De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets



Vergelijkbare documenten
De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets Oerlemans, J.J.; Koops, Bert Jaap

Stroomschema s computercriminaliteit

LJN: BN9287, Hoge Raad, , Straf. LJN: BN9287, Hoge Raad, 09/02184


ECLI:NL:GHSGR:2012:BV9836

1. Uw tablet beveiligen

Taak Hoe moet dat Inhoud

ARTIKEL I. Het Wetboek van Strafrecht wordt als volgt gewijzigd: Artikel 54a komt te luiden: Artikel 54a

1. Uw computer beveiligen

Les D-06 Veilig internetten


1. Uw computer beveiligen

ARTIKEL I. Het Wetboek van Strafrecht wordt als volgt gewijzigd: Artikel 54a komt te luiden: Artikel 54a


CONCEPTWETSVOORSTEL VERSTERKING BESTRIJDING COMPUTERCRIMINALITEIT

De Minister van Veiligheid en Justitie mr. I.W. Opstelten Postbus EH Den Haag bezoekadres Kneuterdijk EM Den Haag


In de zaak onder voormeld parketnummer van de officier van justitie in het arrondissement Breda[voornaam verdachte ]:

Aan het eind van alle lesbrieven ben je digiveilig en mediawijs: je weet dan hoe je veilig moet omgaan met je computer en het internet.

Het Trojaanse politiepaard

Inhoudsopgave Voorwoord 9 Introductie Visual Steps 10 Nieuwsbrief 10 Wat heeft u nodig? 11 Uw voorkennis 11 De website bij het boek

Welkom. Veiligheid en Samenleving Q4 2014

Inhoudsopgave Voorwoord 5 Introductie Visual Steps 6 Wat heeft u nodig? 6 Uw voorkennis 7 Nieuwsbrief 7 Hoe werkt u met dit boek?

Let op! In dit PDF-bestand wordt voor de voorbeelden gebruikgemaakt van de Instant Messaging-software Windows Live Messenger.

Inhoudsopgave Voorwoord 5 Introductie Visual Steps 6 Nieuwsbrief 6 Wat heeft u nodig? 7 Uw voorkennis 7 Hoe werkt u met dit boek?

ECLI:NL:RBOVE:2016:1480. Datum uitspraak: Datum publicatie: Bijzondere kenmerken: Eerste aanleg - meervoudig.

Datum uitspraak Datum publicatie Zaaknummer 15/04458 Conclusie: ECLI:NL:PHR:2016:1277, Gevolgd

Wijziging van de regeling van de bevrijdende verjaring in het Burgerlijk Wetboek in geval van schade veroorzaakt door strafbare feiten

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten

Abuse & acceptable use policy

ECLI:NL:RBMAA:2011:BP5002

ECLI:NL:RBZUT:2010:BL3511

Voorwaarden. Vaste Breedbanddiensten SETAR NV. Creating Connections

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Staatsblad van het Koninkrijk der Nederlanden

Opzet op de harde schijf: criteria voor opzettelijk bezit van digitale kinderporno Lonneke Stevens & Bert-Jaap Koops 1

ECLI:NL:GHSHE:2013:BZ8341

ECLI:NL:PHR:2014:1700 Parket bij de Hoge Raad Datum conclusie Datum publicatie Zaaknummer 12/04833

Datum 19 december 2014 Onderwerp Antwoorden Kamervragen over het strafbaar stellen van wraakporno

ECLI:NL:GHARL:2017:2188

Recht en Informatica HC7:

Staatsblad van het Koninkrijk der Nederlanden

Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen door de verdachte en de raadsman naar voren is gebracht.

