By

Het zijn de jaren van digitale diefstal! Waarom nog een snackbar of tankstation overvallen? Zakkenrollen en winkeldiefstallen raken ook vrij ouderwets. Een beetje crimineel vandaag de dag is thuis in de computer- en ICT-wereld en maakt zijn handen niet meer vuil aan zulke platte misdaden. De internetcrimineel heeft het beter bekeken en gaat aan de slag onder het genot van een kop koffie en het comfort van zijn woonkamer. Diefstal kan tegenwoordig immers op veel snellere, efficiëntere en veiligere manieren vergeleken met de vroegere diefstalpraktijken. Hackers blijken tegen onwetende computergebruikers, overheden en bedrijven uiterst effectief, want elk jaar wordt voor zo’n 8,8 miljard Nederlandse euro’s aan kosten gemaakt door toedoen van hackers, hackersgroepen en buitenlandse overheden, die het vertrouwen in het internet stelselmatig verstoren. Dat volgt uit onderzoek van de gerenommeerde ICT-beveilingsgigant McAffee.(1)

De tijd van creditcard fraude en phishing viert nog steeds hoogtij, maar het is inmiddels al lang niet meer de enige dreigingsvorm van cybercriminaliteit. Professioneel georganiseerde criminelen voeren een non-stop fortuin kostende bedrijfsvoering voor overheden en particulieren. Grote spelers, zoals chipfabrikant ASML, maar ook particulieren zijn slachtoffer van deze activiteiten. Daarnaast wordt er enthousiast gehackt door buitenlandse overheden om inlichtingen te winnen en bovendien bedrijfsgeheimen te stelen die soms hoge economische waardes vertegenwoordigen. Ondanks de relatieve onzichtbaarheid van deze criminaliteitsvormen bestaat er grote activiteit binnen dit circuit.

In dit artikel wordt kort ingegaan op de cyberdreiging waar Nederland mee te maken heeft en hoe hier van overheidswege op wordt gereageerd. Wat zijn de (wettelijke) maatregelen die de regering neemt om dit probleem aan te pakken? Voldoen deze maatregelen? Wat zijn valkuilen en dreigingen voor Nederland in de wereld van cybercriminaliteit? Kan men zich wel echt beschermen? Hier volgt een korte uiteenzetting van de problematiek, de genomen maatregelen in de vorm van het wetsvoorstel computercriminaliteit III en de nieuwste uitdagingen die burgers en overheidsbeleid op de proef zal stellen. Er wordt hieronder bovendien uitgebreider ingegaan op de praktijk van het hacken.

Hoe en hoeveel wordt precies gehackt?

Cybercriminaliteit is een verzamelnaam voor verschillende vormen van criminaliteit op of via het internet. Hierbij moet je denken aan o.a. internetfraude, verspreiding van kinderporno, digitaal pesten, (tegenwoordig ook) illegaal downloaden, kortom: illegale activiteiten door gebruikmaking van het internet. Ook de definitie hacken wordt vaak gebruikt als synoniem voor een veelvoud aan illegale computeractiviteiten, maar is in feite meer specifiek. Het CBS omschrijft hacken als volgt en dit is bovendien de aangehouden definitie in dit artikel: het zonder toestemming binnendringen van iemands computer.(2) Het begrip computer moet hier ruim worden opgevat, zodat het ook tablets, smartphones en soortgelijke apparatuur omvat. Hacken is immers een van de meest gangbare misdrijven op het internet en daarmee ook algemeen bekend. Het hacken van computers gebeurt op verschillende manieren: bekende vormen zijn phishing, spoofing en het gebruik van keyloggers etc.(3) Voor degenen die de ontwikkelingen enigszins volgen is dit geen vernieuwend verhaal en is kennis over het verkleinen van de kans op slachtofferschap wellicht aanwezig. Hoewel veel voorlichting beschikbaar is, is het aantal slachtoffers slechts licht gedaald tot 5,2 procent van de gehele Nederlandse bevolking, wat neerkomt op honderdduizenden mensen.(4) Men weet vaak niet goed hoe zich te beschermen tegen hackers of zijn slecht op de hoogte van de gevaren.

Wetsvoorstel ter verbetering en versterking van de opsporing en vervolging van computercriminaliteit III

Om de nieuwe ontwikkelingen het hoofd te bieden heeft de staatssecretaris van veiligheid en justitie, Dijkhoff een wetsvoorstel ingediend dat als doel heeft om daadkrachtiger te kunnen reageren op de nieuwste ontwikkelingen. Er wordt namelijk geconcludeerd dat de huidige opsporingsmethoden simpelweg ontoereikend zijn.(5) Met invoering van dit wetsvoorstel gaat het allereerst om een versterking van het juridisch instrumentarium. Daarnaast schept het bevoegdheden voor politie en justitie om de opsporing te vergemakkelijken m.b.t. een ‘geautomatiseerd werk’; het inbreken in computers van verdachten. Het wetsvoorstel wordt ook wel omschreven als een ‘terughack wet’. Door de verruiming van de bevoegdheden wordt het bovendien eenvoudiger en doeltreffender om ook andere vormen van cybercriminaliteit zoals grooming (ontucht uitlokken op het internet) aan te pakken. Het wetsvoorstel moet het hoofd bieden tegen problemen op verschillende vlakken binnen cybercriminaliteit. Zo zien we maatregelen tegen ontucht, online handelsfraude en terrorisme.

