Informaticacriminaliteit

Informaticacriminaliteit

Misdrijven spamming hacking sniffing spoofing defacing DoS aanval wormen/virussen Trojaanse paarden identiteitsdiefstal Juridisch? België Auteurswet Privacywetgeving Wet informaticacriminaliteit Internationaal Cybercrime Verdrag 2001 Oprichting ENISA

ENISA Belgische wetgeving Wet van 28 november 2000 inzake informaticacriminaliteit in werking in 2001, aangepast in 2006 strafrechtelijke bescherming handhaven, ook in de context van informatietechnologie nieuwe misdrijven, passende rechtsbescherming nood aan kennis en kunde

Specifiek Informaticacriminaliteit Informatica als DOEL voor plegen misdrijf Aanvallen tegen computers en netwerken DoS aanval, verspreiding van computervirussen, Niet-Specifiek Informatica als MIDDEL voor plegen misdrijf Gebruiken van computers voor misdrijven Verspreiding kinderpornografie op internet, inbreuken op privacy, valsheid in digitale contracten, Terminologie (technologieneutraal) informaticasysteem: alle systemen voor de opslag, verwerking of overdracht van data. gegevens: voorstellingen van informatie die geschikt zijn voor opslag, verwerking en overdracht via informaticasysteem.

4 nieuwe misdrijven in strafwetboek. 1. Computerinbraak 2. Datamanipulatie 3. Valsheid in de informatica 4. Informaticabedrog

1.Computerinbraak hacking = computerinbraak specifiek informaticamisdrijf (doel) Toegang tot of blijven in een informaticasysteem of een deel ervan Vb. Bistel Redattack Strafbaar! Externe hacking = van buitenuit Geen voorafgaand niveau van toegang tot systeem Wetens en willens niet toegestane toegang tot IS bekomen of zich in IS handhaven zonder gerechtigde toegang Geen doorbraak van beveiliging nodig Ook nieuwsgierigheid is strafbaar Bij poging: zelfde strafmaat Bij kwaadwillig opzet: hogere strafmaat

Interne hacking = interne inbraak Overschrijden van toegangsbevoegdheid Intentie: met bedrieglijk opzet of met het oogmerk om te schaden; nieuwsgierigheid volstaat niet (interne controlemechanismen)! Bij poging: zelfde strafmaat Voorbereidingshandelingen (hackertools) beschouwd als een apart misdrijf bvb. het opsporen, verzamelen, ter beschikking stellen, verspreiden of verhandelen van bepaalde middelen om te kunnen hacken (verspreiden, verhandelen van logingegevens en wachtwoorden) intentie: bedrieglijk opzet of het oogmerk om te schaden vereist

Voorbereidingshandelingen opdrachtgever aanzetter wordt zwaarder gestraft dan hacker ivm inzetten van jeugdige computerwizards gevolghandelingen straffen voor heler van gehackte data als binnen 5 jaar opnieuw: verdubbeling van de straffen Bijkomende handelingen (verzwarende omstandigheden) bedrieglijk opzet overnemen van data veroorzaken van (ook ongewilde) schade en van voortdurende handhaving poging tot plegen van = voltooid misdrijf

2. Datamanipulatie ongeoorloofde datamanipulatie/sabotage specifiek informaticamisdrijf (doel) Onrechtmatig invoeren, wissen, beschadigen, of wijzigen van computergegevens, of pogingen! Gevaar voor integriteit, beschikbaarheid en vertrouwelijkheid data of IS Vb. virus spyware keyloggers Strafbaar!

Datamanipulatie Geen bijzondere intentie, behalve de wetenschap dat men daartoe niet gerechtigd is Zwaardere straffen bij bedrieglijk opzet/oogmerk om te schaden (effectief schade aan de gegevens of aan het systeem) Voorbereidingshandelingen Bezitten,produceren, verkopen, verkrijgen om te gebruiken, invoeren, verspreiden, ter beschikking stellen van instrumenten, incl. gegevens, hoofdzakelijk ontworpen of aangepast voor datamanipulatie is ook strafbaar Vb. Ontwerpen en ter beschikking stellen van virussen en virusgenerators Intentie: onrechtmatigheid (voor verkrijgen: met het oog op het gebruik daarvan) terwijl men weet dat deze gegevens aangewend kunnen worden om schade te berokkenen aan gegevens of, geheel of gedeeltelijk, de correcte werking van een IS te belemmeren