Strafprocesrecht Bijzondere kenmerken: Hoger beroep Wetsverwijzingen: Wetboek van Strafrecht 197a, geldigheid:

Uitspraak. Afdeling strafrecht. Parketnummer: Datum uitspraak: 1 november TEGENSPRAAK (gemachtigd raadsman)

Tweede Kamer der Staten-Generaal

Welkom. Veiligheid en Samenleving Q door André van Brussel

DDOS attack. Wat is dat eigenlijk? Handleiding van Helpmij.nl. Auteur: leofact

ECLI:NL:RBUTR:2010:BN2158

ECLI:NL:GHDHA:2014:205

Inleiding. 1 Strafrecht


Rapport. Datum: 13 juni Rapportnummer: 2012/102

2 Tenlastelegging en motivering van de gegeven vrijspraak

GERECHTSHOF TE 's-hertogenbosch meervoudige kamer voor strafzaken


ECLI:NL:RBAMS:2017:1041

Staatsblad van het Koninkrijk der Nederlanden

Criminaliteit op internet: Ransomware

6 De taak van de rechter in het burgerlijk geding

Meldingen Cijfers over meldingen aan CERT.be

ECLI:NL:GHAMS:2016:5635 Gerechtshof Amsterdam Datum uitspraak Datum publicatie Zaaknummer

ECLI:NL:GHARL:2013:BZ4692

ECLI:NL:GHSHE:2010:BN7215

ECLI:NL:GHARL:2015:2577

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

NIEUWSFLASH

ECLI:NL:HR:2013: Geding in cassatie. 2. Beoordeling van het eerste middel. Uitspraak. 8 oktober Strafkamer. nr.

Kwaadaardige software blokkeert PC s van eindgebruikers en lijkt afkomstig van Ecops, FCCU of een andere buitenlandse politiedienst

pn,~ ~ Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

ECLI:NL:GHDHA:2015:1193

Tweede Kamer der Staten-Generaal

ECLI:NL:RBAMS:2009:BH9789

In dit soort s wordt gevraagd naar inloggegevens, SOFI-nummers en/of creditcardgegevens.

Dit arrest is gewezen naar aanleiding van het onderzoek op de terechtzitting in hoger beroep van 24 augustus 2016.

Tilburg University. Cybercriminaliteit Koops, Bert Jaap. Published in: Recht en compuer, zesde druk

ECLI:NL:HR:2013: Geding in cassatie. 2 Beoordeling van het eerste middel. 3 Beoordeling van het derde middel. Uitspraak.

App Voorwaarden. Gebruiksvoorwaarden. Artikel Datum 1 juli 2015

Anti-botnetacties: een strafrechtelijk perspectief (en een beetje privacy)

ARTIKEL I. Het Wetboek van Strafrecht wordt als volgt gewijzigd: Artikel 54a komt te luiden: Artikel 54a

6,2. Werkstuk door een scholier 1687 woorden 9 juni keer beoordeeld. Informatica

ECLI:NL:GHSHE:2008:BF0770

ECLI:NL:GHSHE:2017:978

Overeenkomst en Voorwaarden Financieel Plan

Onderzoeksverslag Beveiliging

Rechtbank Rotterdam / Strafrecht

ISABEL E-SECURITY BEWAAK EN BESCHERM UW ONLINE BETALINGS- VERKEER.

AFDELING BESTUURSRECHTSPRAAK

Eerste Kamer der Staten-Generaal

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

de Rechtspraak Raad voor de rechtspraak De minister van Veiligheid en Justitie Directie Strategie en 1.W. Opstelten Ontwikkeling Postbus 20301

Staatsblad van het Koninkrijk der Nederlanden

8.4 TIPS VOOR WACHTWOORDEN. . Gebruik een sterk wachtwoord dat. . Gebruik wachtwoordsoftware

Dienstbeschrijving Zakelijk Veilig Werken

ECLI:NL:RBUTR:2011:BT1675

ECLI:NL:GHSGR:2003:AI1012

Overzicht van stemmingen in de Tweede Kamer

Datum 28 februari 2013 Onderwerp Beantwoording kamervragen over vervolgingen en veroordelingen wegens majesteitsschennis

Transcriptie:

