Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten Een expert opinion Auteur(s): prof.dr. Bert-Jaap Koops Versie: 1.0 Datum: April 2013 Deze expert opinion is gebaseerd op de stand van de wetgeving van begin 2013. Het wetsontwerp Computercriminaliteit III dat in mei 2013 werd gepubliceerd, is niet in de analyse betrokken. Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl Deutsche Bank 46 57 33 506 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
prof.dr. Bert-Jaap Koops Universiteit van Tilburg TILT Tilburg Institute for Law, Technology, and Society Postbus 90153 5000 LE Tilburg e.j.koops@uvt.nl PI.lab http://pilab.nl/ April 2013 For this publication is the Creative Commons licence Attribution 3.0 Unported.. More information on the licence is to be found on http://creativecommons.org/licenses/by/3.0/ 2
Inhoudsopgave Samenvatting... 4 Afkortingen... 5 1 Inleiding... 6 2 Anti-botnetacties... 7 3 Basiselementen in het strafrecht... 9 3.1 Jurisdictie... 9 3.2 Wederrechtelijkheid... 10 4 Relevante bepalingen in het Wetboek van Strafrecht... 14 4.1 Bepalingen over observatie en registratie... 14 4.2 Bepalingen over infiltratie en manipulatie... 16 4.3 Overnemen en neerhalen... 20 4.4 Overige mogelijk relevante strafbepalingen... 23 4.5 De keerzijde: strafbepalingen die pleiten vóór anti-botnetacties... 25 5 Conclusie... 28 Literatuur... 29 Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Samenvatting Deze notitie, geschreven in opdracht van SURFnet, geeft een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. De meeste anti-botnetacties die verder gaan dan pure beveiliging van de eigen systemen, maken inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen. Deze acties zijn daarom snel te kwalificeren als aftappen en opnemen van communicatie, computervredebreuk, gegevensaantasting, computersabotage en heling van gegevens gedragingen die in het Wetboek van Strafrecht strafbaar zijn gesteld wanneer ze opzettelijk en wederrechtelijk worden uitgevoerd. De kernvraag daarbij is wanneer een actie wederrechtelijk is. Er valt niet in het algemeen te zeggen wanneer een anti-botnetactie wederrechtelijk is. Dat hangt af van veel factoren, zoals de contracten en gedragscodes die binnen SURFnet gelden, de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, (on)mogelijkheden van diverse actoren om in te grijpen, en hoe de maatschappij aankijkt tegen ingrijpen door private actoren in het kader van misdaadbestrijding in een Internetomgeving. Leidende beginselen zijn subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Voor elk type actie, en in elke context, moet worden bekeken of het nodig is dat SURFnet of een aangesloten instelling deze actie uitvoert (in plaats van het over te laten aan politie, antivirusaanbieders of eindgebruikers), en of de bedreiging de mogelijke of aangerichte schade van het botnet de mate van ingrijpen in computers en gegevensstromen van anderen rechtvaardigt. Omdat de maatschappelijke normen voor de aanvaarbaarheid van anti-botnetacties (dat wil zeggen of deze rechtmatig of wederrechtelijk zijn) nog sterk in ontwikkeling zijn, verdient het aanbeveling dat SURFnet richtlijnen opstelt voor anti-botnetacties, bij voorkeur na overleg met andere belanghebbende actoren. In elk geval kan SURFnet als netwerkaanbieder in de contracten met instellingen, en als dienstaanbieder in het opstellen van model-gedragscodes en integriteitscodes, tot op zekere hoogte zelf bepalen welke anti-botnetacties onder welke omstandigheden uitgevoerd kunnen worden binnen het SURFnet-netwerk. Voor acties die effect hebben op computers en gegevensstromen buiten het SURFnet-netwerk kan SURFnet, liefst samen met vergelijkbare private partijen, een gedragscode opstellen voor anti-botnetacties, die weliswaar geen bindende werking heeft maar wel de beoordeling door de rechter van de rechtmatigheid van de acties kan inkleuren. Het Nederlandse strafrecht stelt daarbij wel grenzen aan anti-botnetacties, maar die grenzen zijn contextafhankelijk. Zorgvuldig overdachte, proportionele acties ter bestrijding van botnets hoeven niet strafbaar te zijn, en voor zover ze dat op papier wel zijn zullen ze in de praktijk vermoedelijk niet snel worden vervolgd. 4/29
Afkortingen C&C DPI HR LJN Command & Control Deep Packet Inspection Hoge Raad Landelijk JurisprudentieNummer NCSC Nationaal Cybersecurity Centrum Sr Wetboek van Strafrecht 5/29
1 Inleiding Botnets zijn een van de grootste uitdagingen bij de bestrijding van cybercriminaliteit. Ze vormen een groot maatschappelijk probleem, vanwege de diversiteit aan strafbare feiten die ermee kunnen worden gepleegd, hun (voor geïnfecteerde gebruikers) onzichtbare en hun grensoverschrijdende karakter, en de aanzienlijke schade die botnetaanvallen kunnen opleveren. De bestrijding van botnets kan niet alleen bestaan uit de klassieke strafrechtelijke aanpak van opsporing en vervolging van daders; ook het botnet zelf zal aangepakt (liefst ontmanteld) moeten worden, om te voorkomen dat het door anderen wordt overgenomen wanneer de oorspronkelijke daders opgepakt worden. Bovendien is strafrechtelijk optreden tegen botnets moeilijk vanwege het grensoverschrijdende karakter. Daarom is het wenselijk dat activiteiten worden ondernomen, door overheid maar mogelijk ook door private partijen, om botnets te bestrijden. SURFnet is één van de private partijen die regelmatig met botnets te maken krijgt. In het verleden heeft SURFnet meerdere malen een faciliterende rol ingenomen bij het ontmantelen van botnets. Inmiddels is er nationaal en internationaal discussie ontstaan over het nut