Juridische vraag: Moet je aangifte van hacking doen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag:Indien we in onze firewall of op ons bedrijfsnetwerk een hackpoging detecteren (van binnen of van buitenaf), wat kunnen en mogen we juridisch dan? Zijn we bijvoorbeeld verplicht om alle logs te bewaren en aangifte te doen?
Antwoord:Je bent niet verplicht om aangifte te doen. Dat ben je normaal nooit, behalve in een paar heel specifieke gevallen (art. 160 Strafvordering) zoals wanneer je kennis krijgt van geplande aanslagen op regering of koningshuis of van misdrijven waarbij levensgevaar ontstaat.
Er is dus niets mis met bij een inbraakpoging de aanvaller uit je netwerk te trappen, de poorten dicht te zetten met een botte firewallrule en vervolgens het betrokken systeem meteen geheel opnieuw te installeren en alle data van backups terug te zetten. Dat je daarbij mogelijk bewijs vernietigt, is niet relevant. Je bent niet verplicht om zulk bewijs te bewaren, tenzij je een vordering van de politie hebt gehad om bepaalde data te verzamelen en/of te bewaren en aan hen te geven.
Je mag echter natuurlijk wel aangifte doen als je dat wilt. Iedereen mag aangifte doen van strafbare feiten (art. 161 Strafvordering), ook als hij er niet zelf slachtoffer van is. De politie is verplicht zo'n aangifte op te nemen (art. 165 Strafvordering). Het helpt als je bewijs meeneemt én een kopie van de relevante wetsartikelen die volgens jou overtreden zijn. Dat hoeft niet, maar je zult de eerste niet zijn die afgepoeierd wordt met "dit is een civiele kwestie" of "dat is niet strafbaar" door een agent die de artikelen over computercriminaliteit niet kent.
Er zijn geen specifieke regels over hoe je dat bewijs aan zou moeten leveren. Ik zou zo veel mogelijk digitaal veiligstellen op bv. een USB-stick die je veilig bewaart. Maar elke andere manier is in principe ook goed. Belangrijkste is dat je de kans op een geslaagd betoog dat er is geknoeid met het bewijs kunt minimaliseren. Sla je logs bv. extern op, dan is dat een mooi tegenargument daarop. Een e-mail in een Wordbestand copypasten zou ik niet heel sterk vinden.
Een inbreker zijn gang laten gaan om zo méér bewijs te verzamelen kan op zich, maar heeft wel het praktische risico dat hij meer stukmaakt dan je eigenlijk bereid was toe te laten. Uitlokking is dat niet, hij is immers al binnen en het misdrijf is dus al begaan. Ga alleen niet even snel wat documentjes voor zijn neus neerzetten met een aanlokkelijke titel. Dat zou wel eens uitlokking kunnen opleveren (zie ook de discussie over honeypots en uitlokking).
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Willens en wetens is niet zo noodzakelijk om te bewijzen. Niet bekend zijn met het feit dat men een strafbaar feit pleegt is geen verdediging namelijk.
Buiten dat lijkt het me overigens ook redelijk misdadig om een public-facing Windows PC in te zetten in iets kritieks als het koelwatersysteem van een Kerncentrale. De EULA van MS is daar redelijk duidelijk in: Niet inzetten in mission critical omstandigheden.
Zelfde geldt overigens ook voor OSX en iedere vrij verkrijgbare Linux-distro. Gelukkig wordt er in kerncentrales niet zomaar een CD-tje in de drive geknald en next-next-next-ok geklikt...
Verder zijn de intenties van de pleger niet per se relevant. Er zijn genoeg misdrijven waar je je ook zonder opzet aan schuldig kunt maken (dood door schuld bijvoorbeeld). En in geval van twijfel mág je altijd aangifte doen.
Die regel over "verplicht aangifte doen" zal zelden te handhaven zijn, want bewijs maar eens dat jij het wist en weigerde aangifte te doen. Het is volgens mij meer een handige stok om iemand mee te slaan als je niet kunt bewijzen dat hij medeplichtig was maar wel wist van het misdrijf.
http://www.security.nl/artikel/33382/1/%22Windows_ongeschikt_voor_kerncentrales%22.html
Ik heb gedurede het laatste jaar bij zowel MKB klanten meerdere malen vernomen, en dat is een bevestiging van wat ik meer hoor op de markt, dat een aangifte doen bij de politie vaan een muur van onbegrip, onwetendheid en frustratie is voor zowel het slachtoffer als de agent die het proces verbaal opmaakt. Vaak eindigt het proces in het niet aangeven van het incident.
Persoonlijk ben ik van mening, ook al is het wettelijk niet verplicht, dat iedereen aangifte zou moeten doe. Ten eerste om dat op deze manier er een beter beeld ontstaat van digitale misdaad en het aantal incidenten dat er op jaar basis plaats vindt en ten tweede omdat de overheid dan de ernst inziet en meer inzet op het vergroten van het aantal digitale rechercheurs en het trainen van administratieve medewerkers ne agenten in het algemeen op het gebied van cybercrime en hoe deze in een administratief proces te verwerken en het proces te verbeteren.
Overigens voor zover ik weet wil men al iets dergelijks in het Verenigd Koninkrijk gaan doorvoeren. Wetsvoorstel is meen ik al ingediend.
Mijn punt is dus dat de overheid meer moet doen om de bedrijven en particulieren die daadwerkelijk aangifte willen doen ook goed te kunnen helpen en zodoende ook vanuit overheidswege meer zicht krijgt op het "probleem". Meer budget, aangepaste wet- en regelgeving en verantwoordelijkheid van zowel gedupeerde als overheidsinstanties is "key".
Op het moment is het een rommeltje waardoor veel bedrijven en particulieren het opgeven
De centrale draaide op een eigen primaire computer systeem, met back-up. En die was niet verbonden aan internet.
Daarnaast was een tweede systeem waar het bedrijf dingen mee deelde als, productie, verbruik, enz. Dat tweede systeem had eigen elektronische opnemers en was dus op geen enkele wijze gekoppeld aan het primaire systeem, wel aan internet.
Ook was er een derde systeem wat gekoppeld was aan SEP (nu is dat Tennet) om het landelijk verbruik en geproduceerde energie te bekijken. Verbonden via directe lijn aan SEP.
Dus bedienen van buitenaf was toen al onmogelijk.
Ik ben dus helemaal niet bang dat ze in een kerncentrale in hacken en de koeling uitzetten..
- kennis van de betreffende wetsartikelen ontbreekt bij een groot deel van politie en justitie
- men weet vaak niet op grond van welke artikelen men loggegevens kan vorderen
- er is geen protocol hoe je de gegevens aan moet leveren
- periode tussen aangifte en vordering van loggegevens is vaak lang (weken), meestal wordt in eerste instantie niet de juiste gegevens gevorderd
- kennis bij politie ontbreekt veelal om de geleverde gegevens te analyseren, men is afhankelijk van jouw analyse van de feiten, tenzij je dus zeer goede procedures hebt die onafhankelijke log vastlegging regelen zijn je logs geen onafhankelijk bewijs van de gepleegde feiten
Consequentie is dat juridisch gezien het zelden haalbaar is om tot vervolging over te gaan.
Is het dan ook uitlokking wanneer ik interessante documenten op mijn bureau thuis heb liggen, in een afgesloten huis, waar niemand hoort binnen te komen ? Ik vind het vergezocht om dit uitlokking te noemen.
"Dat zou wel eens uitlokking kunnen opleveren (zie ook de discussie over honeypots en uitlokking). ""
Honeypots zijn meestal niet zozeer bedoeld om mensen uit te lokken (je adverteert niet dat je een honeypot hebt, of waar je deze kunt vinden). Het is een goede manier om informatie te verzamelen, ook bijvoorbeeld m.b.t. malware op je netwerk, en indien je honeypots wilt verbieden, dan kan je net zo goed logging rules op firewalls/routers verbieden, alsmede intrusion detection systemen, welke soortgelijke doeleinden hebben.
Lok je malware uit, wanneer je een tarpit honeypot plaatst om malware propagatie te detecteren en te stoppen / af te remmen ? ;)
Het criterium is of je iemand aanzet om iets te doen dat hij normaal niet zou hebben gedaan. Staat er een map open, dan is het geen uitlokking als iemand de inhoud inleest.
Ik kan me zo rond 2000 wat gevallen herinneren bij mijn werkgever. Het leek ons toen normaal om hierover aangifte te doen. Uiteindelijk bij hoofdkantoor terechtgekomen, maar ook daar wist men niet echt wat ze ermee aanmoesten. Nooit meer iets van gehoord naderhand.
Ergens bitter dat het nu, 10 jaar later, helemaal niets lijkt veranderd....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