Focus 914 De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets Jan-Jaap Oerlemans en Bert-Jaap Koops 1 Het online betalingsverkeer is in de loop der jaren een onmisbare dienst geworden voor Nederlandse burgers. Het kan gerechtvaardigd zijn dat het verstoren van grote aantallen computers waarbij de gebruikers niet langer normaal kunnen internetbankieren, zwaar wordt gestraft. Maar het optreden van de Hoge Raad in de Toxbot-zaak bewijst de systematiek van de computercriminaliteitswetgeving geen goede dienst. 0p 28 november 2010 begon WikiLeaks met de publicatie van 251 287 diplomatieke stukken van Amerikaanse ambassades en consulaten. In reactie hier op weigerden hostingaanbieder Amazon en financiële dienstaanbieders MasterCard, Visa, PayPal en BankFinance nog langer hun diensten te verlenen aan de klokkenluidersorganisatie. Een hacktivisten -groep, genaamd Anonymous, viel de bedrijven vervolgens aan met zogenoemde distributed Denial-of-Service-aanvallen (verstikkingsaanvallen), waardoor bepaalde websites onbereikbaar waren en sommige diensten niet meer geleverd konden worden. 2 De vraag is hoe ernstig dergelijke aanvallen zijn: gaat het om een digitale protestactie of een ernstig misdrijf en, zo ja, welk misdrijf dan precies? In zijn arrest van 22 februari 2011 maakt de Hoge Raad duidelijk dat in Nederland financiële diensten tot de vitale infrastructuur kunnen worden gerekend. 3 Degene die deze diensten aanvalt, riskeert een maximale gevangenisstraf van zes jaar. Dat is zelfs wanneer zoals bij de online betalingsdienst PayPal de betalingsdienst nog gewoon functioneert. De Hoge Raad geeft in het arrest echter een onlogische en volgens ons onwenselijke uitleg aan de wet door het begrip gemeen gevaar voor verlening van diensten (art. 161sexies Sr) erg op te rekken. Bovendien stelt de Hoge Raad in hetzelfde arrest ten onrechte het plaatsen van malware gelijk aan computervredebreuk. Deze extensieve interpretaties komen de rechtszekerheid niet ten goede. In deze bijdrage wordt het onderhavige arrest nader bestudeerd en uiteengezet waarom de magistratuur met het arrest de samenleving een slechte dienst heeft bewezen. De feiten Van 1 juni 2005 tot en met 4 oktober 2005 heeft de verdachte in deze zaak een virus verspreid, dat bekend is geworden onder de naam Toxbot. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden en was daarmee technisch gezien een worm, maar we zullen Toxbot in het vervolg aanduiden onder de meer gebruikelijke aanduiding virus. Op 8 augustus 2010 waren 50 095 Te gemakkelijk wordt aangenomen dat het verspreiden van een virus computervredebreuk oplevert computers besmet. Deze computers vormden samen een botnet, dat wil zeggen een netwerk van besmette computers die op afstand via een command-and-control-server door een derde kunnen worden aangestuurd. Het Toxbotvirus had bovendien een keylogger-functionaliteit, waarmee toetsaanslagen konden worden opgenomen en heimelijk doorgestuurd. De functionaliteit wordt in het bijzonder gebruikt voor het afvangen van gebruikersna- Auteurs 1. Mr. Jan-Jaap Oerlemans is promovendus bij elaw@leiden, centrum voor recht in de informatiemaatschappij, Universiteit Leiden. Daarnaast is hij juridisch adviseur bij Fox-IT. Prof. dr. Bert-Jaap Koops is hoogleraar regulering van technologie bij Tilt Tilburg Institute for Law, Technology, and Society, Universiteit van Tilburg. Noten 2. C. Bryan-Low & S. Grundberg, Hackers Rise for WikiLeaks, Wall Street Journal 8 december 2010, http://online.wsj.com/ article/sb10001424052748703493504576 007182352309942.html (laatst geraadpleegd op 7 april 2011). 1181