en de noodzaak van dergelijke ontmantelingsacties. In bepaalde situaties kan het observeren van een botnet een verstandigere zet zijn dan het onschadelijk maken, omdat een nieuwe botnetversie snel opgezet kan worden en het tijd en moeite kost om een nieuwe versie te analyseren. SURFnet vindt het belangrijk om beleid te ontwikkelen over hoe en of SURFnet betrokken kan zijn bij toekomstige acties ter bestrijding van botnets (hierna: anti-botnetacties). Een belangrijk aandachtspunt daarbij is de vraag welke juridische ruimte er bestaat voor een private actor als SURFnet om anti-botnetacties uit te voeren. Naast het privacyrecht speelt het strafrecht daarbij een belangrijke rol, omdat anti-botnetacties vaak zullen bestaan uit handelingen die mogelijk als computercriminaliteit te kwalificeren zijn, zoals aftappen van gegevens of computervredebreuk. Daarom heeft SURFnet opdracht gegeven een Expert Opinion te schrijven over de strafrechtelijke aspecten van anti-botnetacties. In deze notitie wordt een dergelijke Expert Opinion gegeven in de vorm van een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. Het overzicht en het antwoord op de vraag naar strafbaarheid zijn globaal. In de voor deze notitie beperkt beschikbare tijd was het niet mogelijk om een uitgewerkte analyse te geven van alle strafrechtelijke aspecten. De notitie geeft daarom een globale indicatie van mogelijke strafbaarheid. Het bevat geen juridisch advies; partijen die overwegen bepaalde anti-botnetacties uit te voeren wordt aangeraden nader juridisch advies in te winnen over de toelaatbaarheid van de bepaalde beoogde actie in de specifieke context waarin deze plaatsvindt. De notitie begint met een classificatie van anti-botnetacties, als handvat om de strafrechtelijke aspecten te bespreken. Vervolgens worden eerst twee basisvragen besproken die in het algemeen relevant zijn jurisdictie en wederrechtelijkheid waarna een overzicht volgt van mogelijk relevante strafbepalingen. In de conclusie wordt geprobeerd een globale indicatie te geven van de eventuele strafbaarheid van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. 6/29
2 Anti-botnetacties Bij anti-botnetacties kan worden gedacht aan een breed scala van activiteiten. Dat varieert van enerzijds observatie via infiltratie en manipulatie tot het overnemen, neerhalen en ontmantelen van een botnet. In Himma-Dittrich s taxonomie van intrusion response gaat het om de twee hoogste niveaus 3 en 4 van actie, namelijk: cooperative response, waarbij het slachtoffer van een aanval of bedreiging in samenwerking met anderen gezamenlijke maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren; non-cooperative response, waarbij het slachtoffer eenzijdige maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren met middelen die causale interacteren met systemen op afstand (hetzij van een aanvaller hetzij van derden die zouden kunnen bijdragen aan het bestrijden van de bedreiging). 1 De acties kunnen verschillende niveaus hebben van ingrijpendheid ( levels of force, in Himma- Dittrich s taxonomie): goedaardig ( benign ), bijvoorbeeld sniffen of detectie door middel van een pot honing; gemiddeld, bijvoorbeeld het terugtraceren van een aanvalspad of het vergaren van bewijs van een locatie op afstand; agressief, zoals het manipuleren van data of systemen op afstand, of het uitschakelen van systemen. 2 Voor de strafbaarheid is vooral het laatste onderscheid relevant, niet alleen omdat het om verschillende maten gaat van mogelijke schade die de actie bij een systeem aanricht, maar ook omdat het om verschillende typen ingrijpen gaat. In concreto kunnen de volgende anti-botnetacties worden onderscheiden, ongeveer in volgorde van toenemende ingrijpendheid: 1. observatie en registratie: a. passief/registrerend, bijvoorbeeld nazoeken van DNS-informatie, registreren van netflowinformatie, en eventueel Deep Packet Inspection (DPI) van langskomend netwerkverkeer; b. actief/zoekend, dat wil zeggen het aantrekken van netwerkverkeer dat met een botnet samenhangt; hierbij moet ook onderscheid gemaakt worden tussen: i. informatie over het botnet, bijvoorbeeld verkeerspatronen die met het botnet samenhangen; 1 Dittrich en Himma 2005. 2 Ibid. 7/29
ii. informatie verkregen door het botnet, dat wil zeggen gegevens die door het botnet (vermoedelijk) illegaal worden verzameld, zoals kredietkaartgegevens, wachtwoorden of bedrijfsinformatie; 2. infiltratie en manipulatie, bijvoorbeeld het spoofen van Command & Control-verkeer, IP-spoofing en het installeren van remote exploits; 3. overnemen en neerhalen, bijvoorbeeld sinkholing (het routeren van botnetverkeer naar een server onder eigen beheer in plaats van naar de C&C-server), het anderszins overnemen van een C&Cserver, het blokkeren van botnetverkeer, of het ontmantelen van een botnet; acties op dit niveau kunnen gericht zijn op: a. het botnet als geheel, dan wel de C&C-server; b. een geïnfecteerde computer, bijvoorbeeld het op afstand desinfecteren van een bot. Deze notitie analyseert anti-botnetacties die worden uitgevoerd in de context van SURFnet. Mogelijke uitvoerders van acties zijn: A. SURFnet als ISP van bij SURFnet aangesloten instellingen voor hoger onderwijs en onderzoek, waarbij informatiebeveiligingsdiensten worden geleverd door SURFcert; B. een bij SURFnet aangesloten instelling. 8/29
