Image Image Image Image Image
Scroll to Top

To Top

Blog

12

mei
2019

In Strafzaken

By M. Berndsen

Welke straf staat er op hacken?

On 12, mei 2019 | In Strafzaken | By M. Berndsen

Hacken kan op verschillende manieren plaatsvinden. Iemand die zich zonder toestemming toegang verschaft tot andermans computer, account of netwerk maakt zich in principe schuldig aan computervredebreuk (art. 138ab Sr). Dat geldt niet alleen voor het op ingewikkelde wijze kraken van andermans computer. Ook bijvoorbeeld het stiekem inloggen op een e-mailaccount of Instagram van een ander is een strafbaar feit. Daarnaast zijn er diverse andere strafbepalingen, bijvoorbeeld over het vernietigen van andermans gegevens, het plegen van verstikkingsaanvallen – (D)DoS-attacks – en heling van computergegevens.

In een eerdere blog is uiteengezet wanneer hacken niet strafbaar is. Dat kan – kort gezegd – het geval zijn wanneer iemand zich houdt aan de voorwaarden die de betreffende organisatie stelt, niet verder gaat dan strikt noodzakelijk is en de gevonden kwetsbaarheid direct bij de organisatie meldt.

Alle andere gevallen van hacken zijn in principe strafbaar. Dat was de uitdrukkelijke wens van de wetgever. Als een zaak over cybercrime voor de rechter komt, moet de rechtbank eerst bepalen of de verdachte schuldig is aan bijvoorbeeld computervredebreuk. Als dat het geval is, dient een passende straf te worden bepaald.

 

Straffen voor cybercrime

De maximumstraf voor computervredebreuk waarbij informatie is gekopieerd, is een gevangenisstraf van vier jaar of een geldboete van € 20.750,-. Als er geen gegevens zijn overgenomen, is de maximale straf twee jaar.

Een ander voorbeeld is het voorhanden hebben van een trojan horse of een wachtwoord om toegang te kunnen krijgen tot andermans computer of account. Wanneer de rechter vaststelt dat iemand van plan was om daarmee (illegaal) te gaan hacken, staat daar een maximale gevangenisstraf op van twee jaar (art. 139d lid 2 sub a en b Sr). Zo zijn er diverse maximumstraffen voor de verschillende strafbaar gestelde vormen van cybercrime.

Maar in de praktijk wordt de maximumstraf meestal niet opgelegd. De rechter weegt allerlei omstandigheden mee om tot passende straf te komen. Zo speelt de ernst van het feit een rol (is er schade? Hoe lang en hoe vaak is het gepleegd? Ging het om winst, of was het meer een onzorgvuldig uitgevoerde ethische hack?). Ook de persoonlijke omstandigheden van de verdachte zijn van belang. Is dit een eerste veroordeling? Ontkent de verdachte tegen de klippen op, of betuigt hij juist spijt? Welke gevolgen zou een bepaalde straf hebben voor deze verdachte? Et cetera.

Het Openbaar Ministerie heeft een richtlijn opgesteld over de straffen die kunnen worden geëist. Dit is slechts een startpunt bij de beoordeling, er kan onder omstandigheden altijd hoger of lager worden geëist. In deze richtlijn staan diverse delicten en verschillende omstandigheden opgesomd die samen leiden tot een uitgangspunt over de te eisen straf. Een aantal voorbeelden:

 

Binnen de relationele sfeer:

  • iemand herinnert zich het wachtwoord van een ex-partner en logt uit nieuwsgierigheid in op een social media account van die ex: taakstraf 20 – 80 uur;
  • hetzelfde, maar nu is deze persoon boos en verstuurt een schunnig bericht vanuit een account van de ex: taakstraf 120 uur.

 

Met winstoogmerk:

  • iemand is bezig met de voorbereiding van een hack om bitcoin buit te maken, en beschikt daarvoor over inloggegevens en malware: gevangenisstraf van twee weken;
  • het gebruik van crypto- of ransomware: gevangenisstraf van drie maanden.

 

Overnemen van gegevens:

  • een student hackt de server van de universiteit om zo alvast de antwoorden van een tentamen te kunnen inzien: gevangenisstraf van twee maanden.

 

Cybercrime met ideologisch motief:

  • een voetbalsupporter die de website van een rivaliserende club hackt en vervangt door boodschappen over de eigen club (defacing): taakstraf van 60 uur;
  • dezelfde supporter besluit de website tijdelijk uit de lucht te halen door middel van DDoS-aanval, waarbij de schade beperkt blijft: taakstraf van 60 uur.

 

Dit zijn, zoals gezegd, slechts richtlijnen voor een strafeis. Uiteindelijk beslist de rechter op basis van alle omstandigheden. Via rechtspraak.nl zijn zeer uiteenlopende straffen te vinden, afhankelijk van de ernst en omvang van de gepleegde feiten. Zo kan in een omvangrijke zaak waar bijvoorbeeld sprake is van phishing al snel sprake zijn van diverse misdrijven (oplichting, computervredebreuk, witwassen, et cetera). Zeker wanneer er meer slachtoffers zijn kan de strafmaat snel oplopen. Zo zijn in het verleden onder meer gevangenisstraffen opgelegd van 146 weken, 30 maanden en drie jaar. Maar ook bij een omvangrijke phishingzaak kan onder omstandigheden sprake zijn van een geheel voorwaardelijke gevangenisstraf en een taakstraf. Strafoplegging is maatwerk.