Focus men en wachtwoorden. Met deze gegevens kan een hacker gebruikmaken van diensten van het slachtoffer en bij gegevens komen die normaal gesproken zijn afgeschermd. De besmette computers konden tevens de opdracht krijgen een bepaald Trojaans paard (genaamd Wayphisher ) te downloaden en te installeren op de computer van het slachtoffer. Een Trojaans paard is een onschuldig lijkend programma met kwaadaardige functionaliteiten. Na besmetting van de computer met Wayphisher wordt de computergebruiker omgeleid naar een andere website. Deze phishingwebsite lijkt op een normale webpagina van een bank waarbij bezoekers worden aangespoord hun gegevens in te vullen, zoals rekeningnummers en wachtwoorden die nodig zijn voor de aangeboden dienst. Deze gevoelige gegevens worden door Wayphisher afgevangen en doorgestuurd naar de command-and-control-server waar de gegevens vervolgens door de dader kunnen worden opgehaald en worden misbruikt voor frauduleuze transacties. In de Toxbot-zaak werd duidelijk dat een groot aantal computers besmet is geraakt met Wayphisher. Het Openbaar Ministerie zou scherper moeten zijn bij een tenlastelegging met betrekking tot een botnet Het Openbaar Ministerie (OM) heeft de verdachte twee delicten ten laste gelegd, namelijk: een gekwalificeerde vorm van computervredebreuk zoals bedoeld in art. 138a lid 3 Sr (oud); en computersabotage als bedoeld in art. 161sexies lid 1 aanhef en onderdeel 2 Sr. Het eerste is ten laste gelegd, omdat de verdachte met het virus is binnengedrongen in de besmette computers en zich vervolgens via de command-and-controlserver (impliciet) toegang heeft verschaft tot de computers van derden. Wat het tweede delict betreft, zou art. 161sexies Sr van toepassing zijn. Computergebruikers die besmet waren met het Toxbot-virus en het Trojaanse paard Wayphisher, werden namelijk doorgeleid naar een phishing-website en konden daardoor niet op behoorlijke wijze gebruikmaken van (financiële) diensten van algemene nutte. Daarnaast zou ook het onderscheppen van financiële gegevens en wachtwoorden een gemeen gevaar voor dienstverlening hebben opgeleverd. Het hof had verdachte voor het eerste feit computervredebreuk veroordeeld, maar vrijgesproken van computersabotage omdat niet de computer van een nutsdienst, maar alleen computers van eindgebruikers waren geïnfecteerd, zodat er geen gemeen gevaar voor dienstverlening ontstond. De Hoge Raad laat de veroordeling voor het eerste in stand, maar casseert de vrijspraak op het tweede punt: volgens hem is er ook bij stoornis in computers van gebruikers sprake van gemeen gevaar voor dienstverlening. Bij beide punten willen wij in deze bijdrage vraagtekens plaatsen. Volgens ons wordt te gemakkelijk aangenomen dat het verspreiden van een virus computervredebreuk oplevert, en wordt de reikwijdte van art. 161sexies Sr onnodig ver opgerekt. Computervredebreuk In het arrest staat ter discussie of er bij het Toxbot-virus wel een beveiliging is doorbroken (wat tot 2006 een voorwaarde was voor toepasselijkheid van art. 138a-oud Sr), omdat het virus gebruikmaakte van een lacune in de beveiliging van Windows XP. Het systeem was volgens de verdediging daarmee niet beveiligd. Zowel hof als Hoge Raad maken korte metten met één redenering: het is niet relevant of een hacker gebruik maakt van een opening die inherent is aan het systeem of die is veroorzaakt door een aanvaller, zolang er maar sprake is van enige beveiliging op de computer. Deze conclusie is terecht. Waar onze kritiek zich op richt, betreft een ander punt, waartegen de verdediging (naar we aannemen) geen verweer heeft gevoerd. Het hof en de Hoge Raad gaan ervan uit dat door de infectie met het Toxbot-virus wordt binnengedrongen in een computer. s Hofs bewezenverklaring luidt hier dat verdachte en medeverdachte de toegang hebben verworven door een technische ingreep (...), namelijk telkens door, gebruikmakend van één of meer kwetsbaarheden in het besturingssysteem van Windows, een (al dan niet door verdachte gemaakte/ ontwikkelde) versie van een virus, onder meer bekend onder de naam Toxbot, te (doen) verspreiden en/of te (doen) installeren. Met andere woorden: het (doen) verspreiden of (doen) installeren van een virus levert hacken (computervredebreuk) op. Deze lezing van het hof en de Hoge Raad is opmerkelijk, omdat de wetgever bij de Wet computercriminaliteit 4 bewust verschillende strafbaarstellingen heeft ingevoerd voor hacken (art. 138a-oud Sr) en voor virusverspreiding (art. 350a lid 3 Sr). De Hoge Raad laat deze twee nu feitelijk samenvallen, met als enige verschil dat voor virusverspreiding niet nodig is dat het virus ook daadwerkelijk een computer binnendringt het enkele versturen is voldoende. Virusverspreiding is dan simpelweg een strafbare voorbereidingshandeling voor hacken. 5 In deze interpretatie kan de strafbaarstelling van virussen wel worden afgeschaft, omdat er altijd sprake zal zijn van een strafbare poging tot hacken. Zodra het virus wordt losgelaten, hangt het immers van omstandigheden buiten de wil van de verdachte af of het virus erin slaagt een computer te infecteren (en daarmee te hacken). Volgens ons kan niet simpelweg gesteld worden dat het enkele infecteren van een computer met een virus ook computervredebreuk oplevert. De strafbaarstelling van hacken is vormgegeven naar analogie met huisvredebreuk (art. 138 Sr): het wederrechtelijk binnendringen in een computer respectievelijk woning. Bij binnendringen denkt men aan een persoon die zich begeeft in een ruimte. Eventueel kan men dat oprekken tot een deel van de persoon, zoals in het arm-arrest waarbij alleen de arm in de woning komt, 6 en wellicht zelfs tot het binnendringen met een verlengstuk van de persoon (zoals een wandelstok die de grens van de woning overschrijdt). Maar je kunt moeilijk zeggen dat er wordt binnengedrongen in 1182