Enerzijds voorziet het wetsvoorstel dus in de verruiming van opsporingsbevoegdheden. Zo mogen o.a. ‘lokpubers’ worden ingezet om pedoseksuelen op te sporen. Anderzijds zijn er meerdere wetsartikelen in het wetboek van strafrecht die een verzwaarde strafmaat krijgen toegewezen (langere gevangenisstraffen + hogere geldboetes). Artikel 248 e Sr, dat toeziet op de strafbaarstelling van grooming (meer specifiek: het online anders voordoen met het oogmerk ontuchtige handelingen met een minderjarig persoon tot stand te brengen) is een belangrijk kenmerk. Ook de heling van illegaal verkregen data is zelfstandig strafbaar gesteld in art. 139g.

Een belangrijke toevoeging is art. 125p Sv. Deze wetswijziging stelt de officier van justitie in staat om aanbieders van communicatiediensten te verplichten inzicht te geven in het dataverkeer van hun klanten en deze ook actief te manipuleren.(6) Zo kunnen gegevens ontoegankelijk worden gemaakt, voor zover dat noodzakelijk is ter beëindiging van strafbaar feit en de preventie ervan. Hierbij kun je denken aan het stoppen van de verspreiding van kinderporno.

Verder wordt een gehele nieuwe afdeling in het wetboek van Strafvordering ingevoegd, namelijk de achtste afdeling: ‘onderzoek in een geautomatiseerd werk’. Deze afdeling stelt opsporingsambtenaren in staat om actief binnen te dringen in computers, mits aan de voorwaarden voldaan. Dit is een waardevolle en controversiële toevoeging voor de slagvaardigheid en het uiteindelijke slagen van de opsporing; voornamelijk art. 126nba Sv voorziet hierin.

Vanzelfsprekend is ook gedacht aan de huidige terroristische dreigingen. In geval van aanwijzingen van terroristische misdrijven mag een geautomatiseerd werk grondig worden onderzocht. Dit is ook toegestaan als het gaat om ernstige misdrijven waar meer dan acht jaar gevangenisstraf op staat.(7) Kortom, het instrumentarium van de autoriteiten is behoorlijk opgerekt nu er een groot gebrek aan slagvaardig optreden bestond, volgens Dijkhoff. Toch levert het grote implicaties op voor de privacy van burgers. Op een pc wordt immers persoonlijke en gevoelige informatie bewaard. Ondanks de waarborgen die worden genoemd in art. 67 Sv, de verdachte-eis en andere aanvullingen is het uitlezen van onnodige data snel geschied. Eenmaal binnengedrongen op een pc zal de opsporingsambtenaar of officier van justitie een groot deel van de inhoud moeten doorzoeken, voordat hij op de gewenste (data)gegevens uitkomt, als dit al gebeurt. Hierbij is de kans groot dat hij terecht zal komen op data m.b.t. derden die niets van doen hebben met de concrete verdenking; denk aan foto’s, communicatie en andere informatie die tussen twee individuen d.m.v. computers vandaag de dag worden uitgewisseld. Toch lijkt dit juridisch onvermijdelijk, nu het internet en de computer uiterst geschikt zijn voor de vorming van een illegale infrastructuur met inhoud die goed te verbergen valt en daarmee de toon zet voor criminaliteit.

Ondanks de privacy problematiek is dankzij de nieuwe uitbreiding van bevoegdheden voor politie en justitie slechts een kleine, maar ingrijpende stap genomen voor de oplossing van computercriminaliteit. Zoals duidelijk geworden is probeert het wetsvoorstel verschillende vormen van cybercriminaliteit aan te pakken die zich vooral recentelijk ontwikkelt hebben. Ondanks het creëren van de noodzakelijke juridische handvaten om deze problemen aan te pakken blijkt dat in de praktijk een stuk lastiger uit te voeren als we kijken naar de schaal waarop cybercriminaliteit plaatsvindt. Ook wanneer we focussen op het hacken, blijft het erg lastig om te achterhalen welke identiteit schuilt achter een hack. Het vervolgen van hackers gaat bovendien nog een moeilijkheidsgraad verder. Het presenteren van concrete aanwijzingen en bewijs is geen gemakkelijke opgave. Vaak merkt de computergebruiker niet eens dat hij of zij wordt gehackt. Pas als er financieel misbruik in het spel komt wordt het snel duidelijk dat iets niet in de haak is. Deze vorm van criminaliteit bevindt zich in een digitale ruimte die anders dan de reguliere vormen van criminaliteit weinig concreet gestalte krijgt m.b.t. de identificatie van personen, althans vele malen minder. Daarmee is het een uitstekende manier voor crimineel gedrag. Het is eenvoudig om anonimiteit te bewerkstelligen en daarmee zakt de pakkans snel tot een minimum.