Voor een specifiekere inschatting van de te verwachten straf is kennis van het dossier en de persoonlijke omstandigheden vereist. Hiervoor kan desgewenst contact worden opgenomen via ons contactformulier.

 

24

apr
2019

In Strafzaken

By M. Berndsen

Ethisch hacken en het strafrecht

On 24, apr 2019 | In Strafzaken | By M. Berndsen

Bij hacken wordt vaak gedacht aan het binnendringen van systemen met kwade bedoelingen. Die vorm van hacken is zonder meer strafbaar. Daarnaast bestaat echter ook hacken met een nobele doelstelling, het zogenaamde ethisch hacken. Dit wordt ook wel white hat hacking genoemd, waar kwaadaardige hackers een black hat krijgen toebedeeld.

Ethische hackers vinden kwetsbaarheden in netwerken en systemen en onderscheiden zich door hiervan geen misbruik te maken, maar kwetsbaarheden direct te melden aan de beheerder van het systeem. Zo kan het lek worden gedicht en is het betreffende systeem beter beveiligd.

Bijvoorbeeld signaleren dat een database via een formulier op een website vatbaar is voor SQL-injecties kan vallen onder white hat hacking. Andere handelingen vallen buiten het bestek van ethisch hacken, zoals het uitvoeren een DDoS-aanval of het bruteforcen van een systeem om toegang te krijgen.

De Nederlandse wet maakt geen onderscheid op grond van de intenties van een hacker. Verschillende strafbepalingen, waaronder computervredebreuk (art. 138ab Sr), zijn in beginsel ook op ethisch hacken van toepassing. De wetgever wilde benadrukken dat inbreken in een systeem ‘onvoorwaardelijk niet is toegestaan’ (zie B.J. Koops en J.J. Oerlemans (red.), Strafrecht en ICT, Den Haag: Sdu 2019, p. 39). In de praktijk hoeft dat echter niet steeds tot een veroordeling te leiden (voor zover de identiteit van de hacker al bekend zou zijn geworden). Ten eerste wordt bij een gewetensvolle hack niet altijd aangifte gedaan. Ten tweede moet voor een veroordeling sprake zijn van wederrechtelijkheid. Hier liggen de kansen voor de ethische hacker.

 

Geen aangifte bij Coordinated Vulnerability Disclosure

Veel organisaties hebben tegenwoordig beleid met betrekking tot Coordinated Vulnerability Disclosure (CVD), ook wel Responsible Disclosure (RD) genoemd. Het gaat hier om het op verantwoorde wijze melden van kwetsbaarheden, op een wijze zoals bepaald door de organisatie. Wanneer een kwetsbaarheid is aangetoond en gemeld volgens die regels, wordt in principe geen aangifte gedaan. Integendeel, soms wordt dan een eervolle vermelding of zelfs een beloning in het vooruitzicht gesteld.

CVD-beleid is ontstaan vanuit het besef dat organisaties er baat bij hebben om zo snel en zorgvuldig mogelijk op de hoogte te raken van kwetsbaarheden in hun systemen. Organisaties maken via dit beleid kenbaar op welke wijze – en onder welke voorwaarden – zij bereid zijn om geen aangifte te doen van bijvoorbeeld computervredebreuk. Daarmee bestaat op voorhand duidelijkheid over de ‘spelregels’ van ethisch hacken bij die betreffende organisatie.

In 2013 heeft het Nationaal Cyber Security Centrum (NCSC) een leidraad gepubliceerd om te komen tot een praktijk van responsible disclosure. Deze leidraad is naar aanleiding van opgedane ervaringen in 2018 geactualiseerd. Het NCSC benadrukt dat de meldingen in de laatste jaren de veiligheid en continuïteit van informatiesystemen hebben verbeterd, en erkent daarmee de waarde van ethisch hacken.

Het Openbaar Ministerie heeft in 2013 een beleidsbrief gepubliceerd. In deze brief zet het College van Procureurs-Generaal uiteen hoe het OM dient te handelen in geval van ethisch hacken. Uitgangspunt is daarbij dat geen strafrechtelijk onderzoek plaatsvindt indien sprake is van “rechtsherstel” tussen melder en organisatie. Tegelijkertijd wordt in de brief benadrukt dat verantwoord melden van een kwetsbaarheid de melder “geenszins vrijwaart” van de mogelijkheid dat alsnog strafrechtelijk onderzoek of zelfs vervolging wordt ingesteld. In geval van twijfel wil het OM dan onder meer kunnen beoordelen of een melder niet te ver is gegaan.