een ruimte wanneer iemand niet in directe verbinding staat met die ruimte. Dat is echter wat het geval is bij een computervirus: de dader stuurt een virus ongericht de wereld in en heeft vervolgens niet als zodanig 7 een verbinding met de computers die worden geïnfecteerd. Toegegeven: veel vormen van malware 8 staan tegenwoordig in verbinding met de verspreider ervan. Dit gaat door middel van een botnet, waarbij de dader via een command-and-control-server de geïnfecteerde computers kan aansturen door er commando s aan toe te zenden. Deze commando s worden in een rechtstreekse verbinding door de dader verzonden aan de zombiecomputers, die veelal ook gegevens (zoals onderschepte wachtwoorden) terugzenden aan de command-and-control-server. In dat geval kun je volgens ons wel, volgens een verlengde arm - constructie, spreken van computervredebreuk. Maar het is dan wel belangrijk om onderscheid te maken in de stadia waarin een botnet tot stand komt: het binnendringen in de zin van art. 138ab Sr vindt pas plaats op het moment dat daadwerkelijk gebruik wordt gemaakt van de functionaliteit van een botnet. Bij het opzetten van een botnet, door het versturen van een virus zoals Toxbot en het afwachten tot geïnfecteerde computers zich melden bij de command-and-control-server, is er nog geen sprake van binnendringen hooguit van een (mogelijk strafbare) poging daartoe. Het OM zou dus scherper moeten zijn bij een tenlastelegging met betrekking tot een botnet en duidelijker uit elkaar moeten houden welke handelingen als het verspreiden van een virus (art. 350a lid 3 Sr) en welke handelingen als het binnendringen in een computer (art. 138ab Sr) kunnen worden gekwalificeerd. Wat de strafmaat betreft, hoeft het OM niet bang te zijn om het verspreiden van een Toxbot- achtig virus als virusverspreiding ten laste te leggen: op overtreding van art. 350a lid 3 Sr staat dezelfde maximumstraf van vier jaren als bij gekwalificeerd hacken (art. 138ab lid 3 Sr) en een geldboete van een hogere categorie. Computersabotage Ten tweede is de interpretatie van de Hoge Raad met betrekking tot art. 161sexies Sr interessant. Dit artikel stelt strafbaar het verstoren van een computer of telecommunicatiewerk waardoor gemeen gevaar of levensgevaar ontstaat. Een website van een bank, een online betalingsdienst als PayPal, een veilingdienst als Ebay en creditcardmaatschappijen kunnen een dienst van algemene nutte aanbieden. Dergelijke diensten hebben veelal een publieke functie in het economisch verkeer en bij het onbruikbaar maken van een dergelijke dienst kan dan ook art. 161sexies Sr van toepassing zijn. 9 Wel zijn wij van mening Big bug in circuit city. Otto Rogge/Corbis dat onderscheid moet worden gemaakt in wat er precies wordt verstoord, bijvoorbeeld welk onderdeel van de website wordt aangevallen. Immers, indien door een DDoSaanval (een verstikkingsaanval die een website uit de lucht haalt) een informatiepagina van een online betalingsdienst wordt aangevallen, heeft dat andere gevolgen dan wanneer de pagina s niet meer bereikbaar zijn die nodig zijn voor het transactiesysteem. Onzes inziens is art. 161sexies Sr alleen van toepassing wanneer een website van een dienst ten algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de dienst zelf niet meer kan worden verleend. Belangrijker is echter de extensieve interpretatie die de Hoge Raad aan art. 161sexies Sr geeft. Zij stelt namelijk dat ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers van diensten van algemene nut- 3. HR 22 februari 2011, LJN BN9287. heeft genoemd, maar niet van hacken; het gaat om een voorbereidingshandeling: strafbaar is degene die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die bedoeld zijn om schade aan te richten door zichzelf te vermenigvuldigen in een geautomatiseerd werk, aldus Kamerstukken II 2004/05, 26 671, nr. 7, p. 36 (onze cursivering). 6. HR 7 februari 1956, NJ 1956/147. 7. Bij een botnet kan er wel sprake van een verbinding; daarop gaan we hierna in. 8. De term malware is een samentrekking van malicious en software, oftewel kwaadaardige software. Het is een verzamelterm voor virussen, wormen en Trojaanse paarden. 9. Vgl. de conclusie van Knigge bij HR 22 februari 2011, LJN BN9287: Bedoeld lijkt te zijn dat de toenemende afhankelijkheid van de samenleving van die geautomatiseerde opslag en verwerking maakt dat daarmee algemene belangen zijn gemoeid en dat daarom strafbaarstelling als gemeengevaarlijk delict gerechtvaardigd is (par. 26). In navolging van Rb. Breda 30 januari 2007, LJN AZ7281, Rb. Breda 30 januari 2007, LJN AZ7266 en Hof s-hertogenbosch 12 september 2008, LJN BF0770. 4. Stb. 1993, 33. 5. Merk op dat de wetgever bij de Wet computercriminaliteit II, Stb. 2006, 299, art. 350a lid 3 Sr een voorbereidingshandeling 1183

