtoffers van de oplichtingen was het zeer vervelend om te constateren dat hun identiteit is misbruikt en dat met hun identiteit leningen zijn aangegaan en goederen zijn aangeschaft. Op deze manier heeft de verdachte de persoonlijke levenssfeer van de slachtoffers van de slachtoffers aangetast en hen veel ongemak en schade toegebracht.

De man heeft ook het vertrouwen van de maatschappij geschaad in de veiligheid van digitale persoons- en bedrijfsgegevens. Het hacken van computernetwerken kan veel schade veroorzaken bij getroffen organisaties en brengt aanzienlijke kosten met zich mee in de vorm van het herstellen van de geïnfecteerde systemen en preventie tegen nieuwe inbraken.

Print Friendly and PDF ^

'Hacking without a legal basis'

In May 2014, the Dutch Public Prosecution Office announced that the Dutch police participated in a global action against ‘Blackshades’ malware. Blackshades enables individuals to remotely take over computers and copy information (among other functionalities). The Dutch press release stated that: “Team High Tech Crime of the Dutch police saw an opportunity to enter the Blackshades server and secure a large amount of information. The location of the server is unknown”.

This statement implies that Dutch law enforcement authorities entered the server remotely to copy data. Said in other words, Dutch law enforcement authorities hacked a server without knowing the location of the server to secure information. The problem is that there is arguably no legal basis for hacking in Dutch criminal procedural law.

Lees verder:

 

Meer weten over de uitdagingen die cybercrime met zich brengt? Kom dan op Vrijdag 28 november 2014 naar de Studiedag Cybercrime

Klik hier voor meer informatie.

Print Friendly and PDF ^