 

Beoordelingscriteria OM en rechter

Criteria bij het beoordelen van ethisch hacken zijn of het handelen noodzakelijk was en of voldaan is aan de eisen van proportionaliteit en subsidiariteit. Voor de noodzakelijkheid wordt gekeken of sprake was van een zwaarwegend algemeen belang. Proportionaliteit ziet op de vraag of het gekozen middel in een redelijke verhouding stond tot het doel. Subsidiariteit ten slotte ziet op de vraag of de hacker anders had kunnen en moeten handelen. Hier is onder meer van belang dat een kwetsbaarheid zo spoedig mogelijk wordt gemeld.

Indien het toch tot strafrechtelijke vervolging komt, kan de white hat hacker bepleiten dat de wederrechtelijkheid aan zijn handelen heeft ontbroken. Als de rechter dat verweer honoreert, volgt in de regel vrijspraak (bijvoorbeeld in geval van computervredebreuk).

Een hacker die binnendrong op de server van een ziekenhuis, handelde volgens de rechtbank noodzakelijk om aan te tonen dat het netwerk slecht beveiligd was. Toch ging de hacker niet vrijuit, omdat hij direct een journalist heeft ingelicht en zich later nog een aantal malen toegang heeft verschaft tot de server. Bovendien heeft hij in het systeem gezocht naar gegevens van een bekende Nederlander. De rechtbank oordeelde daarom dat de grenzen van proportionaliteit waren overschreden en veroordeelde de hacker voor computervredebreuk.

Direct naar de media stappen werd ook een verdachte in een zaak uit 2018 verweten. Ook hier was niet voldaan aan de eis van proportionaliteit.

 

Conclusie

Kortom, voor de ethische hacker is het raadzaam zich eerst te vergewissen van het beleid inzake Coordinated Vulnerability Disclosure van een organisatie. De inhoud daarvan is van belang. Hierin kan immers beschreven staan in welke gevallen wel of geen aangifte wordt gedaan. Zo wordt het uitgebreid scannen van systemen niet altijd gewaardeerd, omdat de organisatie niet op voorhand weet of het een white hat hacker betreft of een kwaadaardige indringer. Dan kunnen onnodig kosten worden gemaakt door het Computer Emergency Response Team (CERT) in te zetten.

Bovenal is van belang om de inbreuk zo beperkt mogelijk te houden door het minst vergaande middel te gebruiken, geen gegevens over te nemen en het lek onmiddellijk te melden. Dit laatste dient ook prudent te gebeuren, bijvoorbeeld met een versleuteld e-mailbericht zodat derden geen kennis kunnen nemen van de kwetsbaarheid. Ook is niet aan te raden om zelf actief voorwaarden te stellen, zoals een beloning. Het initiatief daartoe zal in voorkomende gevallen bij de organisatie moeten liggen. Ten slotte is het raadzaam pas naar buiten te treden met de ontdekking nadat de kwetsbaarheid is opgelost.

Behalve wanneer de ethisch hacker volledig anoniem blijft, is vervolging nooit volledig uit te sluiten. De criteria bieden immers ruimte voor interpretatie. Wanneer echter aan al deze voorwaarden is voldaan, is het risico op strafvervolging – ondanks de wat onverbiddelijke wettekst en parlementaire geschiedenis – relatief klein. Vervolging zou in deze gevallen steeds moeten uitblijven. Want de melder die de inbreuk beperkt houdt, niets overneemt en direct volgens de RD-beleidsregels van de organisatie een melding doet, bewijst daarmee de organisatie en de samenleving een dienst.

10

mrt
2019

In Strafzaken

By F.P. Slewe

Wet Computercriminaliteit III

On 10, mrt 2019 | In Strafzaken | By F.P. Slewe

Op 1 maart 2019 is de wet Computercriminaliteit III in werking getreden. Deze wet beoogt het juridische instrumentarium voor de opsporing en vervolging van computercriminaliteit te versterken.

Read more…

03

dec
2018

In Actualiteiten

By Kerem Canatan

Afscheid Gabriel Meijers op 1 januari 2019

On 03, dec 2018 | In Actualiteiten | By Kerem Canatan

Op 1 januari 2019 neemt mr. Gabriel Meijers afscheid als advocaat en daarmee van Meijers Canatan Advocaten. Gabriel werd in 1986 beëdigd als advocaat. Na zijn stage bij Moszkowicz Advocaten te Maastricht, was hij van 1989 tot juni 2008 achtereenvolgens werkzaam bij Abma Van Eeuwijk en Abma Scheurs Advocaten Notarissen in Amsterdam. Sinds 1 juni 2008 was hij als partner verbonden aan het mede door hem opgerichte Meijers Canatan Advocaten in Amsterdam.
Read more…

06

okt
2018

In Strafzaken

By F.P. Slewe

Wet bronbescherming in strafzaken

On 06, okt 2018 | In Strafzaken | By F.P. Slewe

Op 1 oktober 2018 is de wet bronbescherming in strafzaken (Staatsblad 2018, 264) in werking getreden. Deze wet kent aan journalisten en publicisten een beperkt verschoningsrecht toe. Voorts verbindt de wet striktere regels aan het toepassen van dwangmiddelen tegen journalisten en publicisten in een strafrechtelijk onderzoek.
Read more…