Focus te art. 161sexies lid 1 onderdeel 2 Sr kan constitueren. Voor de duidelijkheid: het gaat hier niet meer om de computer van een nutsdienst zelf, maar om de computers van (een substantieel aantal) afnemers die gebruikmaken van diensten van algemene nutte. De Hoge Raad redeneert als volgt. Tekstueel gezien wordt bij de term geautomatiseerd werk geen onderscheid gemaakt tussen computers van dienstverlenende instellingen en computers van afnemers van diensten. Ook in de wetgeschiedenis wordt dat onderscheid niet gemaakt. Onder het bestanddeel gemeen gevaar in art. 161sexies Sr moet daarom worden verstaan: het gevaar voor een ongestoorde dienstverlening aan een onbestemd doch aanmerkelijk aantal afnemers. 10 Volgens de Hoge Raad gaat het uiteindelijk om de vraag of de opzettelijk veroorzaakte stoornis een gemeen gevaar voor een ongestoorde dienstverlening teweegbrengt. In de Toxbotzaak konden de slachtoffers van het computervirus niet meer op een veilige wijze gebruikmaken van de diensten van bancaire instellingen of creditkaartmaatschappijen, aangezien hun computers besmet waren met malware. Art. 161sexies lid 1 onderdeel 2 Sr is om die reden van toepassing. Op dit punt wijkt de Hoge Raad af van de conclusie van advocaat-generaal (A-G) Knigge. Knigge beargumenteert dat art. 161sexies Sr ziet op het geautomatiseerde werken van de dienstaanbieder zelf. Het vernielen van een groot aantal computers van dienstafnemers levert, elk afzonderlijk, geen gevaar op voor de dienstverlening van de dienstaanbieder. Als een bende onverlaten plunderend door de stad trekt en met knuppels alle personal computers die zij aantreft, in elkaar slaat, is het effect daarvan dat een grote groep burgers internetbankieren wel even kan vergeten. Maar dat wil niet zeggen dat de groep onverlaten zich schuldig heeft gemaakt aan het medeplegen van art. 161sexies Sr. 11 Wij onderschrijven de conclusie van Knigge dat art. 161sexies Sr ziet op het vernielen De redenering van advocaatgeneraal Knigge snijdt meer hout dan die van de Hoge Raad van een specifieke computer dat tot gevolg heeft dat dienstverlening van algemene nutte gevaar loopt, en niet op de cumulatie van afzonderlijke computers die eventueel van een dienst van algemene nutte gebruikmaken. De tekst van het artikel geeft daarvoor een duidelijke aanwijzing: Hij die opzettelijk enig geautomatiseerd werk ( ) vernielt [enz.] wordt gestraft ( ) met gevangenisstraf ( ) indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is ( ) (onze cursivering). Het moet dus gaan om gemeen gevaar dat wordt veroorzaakt door het vernielen van enige computer; de tekst suggereert geenszins dat het gevaar ook zou kunnen ontstaan door een optelsom van vernielingen terwijl elke afzonderlijke vernieling als zodanig geen gevaar oplevert. De interpretatie die de Hoge Raad geeft aan art. 161sexies Sr impliceert echter dat ook de vernieling van een substantieel aantal computers dat door klanten voor internetbankieren wordt gebruikt, het gemeengevaarlijke delict van art. 161sexies Sr oplevert. 