3. Valsheid in informatica Nieuwe strafbaarstelling voor valsheid in geschriften in geïnformatiseerde vorm Opzettelijk vervalsen van de waarheid via datamanipulatie mbt juridische relevante gegevens Vb. namaken kredietkaarten valsheid in digitale contracten Strafbaar! Datamanipulatie datamanipulatie: het invoeren van gegevens in een informaticasysteem, het wijzigen of wissen van gegevens, waardoor de juridische draagwijdte van de gegevens veranderen; vanaf dat ogenblik is het misdrijf voltrokken. vervalsen van juridisch relevante gegevens geen bijzonder opzet vereist ( valsheid in geschrift) poging tot plegen van valsheid wordt ook gestraft herhaling: strengere straffen dan bij valsheid in geschriften

4. Informaticabedrog Nieuwe strafbaarstelling voor oplichting in geïnformatiseerde vorm Bedrieglijk opzet om onrechtmatig voordeel te verwerven voor zz of iemand anders via datamanipulatie Vb. gebruik gestolen kredietkaarten valsheid in digitale contracten Strafbaar, ook als het niet lukt (lichtere strafmaat)! Verwante misdrijven pornografie kinderporno reclame laster en eerroof racisme - ontkenning genocide gokken namaking bescherming van persoonsgegevens bescherming van privé-communicatie

Strafprocedure 1. Databeslag 2. Netwerkzoeking 3. Medewerkingsplicht Databeslag van louter gegevens tot informaticasysteem zelf mogelijkheid tot kopiëren, blokkeren met technische middelen indien nodig: geen verder gebruik zonder toestemming beveiligingsplicht (integriteit) plicht tot medewerking

Principes databeslag Relevante gegevens worden gekopieerd op dragers van de overheid Uitz.: op ter plaatse beschikbare dragers Toegang tot deze gegevens in het onderzochte informaticasysteem of op de ter plaatse aanwezige dragers wordt geblokkeerd (bvb. door versleuteling) Uitz.: er kan beslist worden om de gegevens of een deel ervan niet te blokkeren (bvb. om de continuïteit van de werking van een systeem of een organisatie niet in het gedrang te brengen) Principes databeslag Het blokkeren van de gegevens wordt vervangen door het wissen ervan, in twee gevallen: gegevens strijdig met openbare orde of goede zeden (bvb. kinderpornografie) gegevens leveren een risico voor schade op (bvb. virus) Indien kopiëren niet mogelijk is, wordt de data enkel geblokkeerd Verplichting aan de verantwoordelijke voor het informaticasysteem een samenvatting van de operaties mede te delen Verplichting de gegevens te beveiligen, teneinde hun vertrouwelijkheid en integriteit te waarborgen

Netwerkzoeking zoeking in een IS IS strekken zich in de ruimte plaatsgebonden huiszoeking uitbreiding zoeking op voorwaarde dat noodzakelijk voor waarheid in lopend onderzoek EN indien risico op verloren bewijsmat. zonder uitbreiding Medewerkingsplicht van netwerkbeheerders, service providers, inlichtingen verstrekken: toegangsmogelijkheden, de configuratie, de beveiliging en de cryptografische sleutels. 2 soorten medewerking (1) personen van wie vermoed wordt dat ze een bijzondere kennis hebben van het informaticasysteem of van info om toegang te krijgen tot gegevens (in verstaanbare vorm); bvb. netwerkbeheerder IS: meedelen paswoord, gebruikte beveiligingstechniek toelichten

Medewerkingsplicht (2) iedere relevante persoon om operaties uit te voeren op IS voor zover dat in hun mogelijkheden ligt enkel als noodzakelijk voor waarheidsvinding gegevens zoeken niet verplicht voor verdachten/naaste familie bvb. doen functioneren systeem of zoeken van elektronische gegevens verplichte geheimhouding weigeren is strafbaar Bewaringsplicht ( Wet van 21 maart 1991) de verstrekkers van telecommunicatiediensten moeten structurele maatregelen nemen om de oproepgegevens (oorsprong, bestemming, lokalisatie, duur) van telecommunicatie te kunnen achterhalen en de gebruikers die informatie aan het publiek bieden, te kunnen identificeren en deze inlichtingen te bewaren. oproepgegevens : zowel telefoonnummer als internetadres (privacy) bewaarperiode

ICT-Recht: Informaticacriminaliteit http://defcon.org

http://www.mitnicksecurity. com