3 Basiselementen in het strafrecht Alvorens te beschrijven welke strafbepalingen mogelijk van toepassing zijn op anti-botnetacties, is het nuttig om eerst twee aspecten te noemen die een belangrijke rol spelen bij de kwalificatie. Ten eerste is belangrijk om te bepalen welk recht van toepassing is. Ten tweede zijn er enkele basiselementen in het strafrecht die op de meeste strafbepalingen van toepassing zijn: handelingen zijn over het algemeen alleen strafbaar als ze opzettelijk worden begaan en wederrechtelijk zijn. Ik ga ervan uit dat anti-botnetacties doelbewust en dus opzettelijk worden gepleegd, maar de wederrechtelijkheid is contextafhankelijk en vergt nadere bestudering. 3.1 Jurisdictie Over het algemeen is het strafrecht van toepassing van het land waarin het strafbare feit wordt gepleegd. Er zijn ook andere grondslagen van rechtsmacht, zoals nationaliteit (een Nederlander die in het buitenland kinderporno vervaardigt, is (ook) strafbaar in Nederland) en universaliteit (zoals oorlogsmisdrijven). Voor deze notitie is vooral jurisdictie op basis van plaats relevant. We gaan ervan uit dat degene die de anti-botnetactie uitvoert, zich in Nederland bevindt. In dat geval is de Nederlandse strafwet van toepassing: rechtsmacht wordt gebaseerd op de plaats waar de gedraging wordt uitgevoerd, en bij computerhandelingen betekent dat zowel de plaats waarvandaan commando s worden verstuurd als de plaats waar commando s worden uitgevoerd. Als het systeem op afstand in het buitenland staat, zal de buitenlandse staat meestal ook rechtsmacht kunnen opeisen: daar vindt immers het gevolg van de gedraging plaats. 3 In dat geval is er, zoals bij cybercrime vaak het geval is, sprake van een zogeheten positief rechtsmachtconflict en zullen landen onderling moeten uitmaken welk land het delict wil vervolgen; vaak zal dat het land zijn waarin de verdachte zich bevindt. Dit betekent dat de analyse in deze notitie hoofdzakelijk kijkt of een anti-botnetactie onder het Nederlandse strafrecht gekwalificeerd kan worden als een strafbaar feit. Men moet er echter rekening mee houden dat, als een actie in Nederland niet strafbaar is, het onder buitenlands recht mogelijk wel strafbaar zou kunnen zijn. In het bestek van deze notitie is het niet mogelijk om buitenlands recht te analyseren. Over het algemeen is het strafrecht van cybercrime enigszins geharmoniseerd door het Cybercrime-verdrag van de Raad van Europa, waarbij 39 landen zijn aangesloten (waaronder niet alleen Europese landen maar ook de VS, Australië en Japan). 4 Die landen hebben meestal vergelijkbare strafbepalingen als Nederland, maar er zijn behoorlijke verschillen in de implementatie. Instellingen moeten er dus rekening mee houden dat acties tegen botnets of bots die zich in het buitenland bevinden, aldaar strafbaar kunnen zijn ook als ze naar Nederlands recht niet strafbaar zijn. Het risico daarvan is overigens betrekkelijk klein: ook als een actie theoretisch strafbaar is, is het meestal onwaarschijnlijk dat een buitenlandse staat actief gaat vervolgen (tenzij de actie aanzienlijke schade aanricht aan computers of systemen op afstand). En mocht een buitenlandse staat overgaan tot vervolging, dan zal Nederland geen rechtshulp verlenen of de dader uitleveren als de actie naar Nederlands recht niet strafbaar is; voor rechtshulp is namelijk dubbele strafbaarheid vereist. Daarom is het voor SURFnet 3 Zie voor een analyse van rechtsmacht bij cybercrime Brenner en Koops 2004. 4 Zie http://conventions.coe.int/treaty/commun/cherchesig.asp?nt=185&cm=&df=&cl=eng. 9/29
en aangesloten instellingen vooral relevant om te weten of een anti-botnetactie naar Nederlands recht strafbaar is. 3.2 Wederrechtelijkheid Hoewel het misschien tautologisch klinkt, is wederrechtelijkheid een belangrijk onderdeel van strafbepalingen. Veel handelingen die worden beschreven in het Wetboek van Strafrecht (Sr) worden namelijk veelvuldig gepleegd in het dagelijks leven; zo pleegt iemand die na de lunch bij haar moeder thuis een melkpak in elkaar frommelt, zaakbeschadiging (het onbruikbaar maken van een goed dat geheel of ten dele aan een ander toebehoort), maar dit valt niet onder artikel 350 Sr omdat ze er (stilzwijgende) toestemming voor heeft. De meeste strafbepalingen bevatten daarom het element wederrechtelijk in de beschrijving, bijvoorbeeld het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan (art. 138ab Sr, hacken). Zonder het element wederrechtelijk in de omschrijving, zou elke computergebruiker zich elke keer als zij haar computer gebruikt schuldig maken aan hacken. 3.2.1 Contractuele relatie Het element van wederrechtelijkheid is belangrijk bij de kwalificatie van anti-botnetacties, omdat de toelaatbaarheid daarvan mede afhangt van de juridische relatie tussen degene die de actie uitvoert en degene die de actie ondergaat. Zo kan het gebruik van DPI door SURFcert in het kader van een botnetonderzoek rechtmatig zijn als in het contract tussen SURFnet als dienstaanbieder en de aangesloten instelling daarover een bepaling is opgenomen. Het op afstand desinfecteren van een bot binnen het netwerk van een SURFnet-klant kan rechtmatig zijn als deze actie is opgenomen in de overeenkomsten tussen SURFnet en instelling en tussen de instelling en haar gebruikers. Vermoedelijk zullen bestaande overeenkomsten en gedragscodes geen expliciete of specifieke bepalingen hebben over anti-botnetacties, maar bestaande bepalingen over het monitoren van netwerkverkeer van gebruikers zouden ruim genoeg kunnen zijn geformuleerd om ook bepaalde antibotnetacties te omvatten. Zo bepaalt artikel 11 van de Leidraad voor het opstellen van een Acceptable Use Policy (versie 2005) van SURF-IBO: Artikel 11: Controle Misbruik en incidenten melden met inachtneming van de WBP worden ter voorkoming van beheer- en capaciteitsproblemen evenals ter voorkoming van misbruik door de beheerder de ICTfaciliteiten via geautomatiseerde processen gecontroleerd en wordt het netwerkverkeer gevolgd; hierbij zijn de gegevens niet tot personen te herleiden ( ). 5 Wanneer een instelling deze bepaling heeft geïmplementeerd in de gedragscode ICT-gebruik voor haar medewerkers en gebruikers, kan het netwerkverkeer daarom rechtmatig worden gemonitord ter voorkoming van botnetaanvallen, zolang het verkeer niet tot individuele personen te herleiden is. Eventueel kan ook op individueel niveau worden gemonitord bij aanwijzingen van concrete dreigingen, 5 SURF-IBO, Leidraad voor het opstellen van een Acceptable Use Policy, november 2005, http://www.surf.nl/nl/publicaties/documents/surf- IBO%20Leidraad%20voor%20het%20opstellen%20van%20een%20acceptable%20use%20policy%20definitief.pdf. 10/29