12 Maar zoals A-G Knigge ook nog opmerkt, wordt in art. 161sexies Sr gesproken over de verlening van een dienst van algemene nutte en niet het gebruik ervan. In combinatie met de formulering enig geautomatiseerd werk ( ) indien daarvan gemeen gevaar ( ) te duchten is kan het artikel dan ook bezwaarlijk anders worden gelezen dan als een strafbaarstelling van sabotage van de computer van de aanbieder van een dienst ten algemene nutte. Terecht stelt Knigge dat als art. 161sexies Sr niet van toepassing is, het gedrag zeker niet straffeloos is; art. 350a lid 3 Sr kan nog steeds van toepassing zijn. Wij kunnen daar nog diverse andere bepalingen aan toevoegen die evenzeer van toepassing lijken op het feitencomplex: gegevensaantasting (art. 350a lid 1 Sr), phishing (wat oplichting oplevert, art. 326 Sr), misbruik van hulpmiddelen (art. 139d lid 2 Sr) en, door de keylogging-functionaliteit van Toxbot, aftappen (art. 139c en 139d lid 1 Sr). Kortom, wij zijn van mening dat de redenering van A-G Knigge meer hout snijdt dan die van de Hoge Raad. Art. 161sexies Sr beschermt tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemer(s). De interpretatie van de Hoge Raad rekt de reikwijdte van het artikel op, waardoor art. 161sexies Sr nauwelijks nog onderscheidende waarde heeft. Met de redenering van de Hoge Raad gaat art. 161sexies Sr immers elke verspreiding omvatten van malware die een substantieel aantal computers aantast, waardoor gebruikers niet goed meer kunnen internetbankieren, skypen, internet-tv kijken of op de webpagina van hun energieleverancier kunnen kijken. Dat heeft niets meer te maken met een gemeengevaarlijk delict, maar alles met gewone computercriminaliteit die in de diverse andere bepalingen in het wetboek is strafbaar gesteld. Conclusie Terecht hecht de Hoge Raad waarde aan de afhankelijkheid van onze samenleving van ICT. Het online betalingsverkeer is in de loop der jaren een onmisbare dienst geworden voor Nederlandse burgers. Het kan gerechtvaardigd zijn dat het verstoren van grote aantallen computers waarbij de gebruikers niet langer normaal kunnen internetbankieren, zwaar wordt gestraft. Het is echter niet nodig om daarvoor art. 161sexies Sr van stal te halen. Het is moeilijk te achterhalen waarom precies het OM dit artikel ten laste heeft gelegd in plaats van het meer voor de hand liggende art. 350a lid 3 Sr (virusverspreiding) of art. 139c Sr (aftappen). Ook had het OM zich kunnen baseren op andere artikelen, zoals het opzettelijk en ongevraagd toevoegen van software (art. 350a lid 1 Sr) of het plaatsen van een keylogger (art. 139d lid 1 Sr). 13 Het is ook speculeren waarom de Hoge Raad, anders dan het hof, het OM volgt met een gekunstelde argumentatie die de reikwijdte van 161sexies erg oprekt. Wellicht speelt hier parten dat in het verleden art. 161sexies Sr wel is gebruikt om cyberaanvallen te vervolgen, zowel op over- 1184