Wearables

Een goed voorbeeld om nieuwe uitdagingen te illustreren is de opkomst van wearabels die in verbinding met het internet staan. Wearables zijn gadgets / technologieën die gedragen kunnen worden op of aan het lichaam voor bijvoorbeeld communicatieve en registratieve doeleinden. Wearables als smartwatches, Google Glass, polsbandjes en fitness trackers vallen onder de bekendste. Vaak is vereist dat ze in verbinding met het internet staan om bruikbaar te zijn. Niet enkel consumenten, maar ook bedrijven kunnen hier veel profijt van hebben. Onder andere de logistieke-, sport- en medische sector zien hier veel mogelijkheden voor de toekomst. Het gebruik van deze ‘tools’ resulteert echter in nieuwe uitdagingen. Ze creëren namelijk een extra digitale toegangspoort voor hackers. De wearables van werknemers staan in contact met bijvoorbeeld de smartphone of pc van die werknemer. Via de wearable is het mogelijk om eenvoudige toegang te verschaffen tot het apparaat van de werknemer die wellicht vertrouwelijke (bedrijfs)informatie kan bevatten in zijn e-mail, cloud of bestanden. Op deze wijze kan de wearable dus gebruikt worden als toegangspoort tot het apparaat waar de waardevolle informatie staat opgeslagen. De wearable apparatuur heeft vaak namelijk weinig tot geen beveiliging ingebouwd, maar staat in frequente zo niet constante verbinding met de hoofdapparatuur (smartphones, tablets, pc’s) en de huis- of bedrijfsinternetverbindingen van de gebruiker of werkgever.(8)

Effectiviteit van Wetsvoorstel computercriminaliteit III in relatie tot hacken

Het wetsvoorstel kent nieuwe en vergaande bevoegdheden toe zoals we hebben gezien. Toch profileert het internet zich als een dimensie waar onze overheid maar slecht vat op lijkt te krijgen. De observatie- en aftapbevoegdheden zijn alleen mogelijk als sprake is van ernstige delicten. Dat gegeven is enerzijds een juiste beleidskeus; in die zin dat overheidsinstanties niet zomaar het digitale leven van haar burgers moet kunnen inzien. Het is immers een feit dat min of meer het hele leven van een individu tegenwoordig ook digitaal bestaat. Anderzijds is er een ontwikkeling naar steeds complexer wordende digitale infrastructuren die een vormen van criminaliteit kennen die steeds moeilijker te bestrijden valt vanuit overheidsperspectief. Het nieuwe wetsvoorstel stelt politie en justitie in staat om repressief, maar ook preventief op te treden. Dat is nodig, maar de aard van de problematiek, namelijk het schade lijden van bedrijven en particulieren door technieken als wearables wordt hier niet mee voorkomen. Die concrete aanpak zal wellicht op een andere manier gestalte moeten krijgen. Hacken en de voortvloeiende ongemakken is normaliter geen ernstig misdrijf, maar berokkent wel grote schade voor individuen en organisaties. Het is lastig om hackers in de kraag te vatten nu het misdrijf niet ernstig genoeg is om bijvoorbeeld onderzoek in de pc van de verdachte uit te voeren, áls die verdachte en/of zijn pc al geïdentificeerd kan worden. Men zal een manier moeten vinden om misbruik door hacken effectief aan te pakken en niet achter de feiten aan te blijven lopen die door continue technologische ontwikkeling keer op een keer een nieuw karakter zal krijgen en daardoor buiten het handhavende bereik van de wet blijft. Belangrijk daarbij is dat een actief beleid wordt gevoerd naar een verbeterde digitale bescherming door individuen zelf in plaats van steeds verdergaande mogelijke privacy inbreuken die juridisch gelegitimeerd worden.

(1) Center for strategic and international studies: Net losses: estimating the global costs of cybercrime; Economic impact of cybercrime II, 14 juni 2014, p. 09.

(2) R. Kloosterman: CBS; sociaal economische trends: slachtofferschap cybercrime en internetgebruik, September 2015, p. 18.

(3) Phising: (hengelen) is internetgebruikers lokken naar valse websites (veelal via e-mail), zodat ze daar vertrouwelijke informatie als creditcardgegevens invullen.
Spoofing: de werkelijke identiteit van een persoon, mailadres of andere digitale entiteit vervangen door een valse.
Key-loggers: vorm van spyware; een programma dat voor de hacker bijhoudt welke toetsen je indrukt.

(4)R. Kloosterman, idem.

(5) Wetsvoorstel 34 372 Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III).

(6) Idem; art. 125p Sv.

(7) Idem; art. 126zpa Sv.

(8) Zo waarschuwt CTO R. Genes van TrendMicro.

About the Author

 

Leave a Reply