maar dat hangt af van de precieze formulering van de bepalingen in de gedragscode over wat onder welke omstandigheden mag worden gemonitord. Ook meer ingrijpende acties zoals het blokkeren van verkeer of het op afstand ingrijpen in een computer zouden gerechtvaardigd kunnen zijn als dat in onderlinge afspraken voldoende duidelijk is geregeld. Voor het bepalen van de rechtmatigheid van een bepaalde anti-botnetactie, is het dus belangrijk om de contracten en andere afspraken (zoals integriteitscodes voor ICT-medewerkers en gedragscodes voor ICT-gebruik) te bestuderen. Voor zover de overeenkomsten en gedragscodes geen (voldoende expliciete) bepalingen bevatten over bepaalde anti-botnetacties en partijen (SURFnet en aangesloten instellingen) het wenselijk achten dat deze acties wel onder bepaalde omstandigheden kunnen worden ingezet, kunnen deze partijen de overeenkomsten aanpassen of aanvullen. 3.2.2 Maatschappelijke normen Vanzelfsprekend gelden de opmerkingen over contractuele relaties alleen voor acties die beperkt blijven tot computers die onderdeel uitmaken van het SURFnet-netwerk (en eventueel van privécomputers van medewerkers of studenten als de contracten en gedragscodes zich daarover uitstrekken). Voor acties gericht tegen computers buiten het netwerk zullen algemene regels van rechtmatigheid gelden, zoals de open norm van de onrechtmatige daad: wat in het maatschappelijk verkeer betaamt. Zo n open norm is moeilijk in te vullen voor anti-botnetacties, omdat er nog relatief weinig ervaring bestaat in het maatschappelijk verkeer met ingrijpen door private partijen in botnets. Totdat rechters zich over concrete zaken uitspreken, kan alleen enig houvast worden gevonden in algemene beginselen als subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Observatie is minder ingrijpend dan manipuleren of overnemen en zal dus sneller rechtmatig zijn; het op afstand desinfecteren van een bot door een remote exploit is ingrijpend en zal mogelijk alleen acceptabel zijn als desinfectie door antivirusprogramma s echt niet werkt en als de geïnfecteerde computer een concrete bedreiging vormt voor het netwerkverkeer. De precieze invulling van wat subsidiair en proportioneel is, is contextafhankelijk. Het hangt samen met onder andere de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, de (on)mogelijkheden van diverse actoren om in te grijpen, en vooral ook met de maatschappelijke normen over wat men in een bepaalde tijd en op een bepaalde plaats aanvaardbaar vindt. De maatschappelijke normen over ingrijpen in botnets moeten nog uitkristalliseren. Daarom kan in deze notitie geen duidelijk antwoord worden gegeven op de vraag naar de toelaatbaarheid van antibotnetacties: het is nauwelijks te zeggen waar in de huidige Nederlandse context de grens ligt van wederrechtelijkheid. Die grens zal in de praktijk in beleid en in jurisprudentie moeten worden ontwikkeld. Partijen die actie willen ondernemen tegen botnets, hoeven niet passief af te wachten maar kunnen die ontwikkeling zelf actief (bij)sturen door met alle belanghebbende actoren te overleggen en gedragscodes te ontwikkelen. Op die manier kristalliseren maatschappelijke normen rond nieuwe technologieën en praktijken zich immers uit. Het valt daarom aan te raden voor SURFnet om met partijen (zoals NCSC, politie, Openbaar Ministerie, beveiligingsbedrijven, banken, ICTkoepelorganisaties en privacyorganisaties) om de tafel te gaan zitten en richtlijnen op te stellen voor anti-botnetacties door SURFnet en eventuele andere private partijen. 3.2.3 Juridische leerstukken Het vraagstuk van wederrechtelijkheid raakt voorts aan diverse juridische leerstukken, die binnen het bestek van deze notitie niet kunnen worden geanalyseerd. Ik noem ze hier als aandachtspunten waarvan het mogelijk nuttig zou kunnen zijn ze nader te onderzoeken. 11/29
Ten eerste de vraag of het uitmaakt met welke goede of kwade bedoelingen iemand een handeling pleegt. Over het algemeen is het feit of iemand met goede bedoelingen een feit pleegt niet doorslaggevend voor de vraag of de handeling wederrechtelijk is; het strafrecht kijkt naar allerlei aspecten bij de beoordeling van wederrechtelijkheid, waarvan de subjectieve intentie er één kan zijn. Als de handeling naar objectieve maatstaven wederrechtelijk is zoals een arts die euthanasie pleegt zonder de daarbij behorende zorgvuldigheidsnormen in acht te nemen zal de handeling vaak strafbaar zijn; de goede intentie kan vervolgens wel meegewogen worden bij de strafoplegging (bijvoorbeeld veroordeling zonder straf) of in de (lagere) strafmaat. Soms kan de goede bedoeling echter wel de wederrechtelijkheid wegnemen, zoals in het leerstuk van afwezigheid van alle schuld ; die uitzondering wordt in de jurisprudentie echter zelden gebruikt. Voor (wetenschappelijk) onderzoek bestaat geen uitzondering voor wat betreft de strafbaarheid van handelingen. De academische vrijheid is inmiddels (in het EU-Handvest voor de grondrechten) wel opgenomen als fundamenteel recht, maar dat vertaalt zich niet met zoveel woorden in een strafuitsluitingsgrond bij het plegen van strafbare feiten. In het verleden werd wel een uitzondering gemaakt in de strafbaarstelling van bezit van kinderpornografie als het bezit plaatsvond voor wetenschappelijke doeleinden, maar deze uitzondering is in 2002 afgeschaft. Bij andere delicten bestaat evenmin een uitzondering voor wetenschappelijk onderzoek. Soms kan het feit dat een handeling plaatsvond in het kader van een wetenschappelijk onderzoek wel meespelen bij de beoordeling van wederrechtelijkheid, maar dat komt dan niet zozeer door de academische vrijheid maar doordat er dan een specifieke bevoegdheidsgrondslag bestaat, zoals bij een arts die verdovende middelen als medicijn mag voorschrijven. Wel kan het feit van academisch onderzoek meewegen in de strafoplegging of strafmaat. De vraag in welke mate de (goede of kwade) intentie meespeelt bij de vraag naar strafbaarheid, hangt ook af van het delict. Zo was bij de strafbaarstelling van computervredebreuk in 1993 de formulering dat iemand opzettelijk wederrechtelijk binnendringt in een computer, zodat het opzet zich ook moest richten op de wederrechtelijkheid; met andere woorden, de hacker moest weten dat zijn handelen wederrechtelijk is, en dus een kwaad opzet hebben. Dit is in de Wet computercriminaliteit II in 2006 aangepast in de formulering: het gaat nu om opzettelijk en wederrechtelijk binnendringen, waarbij het opzet dus alleen gericht is op het binnendringen maar niet op de wederrechtelijkheid. Iemand die met goede bedoelingen maar welbewust in een computer binnendringt waar zij geen recht toe heeft, pleegt dus toch computervredebreuk. Een tweede aandachtspunt bij de juridische beoordeling van wederrechtelijkheid is het leerstuk van noodweer, dat wil zeggen als iemand handelt tegen een acute dreiging om zijn eigen recht te verdedigen. Niet strafbaar is hij die een feit begaat, geboden door de noodzakelijke verdediging van eigen of eens anders lijf, eerbaarheid of goed tegen ogenblikkelijke, wederrechtelijke aanranding (art. 41 lid 1 Sr). Belangrijk hierbij is dat het gaat om een ogenblikkelijke aanranding van iemands goed, dus dat de handeling tegen de aanvaller plaatsvindt bij een acute, directe dreiging van een aanval of tijdens een aanval (maar niet na afloop van de aanval). Of het leerstuk van noodweer kan opgaan voor een anti-botnetactie is een complexe vraag, die binnen het bestek van deze notitie niet kan worden beantwoord. Mocht het opgaan, dan zal dat slechts in zeer specifieke omstandigheden zijn; het in kaart brengen van die specifieke omstandigheden vergt nader onderzoek. Een derde vraagpunt is onder welke omstandigheden burgers de rol van opsporingsambtenaren op zich mogen nemen. Omdat de overheid het geweldsmonopolie heeft, mogen burgers niet strafvorderlijke handelingen verrichten. Daarop bestaat echter een uitzondering: burgers mogen wel iemand aanhouden (arresteren) als iemand op heterdaad wordt betrapt (art. 53, eerste lid Wetboek van Strafvordering), en daarbij alle voorwerpen in beslag nemen die de verdachte bij zich voert (art. 95, eerste lid Wetboek van Strafvordering). Omdat bij een heterdaadsituatie er zeer sterke 12/29
aanwijzingen zijn dat de verdachte het strafbare feit heeft gepleegd, en het niet efficiënt is om eerst de politie in te schakelen om de persoon aan te houden en voorwerpen (bijvoorbeeld uit de winkel gestolen waar) in beslag te nemen, mogen deze bevoegdheden door burgers worden uitgeoefend. Deze bepalingen zijn geschreven voor de fysieke werkelijkheid, waarin burgers met eigen ogen waarnemen dat iemand een strafbaar feit pleegt en direct deze persoon kunnen vastpakken; ze zijn moeilijk te transplanteren naar een Internetomgeving waar de zichtbaarheid van het strafbare feit en de koppeling tussen dader en het strafbare feit kleiner zijn. Niettemin zou het goed zijn voor de wetgever om na te denken of en onder welke omstandigheden de bevoegdheden van burgers om bij heterdaad iemand staande te houden en (bewijs)materiaal in beslag te nemen, ook in een digitale omgeving toegepast zouden kunnen worden, bijvoorbeeld als de burger slachtoffer is van een DoSaanval. Maar zolang de wetgever zich hierover niet heeft uitgesproken, moet er denk ik van uit worden gegaan dat burgers in een digitale omgeving geen opsporingsbevoegdheden hebben en dus geen inbreuk op rechten van derden mogen maken in het kader van de opsporing of bestrijding van een strafbaar feit. 13/29
4 Relevante bepalingen in het Wetboek van Strafrecht 4.1 Bepalingen over observatie en registratie 4.1.1 Afluisteren en opnemen van communicatie Er zijn drie strafbepalingen over het aftappen of opnemen van telecommunicatie of communicatie die door middel van computers (in termen van de wet: geautomatiseerd werk ) plaatsvindt. Artikel 139c 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk. 2. Het eerste lid is niet van toepassing op het aftappen of opnemen: 1. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt. 2. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik; 3. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002. Artikel 139d 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn. Artikel 139e Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: ( ) 2. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten 14/29
gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; ( ). Deze bepalingen zijn relevant voor observeren en registreren van netwerkverkeer. Vooral artikel 139c Sr is van belang. Lid 2 daarvan geeft een uitzondering voor beheerders van communicatienetwerken, waaronder SURFnet en bij SURFnet aangesloten instellingen (voor zover het hun eigen netwerk betreft) vallen. In het algemeen mogen beheerders dus vanuit strafrechtelijk oogpunt netwerkverkeer observeren, behalve als dat kennelijk misbruik betreft. Als men bij een antibotnetacties op een proportionele manier verkeer monitort, zal er geen sprake zijn van kennelijk misbruik. Wel moet worden bedacht dat rechtmatigheid van observatie en registratie niet alleen een kwestie is van strafrecht, maar ook van privaatrecht en privacyrecht; daarin gelden striktere regels voor het monitoren van verkeer door werkgevers en beheerders. 6 Wanneer het observeren en registreren niet alleen verkeersgegevens maar ook inhoud betreft, zoals bij DPI, is echter ook artikel 273d Sr relevant. Artikel 273d 1. Met gevangenisstraf van ten hoogste een jaar en zes maanden of geldboete van de vierde categorie wordt gestraft de persoon werkzaam bij een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst: a. die opzettelijk en wederrechtelijk van gegevens kennisneemt die door tussenkomst van zodanig netwerk of zodanige dienst zijn opgeslagen, worden verwerkt of overgedragen en die niet voor hem zijn bestemd, zodanige gegevens voor zichzelf of een ander overneemt, aftapt of opneemt; b. die de beschikking heeft over een voorwerp waaraan, naar hij weet of redelijkerwijs moet vermoeden, een gegeven kan worden ontleend, dat door wederrechtelijk overnemen, aftappen of opnemen van zodanige gegevens is verkregen; c. die opzettelijk en wederrechtelijk de inhoud van zodanige gegevens aan een ander bekendmaakt; d. die opzettelijk en wederrechtelijk een voorwerp waaraan een gegeven omtrent de inhoud van zodanige gegevens kan worden ontleend, ter beschikking stelt van een ander. 2. Het eerste lid is van overeenkomstige toepassing op de persoon werkzaam bij een aanbieder van een niet-openbaar telecommunicatienetwerk of een niet-openbare telecommunicatiedienst. SURFnet en bij SURFnet aangesloten instellingen zijn geen openbare telecommunicatieaanbieders, maar wel aanbieders van niet-openbare telecommunicatienetwerken. Via lid 2 vallen zij dus ook onder deze bepaling. Dat betekent dat de instelling niet wederrechtelijk de inhoud van het netwerkverkeer (dat zijn gegevens ( ) die niet voor hem zijn bestemd ) mag overnemen, aftappen of registreren. De 6 Zie Koops e.a. 2011. 15/29
aard van de gegevens maakt daarbij niet uit; het kan zowel gaan om vertrouwelijke en gevoelige gegevens als om banale berichtjes met nietszeggende gegevens. Het is vermoedelijk niet wederrechtelijk als gebruik van DPI noodzakelijk is voor de (continuïteit of kwaliteitsbewaking van de) levering van de dienst, aangezien het aanvaardbaar wordt geacht voor telecommunicatiebedrijven om ten behoeve van technische controle in de inhoud van communicatie te kijken. 7 Dat moet dan wel proportioneel zijn en niet met een minder zwaar middel te bereiken. Verder zal de wederrechtelijkheid vooral afhangen van de afspraken die hierover binnen de contractuele relatie zijn gemaakt (zie par. 3.2). Als de afspraken niet voldoende duidelijk zeggen onder welke omstandigheden de instelling (SURFnet of een aangesloten instelling) in de inhoud van netwerkverkeer mag kijken, zal gebruik van DPI vermoedelijk onrechtmatig zijn en de instelling zich dus schuldig maken aan het feit van artikel 273d Sr. 4.2 Bepalingen over infiltratie en manipulatie 4.2.1 Binnendringen in een computer ( hacken ) Hacken is strafbaar gesteld onder de term computervredebreuk, naar analogie met huisvredebreuk. Hoewel aanvankelijk alleen het binnendringen in beveiligde computers (met een minimumvorm van beveiliging, die wel meer moet zijn dan een bordje niet betreden ) strafbaar was gesteld, is dit in 2006 gewijzigd: elk wederrechtelijk binnendringen in een computer valt nu onder computervredebreuk. Artikel 138ab 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt. 3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk; 7 Het zou te ver gaan het telefoongeheim zo ruim op te vatten, dat ook deze technische controle en herstelwerkzaamheden, waarbij wel eens iets van een gesprek moet worden opgevangen, als inbreuken op dit recht zouden worden aangemerkt. Zo ver strekt het in het onderhavige artikel voorgestelde recht zich niet uit; wel brengt het artikel mee, dat hetgeen aldus wordt opgevangen niet aan derden mag worden doorgegeven. Kamerstukken II 1975-76, 13 872, nr. 3, p. 46. 16/29
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde. De strafbaarstelling van hacken is relevant voor acties van infiltreren en manipuleren en van overnemen en neerhalen. Het doen installeren van een virus of andersoortig programma zonder toestemming van de gebruiker valt volgens de Hoge Raad niet alleen onder virusverspreiding (zie onder, art. 350a lid 3 Sr) maar ook onder hacken. 8 Hoewel volgens mij pas sprake is van hacken als iemand via malware daadwerkelijk op afstand contact heeft met de geïnfecteerde computer (bijvoorbeeld door commando s te sturen aan bots), gaat de Hoge Raad er kennelijk van uit dat computervredebreuk al plaatsvindt als iemand een virus of trojaans paard (zoals een remote exploit) verstuurt en dit daadwerkelijk op een computer (niet noodzakelijk de beoogde computer) wordt geïnstalleerd. 9 Wanneer bij het infiltreren of overnemen van een bot of C&C-server vervolgens gegevens worden verzameld (afgetapt of overgenomen), is de strafverzwaring van lid 2 van toepassing. De strafverzwaring van lid 3 kan van toepassing zijn als het binnendringen in de computer via de openbare telecommunicatie-infrastructuur plaatsvindt (dus niet beperkt blijft binnen het besloten SURFnet-netwerk zelf) en vervolgens via deze computer nog wordt binnengedrongen in andere computers. Ook hier zal de belangrijkste vraag zijn wanneer het binnendringen in een computer wederrechtelijk is, en dat hangt grotendeels weer af van de bevoegdheden die contractueel zijn afgesproken tussen SURFnet/aangesloten instelling en de gebruiker van de computer waarin wordt binnengedrongen (zie par. 3.2). Als die afspraken niet duidelijk genoeg zeggen onder welke omstandigheden dit kan, zal het binnendringen meestal onrechtmatig zijn (tenzij de gebruiker toestemming heeft gegeven om zijn computer op afstand te desinfecteren met een remote exploit). Een aanknopingspunt voor de beoordeling van rechtmatigheid kan worden gevonden in de recente rechtszaak tegen Henk K., die werd vervolgd voor computervredebreuk omdat hij diverse medische dossiers had ingezien en gekopieerd om de gebrekkige beveiliging daarvan aan de kaak te stellen. De rechtbank overwoog dat het om een wezenlijk maatschappelijk belang ging en dat het gerechtvaardigd was: dat [verdachte], alvorens verdere stappen te ondernemen, zelf wilde vaststellen of de bevindingen van [medeverdachte] juist waren. Het inloggen op de website en het vervolgens raadplegen van enkele dossiers acht de rechtbank in casu dan ook niet wederrechtelijk. De rechtbank vindt het voorts verdedigbaar dat er in deze situatie prints zijn gemaakt om de omvang van de tekortkoming en het gevaar daarvan aan te kunnen tonen. Verdachte heeft daarbij zorgvuldig gehandeld door de prints te anonimiseren. Dit deel van het handelen van verdachte is op grond van het voorafgaande niet strafbaar. 10 Omdat Henk K. vervolgens doorging en nog vier of vijf andere dossiers bekeek, op meerdere momenten, ging hij echter verder dan wat hoogst noodzakelijk was, waardoor de grens van proportionaliteit was overschreden. 8 HR 22 februari 2011, LJN BN9287. 9 Zie hierover Oerlemans en Koops 2011. 10 Rechtbank s-hertogenbosch 15 februari 2013, LJN BZ1157. 17/29
De rechtbank is van oordeel dat verdachte, mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten, zich had moeten beperken tot het hoogst noodzakelijke. Verdachte heeft echter meer en vaker dan één maal gegevens geraadpleegd en uitgeprint. In het licht van het door [verdachte] gestelde doel waartoe hij de gegevens raadpleegde en uitprintte, te weten bevestiging van het verhaal van [medeverdachte] en vergaring van bewijs om later het probleem tegenover [gegevensbeheerder] en eventuele anderen aan te kunnen tonen, bestond hiertoe geen enkele noodzaak. [verdachte] heeft voor dat deel van zijn handelen de grens van proportionaliteit overschreden. Hij werd daarom veroordeeld voor computervredebreuk. 11 Het gaat hier om een uitspraak van een lagere rechter (waarbij mogelijk nog in beroep wordt gegaan), zodat er niet te veel conclusies aan kunnen worden verbonden. Duidelijk is wel dat de rechtmatigheid van een bepaalde actie die wordt uitgevoerd met goede bedoelingen om informatiebeveiliging te verhogen een afweging vergt van het publiek belang en de mate waarin inbreuk wordt gemaakt op rechten van derden. Wat precies proportioneel en subsidiair is dus of een handeling echt noodzakelijk is voor het beoogde doel hangt daarbij erg af van de context. 4.2.2 Gegevensbeschadiging en virusverspreiding Het wederrechtelijk manipuleren van gegevens is strafbaar gesteld als gegevensbeschadiging; dit is zeer ruim geformuleerd in artikel 350a lid 1 Sr. Het verspreiden van virussen is apart strafbaar gesteld in artikel 350a lid 3 Sr. Artikel 350a 1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken. De strafbaarstelling van gegevensbeschadiging omvat elke vorm van wederrechtelijke aantasting van gegevens; daaronder valt al het zonder toestemming veranderen van of het toevoegen van een bit aan informatie. Omdat vrijwel elke handeling met computers in het kader van botnetbestrijding een verandering in gegevens in computers van anderen teweegbrengt, zal ook hier de kernvraag zijn wanneer de gegevensaantasting wederrechtelijk is (zie par. 3.2). 11 Ibid. 18/29
Overigens moet men zich ervan bewust zijn dat lang niet alle gedragingen die in theorie onder de delictsomschrijving vallen, in de praktijk zullen worden vervolgd. De Nederlandse wet hanteert vaak ruime omschrijvingen omdat het Openbaar Ministerie een discretionaire bevoegdheid heeft om te bepalen wie hij vervolgt (opportuniteitsbeginsel). De strafbaarstelling van malwareverspreiding in lid 3 is mogelijk van toepassing op het op afstand desinfecteren van een bot door het versturen van een remote exploit. Hoewel de tekst spreekt van gegevens die zijn bestemd om schade aan te richten, gaat het volgens de toelichting om alle vormen van malware; hoewel Trojaanse paarden niet per se bestemd hoeven te zijn om schade aan te richten (maar bijvoorbeeld ook om gegevens te achterhalen), vallen zij wel onder de delictsomschrijving. 12 Het begrip schade wordt niet alleen ingekleurd door de (kennelijke) intentie van de dader, maar ook door de (kennelijke) beleving van het slachtoffer: een virus dat elke 14 februari een vrolijke Valentijnskaart op het computerscherm laat zien, zal voor de verspreider niet per se schadelijk zijn, maar kan voor het slachtoffer wel schadelijk overkomen omdat de integriteit van de computer is aangetast. Voor anti-botnetacties die gebruik maken van remote exploits is lid 4 van belang, dat een uitzondering biedt voor virussen die juist schade door andere virussen beogen te voorkomen. De wetgever heeft daarbij vooral gedacht aan inentings-software, een onschuldig virus met dezelfde handtekening als een dreigend virus dat, bijvoorbeeld door een CERT, wordt verspreid zodat het schadelijke virus zich niet kan nestelen in computers die al zijn ingeënt. Of een desinfectie -programma, dat bij antibotnetacties gebruikt kan worden om op afstand zonder betrokkenheid van de gebruiker een bot te desinfecteren, ook onder het lid 4 valt, is bij mijn weten nog niet beantwoord in het recht. Gelet op het doel van lid 4, lijkt het mij plausibel dat ook de verspreider van een desinfectieprogramma dat immers evenals inentingsprogramma s probeert schade van de botnetmalware te beperken een beroep kan op deze strafuitsluitingsgrond, mits voldaan is aan de algemene beginselen van proportionaliteit en subsidiariteit (dus als bijvoorbeeld het ontmantelen van het botnet via algemene antivirussoftware te weinig effect heeft). Let wel dat de strafuitsluiting van lid 4 alleen betrekking heeft op lid 3 (virusverspreiding) en niet op lid 1 (gegevensaantasting), en evenmin op artikel 138ab (computervredebreuk). Het versturen van een remote exploit ter desinfectie van een bot valt ook onder deze laatste twee bepalingen, en daarvan zal dus apart moeten worden bepaald of het in het kader van die strafbaarstellingen wederrechtelijk of rechtmatig is. Bij de beoordeling daarvan kan wel het argument een rol spelen dat de strafuitsluiting van artikel 350a lid 4 suggereert dat de bewuste handeling niet wederrechtelijk is. 4.2.3 Oplichting Spoofen en sinkholing kunnen onder omstandigheden onder de strafbaarstelling van oplichting vallen. Artikel 326 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. ( ) 12 Kamerstukken II 1998/99, 26 671, nr. 3, p. 48. 19/29
Bij de strafbaarstelling van oplichting moet aan drie elementen (cumulatief) zijn voldaan: een middel, een doel en een effect. Wat het middel betreft, voldoen het spoofen van Command & Control-verkeer, IP-spoofing en sinkholing aan de strafbaarstelling; er is immers sprake van het aannemen van een valse naam of van een valse hoedanigheid (of anders wel van een listige kunstgreep). Wat het effect betreft, kan er sprake zijn van het ter beschikking stellen van gegevens, als het spoofen tot gevolg heeft dat een computer 13 op afstand (zoals een bot) bepaalde gegevens doorstuurt aan de spoofer. Dat geldt zeker bij sinkholing, waarbij door een kunstgreep netwerkvereer bestemd voor de C&Cserver wordt omgeleid naar een server die onder beheer staat bij de botnetbestrijder. De hamvraag is of het doel van het spoofen of sinkholing is zichzelf of een ander wederrechtelijk te bevoordelen. Het gaat hierbij vooral om financieel voordeel. We mogen ervan uitgaan dat degene die een anti-botnetactie onderneemt, dat doet om er beter van te worden, dan wel om te zorgen dat anderen (slachtoffers van botnetacties) er beter van worden; het beperken van schade levert vaak ook financieel voordeel op. Maar het lijkt onwaarschijnlijk dat men een dergelijk voordeel wederrechtelijk zou kunnen noemen. In elk geval zal dat niet zo zijn bij instellingen zonder winstoogmerk, zoals SURFnet en bij SURFnet aangesloten instellingen, die niet op commerciële basis anti-botnetacties zullen uitvoeren. Spoofen van Command & Control-verkeer, IP-spoofing en sinkholing vallen daarom niet onder oplichting. In bijzondere omstandigheden zou het spoofen van C&C-verkeer, IP-spoofing en sinkholing wellicht wel, met een creatieve interpretatie, kunnen vallen onder de strafbaarstelling van het verkrijgen van staatsgeheimen (art. 98 juncto 98c lid 1 onder 3 o Sr), als binnen het botnet informatie is verzameld die staatsgeheim is. Daarbij moet er echter sprake zijn van een oogmerk (de sterkste variant van opzet: het doelbewust willen van het gevolg) om (staatsgeheime) inlichtingen te verkrijgen, en dat zal, naar ik aanneem, bij anti-botnetacties toch niet het geval zijn. 4.3 Overnemen en neerhalen Bij het overnemen van een C&C-server of het neerhalen van een botnet dan wel individuele bot, zal er in elk geval sprake zijn van dezelfde handelingen als hierboven werden beschreven bij infiltratie en manipulatie, namelijk binnendringen in een computer, gegevensaantasting en (afhankelijk van de werkwijze) virusverspreiding. 4.3.1 Subsidiariteit Voor het overnemen en neerhalen geldt in principe hetzelfde als hierboven in paragraaf 4.2 is beschreven, met de kanttekening dat overnemen van een botnet en het ontmantelen van een botnet meer ingrijpende acties zijn dan infiltratie en manipulatie, wat kan uitmaken voor de beoordeling van proportionaliteit. Zo kan in een bepaald geval het binnendringen in meerdere geïnfecteerde computers om gegevens over het botnet te verzamelen gerechtvaardigd zijn als dat nodig is om te achterhalen wat er precies aan de hand is, maar dat hoeft niet te betekenen dat het overnemen van het botnet vervolgens ook rechtmatig is. Een alternatief is immers om de verkregen informatie aan de politie door te geven, zodat die actie kan ondernemen tegen het botnet. Het zelf overnemen en ontmantelen van het botnet zal voor mijn gevoel niet snel voldoen aan het vereiste van subsidiariteit, omdat de (voor 13 Onder iemand die wordt bewogen tot afgifte van een goed of ter beschikking stellen van gegevens wordt ook verstaan een organisatie (zoals een bank) en de computer die namens de persoon of organisatie communicatie (zoals een geldautomaat). 20/29