heidswebsites 14 als op webpagina s van e-handelaars. 15 Destijds was dat nodig omdat er geen specifieke strafbepaling bestond voor dit type aanvallen. Die lacune is in 2006 gedicht met art. 138b Sr. Sindsdien is er geen reden om art. 161sexies Sr als een vangnet te zien voor veelomvattende cyberaanvallen. Evenzo is het onnodig en onwenselijk om bij verspreiding van Toxbot-achtige virussen direct uit te gaan van computervredebreuk. Hoewel de functionaliteit van dit type virussen waarbij een aanvaller via een commandand-control-server commando s geeft aan geïnfecteerde computers impliceert dat computers kunnen worden gehackt, betekent het verspreiden van en computers infecteren met van zo n virus als zodanig nog geen computervredebreuk. Dat is pas het geval als de dader daadwerkelijk met de geïnfecteerde computers communiceert. De Nederlandse strafwetgeving kent een genuanceerd scala aan bepalingen die elk verschillende typen van cyberaanvallen omvatten. Het is belangrijk dat OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie die nu wordt gegeven aan zowel art. 138ab als 161sexies Sr verwatert het onderscheid tussen de verschillende typen computerdelicten. Dat doet geen recht aan de inspanningen van de wetgever om een dekkend systeem van computercriminaliteitsbepalingen tot stand te brengen. Bovendien is het slecht voor de rechtszekerheid, omdat kwestieuze (en extensieve) interpretaties door toekomstige rechters kunnen worden omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Al met al bewijst het optreden van de magistratuur in de Toxbotzaak daarom de systematiek van de computercriminaliteitswetgeving een slechte dienst. 10. HR 22 februari 2011, LJN BN9287, 13. Merk op dat inmiddels ook nog twee andere bepalingen toepasbaar zijn op een feitencomplex als in de Toxbot-zaak: oplichting door phishing (art. 326 Sr) of het verspreiden van een hulpmiddel voor hacken (art. 139d lid 2 Sr). Deze waren ten tijde van de Toxbot-feiten (in 2005) nog niet in werking. 14. Rb. s-gravenhage 14 maart 2005, LJN AT0249. 15. Hof s-hertogenbosch 12 februari 2007, LJN BA1891; in deze zaak werd vrijgesproken omdat een aanval op de webpagina van een enkel e-handelbedrijf geen gemeen gevaar voor dienstverlening oplevert. r.o. 3.5. 11. HR 22 februari 2011, LJN BN9287, par. 20 (concl. A-G Knigge). 12. Vgl. HR 22 februari 2011, LJN BN9287, par. 27 (concl. A-G Knigge). 1185

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback