Juridische vraag: is het neerzetten van een honeypot strafbaar?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Een recente trend in IT is offensieve defensie. Niet terughacken, maar actief je verdediging versterken. Denk aan het plaatsen van honey-tokens, het gebruik van honeypots en het bewust lekken van valse inloggevens om deze te volgen. Wat zegt de wet hierover?
Antwoord: In principe is het toegestaan om jezelf te verdedigen tegen inbrekers zoals je dat wilt. Er zijn twee belangrijke aspecten om rekening mee te houden.
Allereerst ga je met dergelijke tools het grijs gebied in dat uitlokking heet. Uitlokken van misdrijven is strafbaar: artikel 47 lid 1 Wetboek van Strafrecht verbiedt het opzettelijk uitlokken van strafbare feiten "door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen".
Kort gezegd komt het erop neer dat je mensen moet aanzetten om iets te doen dat ze niet al zelf van plan waren. In 2008 oordeelde de Hoge Raad dat het toegestaan is om een lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De lokfiets stond niet op slot, maar dat was onvoldoende om van uitlokken te spreken. Had een agent de dief aangesproken en gezegd "op de hoek staat een rode fiets zonder slot, die kun je zo meenemen" dan zou het wel uitlokking zijn geweest.
Bij een honeypot of honey-token kun je niet automatisch spreken van "mensen op andere gedachten brengen", tenzij je op crackerfora gaat promoten dat die informatie of computer makkelijk te stelen is. Het posten van valse logingegevens is wél uitlokking; je wilt dan immers dat mensen die gaan gebruiken/misbruiken om bij jou in te breken.
Ten tweede loop je tegen de wet bescherming persoonsgegevens aan wanneer je tracking gaat inzetten. Je verkrijgt dan gegevens over mensen, en dat mag niet zomaar. Ook al zijn het inbrekers, je moet nog steeds kunnen rechtvaardigen welke gegevens je verzamelt en met welk (legitiem) doel. In principe is loggen van inbraakpogingen en -activiteiten legaal, maar wel moet je duidelijk kunnen maken wat je met die logs wilt gaan doen.
De inzet van honey-tokens kan vanuit dit perspectief problematisch worden als je daarmee vervolgens monitort wat men ermee doet. Vraag jezelf dus goed af wat je echt wil bereiken met dergelijke tools, leg dat vast in beleid of een privacydocument en zorg dat je geen dingen meet of doet die daarbuiten komen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Daar is weinig mis mee.
Ik kan me wel gevallen herinneren waar er wel een grens is. Vroeger (met name tussen 2000 en 2004) was er veel open share malware. Dergelijke malware probeert zich via open shares te verspreiden, meestal vanaf Windows 9x computers. Omdat de share van de aanvaller open staat kun je dus contact maken en de malware bestanden downloaden. Er was destijds honeypot software die dat ook deed. Over de legitimiteit kun je discussieren. Je kunt zeggen dat de share openstaat voor iedereen, maar dit mogelijk niet de bedoeling was, aan de andere kant wordt je wel aangevallen en het kopieren van de malware dient een goed doel (malwaredetectie) en er wordt geen schade toegebracht.
En dan in die docx een (hidden) link opnemen naar aivd.nl?
Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).
Een apart systeem dat e.e.a. neerzet alsof het echt is?
of een draaiend systeem wat info bevat wat interessant is?
Ik heb interessante info: dus ik ben een honeypot?
En dan in die docx een (hidden) link opnemen naar aivd.nl?
Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).
Het is niet jouw bevoegdheid om in een auto te gaan snuffelen. Als je iets wilt doen kun je het bij 0900-8844 melden
met vermelding van locatie en omschrijving van de auto.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
