Juridische vraag: Is het publiceren van technische details van een overheidshack strafbaar?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?
Antwoord: Nee, je bent niet strafbaar als je publiceert hoe je door een overheidsorgaan bent gehackt, zelfs niet als die daarbij een staatsgeheime methode gebruiken.
Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij. Dat de overheid zo’n partij kan zijn, is theoretisch mogelijk maar natuurlijk praktisch gezien niet door jou te verifiëren. Achteraf kan het misschien boven water komen, maar dat betekent alleen dat de pleger van dat misdrijf vrijuit gaat omdat het hem wettelijk toegestaan is dat feit te plegen.
Bij de politie werkt het ongeveer net zo. Daar is dan een bevel van de rechter-commissaris gegeven, wat het legaal maakt om dit te doen. En in zo’n geval kan de politie er ook voor zorgen dat jij niet in kan grijpen, denk aan de situatie dat men je computer wil uitlezen: dan komt er een technisch rechercheur die de computer doorzoekt en een agent met spierballen om te zorgen dat jij niet in de weg gaat staan.
De Wiv waar vandaag het raadgevend referendum over is, maakt dat verder niet anders. Deze wet geeft bevoegdheden waaronder de mogelijkheid in te breken in een computersysteem, maar ook hier geldt: vanuit jouw perspectief is het gewoon een hack, en als jij wilt publiceren over een hack die jou overkwam dan is dat jouw goed recht. Pas als je wéét dat je een staatsgeheim zou onthullen, kan dat anders komen te liggen. Maar grofweg moet de AIVD dan langs zijn geweest en je dat hebben gezegd. Ik zie dat niet gebeuren.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als je een bug vind (tot nu toe niets gevonden maar wel vaker last gehad van virussen en hacks) en publiceert/verkoopt aan een software vendor, zijn er dan consequenties?
Hypothetische vraag want als ik een zeroday zou vinden zou ik hem met 99% zekerheid prive houden, tenzij natuurlijk ergens echt een riante bugbounty openstaat op iets maar die kans is praktisch nul.
Het aanbieden bij een leverancier welke GEEN bounty programma heeft en wel een betaling af proberen te dwingen zal strafbaar zijn.
Vervaardigen en in bezit hebben lijkt mij geen probleem als je een CV hebt welke je research status kan bevestingen. Ben je bijvoorbeeld stratenmaker en totaal niet technisch dan zal de aanklager het sneller proberen te gooien op "met het oogmerk dat daarmee een misdrijf wordt gepleegd."
Meestal gebruik ik bug bounty programma's zoals ZDI, SSD of Hackerone en indien geen interesse hebben: responsible disclosure. Voor sommige leveranciers wijk ik daar van af en doe full disclosure omdat ze gewoonweg niet reageren / patchen. Geen idee hoe strafbaar dat laatste precies is, publicatie op exploit-db.
Info: https://ictrecht.nl/2016/04/19/mag-ik-zero-day-exploits-verkopen-en-aan-wie/
Er zal geen visite kaartje bij zitten ''wij zijn van de AIVD''......
Je vergeet dat er ook nog rechters zijn, die de aanklacht van de officier moeten toetsen aan de wet ? En dat je zonder wetsovertredingen nimmers veroordeeld zal kunnen worden ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
