Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.
Zoals ik in 2022 blogde bij het arrest:
Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.
Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.
Men ziet het echter anders:
Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.
Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op:
De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd.Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website:
Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.
Arnoud
Waarom is het belangrijk te vermelden van wie de servers zijn? En is de website wel van iemand, als het maar wat data betreft? “Er is ingebroken op de website (url hier) en de servers waarop deze gehost is.”
Heel simpel, omdat jezelf onrechtmatig toegang verschaffen tot een website die in een cloudhosting draait je alleen toegang geeft tot die specifieke server, die vaak ook nog eens een virtuele server binnen de serveromgeving van het bedrijf of organisatie is. En dus niet tot de achterliggende servers waarop die virtuele server draait, en al helemaal niet de cloudsoftware servers van de hostingpartij, zeg een AWS, Digital Ocean, Azure etc. Je hebt dus geen toegang tot al die achterliggende servers. En vaak zijn de diverse services waaruit die website bestaat ook nog eens aparte virtuele servers zodat als je jezelf onrechtmatig toegang verschaft tot bijvoorbeeld de applicatieserver je niet (meteen) op serverniveau toegang hebt tot alle servers waaruit de website bestaat.
Dus ik kan de redenatie volgen, maar het is een zeer achterhaalde manier van denken over hoe het internet van tegenwoordig werkt. Tijd voor de wetgever om de wetgeving eens grondig bij te werken dus.
Ik heb die uitleg altijd meer gezocht in het feit dat het geautomatiseerde werk van een ander moet zijn om je daarmee het bestandsdeel “wederrechtelijk” kan invullen. Een geautomatiseerd werk van jezelf kan je slecht wederrechtelijk binnendringen namelijk…
Je hoeft dus geen feitelijke toegang tot de server te hebben, het moet er alleen wel bij staan in de tenlastelegging om tot een veroordeling te kunnen komen. Semantiek zou je kunnen betogen.
@Arnoud; kan je hier duidelijkheid over verschaffen?
Dat is denk ik ook zoals ik het bezwaar zie. Als er niet staat dat je in andermans werk bent binnengedrongen, is niet bepaalbaar of je met of zonder recht binnendrong. (Het zou ook met toestemming van de hoofd-eigenaar kunnen zijn, denk aan een pentest door de infra-eigenaar waarbij ze niet alle resellers informeren.)
Ook de hoster slachtoffer van de inbraak. (Of eigenaar van de hardware of beheerder van de virtuele server). In sommige gevallen hebben ze geen directe schade, maar vaak in ieder geval indirecte (of reputationele) schade.
Zucht 😀
Ik vraag mij overigens wel af of “geautomatiseerd werk” eigenlijk wel een duidelijke definitie is. Een auto is ook een geautomatiseerd werk en als je die openbreekt dan is dat strafbaar. En als je een auto gewoon met een Flipper Zero kunt openen omdat je het signaal van de digitale sleutel weet af te vangen dan is het binnendringen een stuk makkelijker, maar nog steeds strafbaar.
De vraag is dan alleen wat er gebeurt als ik de Flipper Zero gebruik om de deur op afstand te openen, maar verder niet de auto in ga. Dan is de auto open en kan iedereen erin, maar ik heb niet ingebroken. Ik ging namelijk fysiek de auto niet in.
En dan de websites. Je kunt op afstand knoeien aan een website waarbij je toegang tot allerlei data kunt krijgen, maar je gaat fysiek niet de server in. Je komt zelfs niet in de ruimte waar de server staat. Het gebrek aan fysieke toegang is dan een struikelblok bij deze definitie.
Ik kijk dan ook even naar het Legalese op Besluit onderzoek in een geautomatiseerd werk en hoe Google Gemini dit voor mij vertaalt: Dit besluit regelt de voorwaarden waaronder opsporingsambtenaren heimelijk en op afstand onderzoek mogen doen in een geautomatiseerd werk (bijvoorbeeld een computer) in het kader van een opsporingsonderzoek.
Even het “op afstand” verduidelijken, want dat is ook bij deze hack gaande. En hoewel het hier gaat om een computer is een server ook gewoon een computer. Binnendringen in een geautomatiseerd werk, dus. Dat kan kennelijk ook op afstand, volgens dit besluit. Maar goed, mijn Legalese is niet zo goed, dus misschien kan een jurist die hier meeleest dit ook bevestigen…
Ik denk dat Arnoud ondertussen aan het nadenken is over een post over de Flipper Zero en hoe Canada deze eerst illegaal wilde verklaren maar nu weer niet. 😀 Juridisch gezien erg interessant. 🙂
Je moet toch uiteindelijk altijd uitgaan van de bedoeling van de wetgever? Ik kan me niet goed voorstellen dat de wetgevers (Staten Generaal en minister en Koning; zelf allemaal ook niet echt IT- en semantiek-experts) de bedoeling hebben gehad dat het op een arrest als dit zou uitdraaien.
Maar ja, de Hoge Raad heeft in laatste instantie altijd gelijk …
De bedoeling staat niet echt in de wet. Ik denk dat de wetgever er net als de meeste leken er van uit ging dat inbraken op hardware gebeuren, net zoals je bij gebouwen inbreekt (of in auto’s). De praktijk kwam erachter dat men inbreekt op websites en dat de onderliggende hardware nauwelijks relevant is.
Het axioma in de informatica is dat je alle hardware in software kunt emuleren. Dus is dit niet “nauwelijks relevant” maar hoort het “totaal niet relevant” te zijn. Dat blijkt wel uit het gegeven dat vandaag de dag de meeste websites in een virtuele server en niet rechtstreeks op fysieke hardware draaien.
Dat is wel een aardige. Clean break met het verleden, nieuwe definitie nieuwe kansen. Maar wat is dan “inbreken in een website”? Een stelsel aan computerinstructies iets laten doen dat niet beoogd was door de beheerder/eigenaar? Want je kunt niet “ergens zijn” in software, software doet dingen.
Betekent dat dan ook dat het niet strafbaar is als ik een virtuele server binnendring?
Stel, Pietje huurt een virtual machine in de Google cloud (dat is dus 1 van de vele stukken software die op het daadwerkelijke stuk Google ijzer draait) en biedt daar shared webhosting aan. Jij en ik zijn allebei klant bij Pietje, en hebben toegang tot een afgeschermd stukje van zijn virtual machine.
Ik hack de virtual hosting afscherming van Pietje, en verschaf mij toegang tot de virtuele server als geheel, en ik kan bij alle gegevens van alle klanten van Pietje. Ik gebruik dat om jouw site te hacken. Ik hack NIET de cloudomgeving van Google; ik kan niet bij de andere virtuele machines op hetzelfde stuk ijzer komen (Google heeft de boel beter beveiligd dan Pietje).
Ik ben nu duidelijk binnengedrongen in de virtuele machine van Pietje, en in het shared hosting stukje van jou. Maar dat zijn allebei geen stukken ijzer. Ik ben niet binnengedrongen op de fysieke server van Google, daar mocht ik zijn — ik had toestemming om daar dingen te doen als klant van Pietje.
Ga ik vrijuit?
Ik ga de HR maar eens citeren:
Ik zou het zeer wel mogelijk houden dat jouw acties wel succesvol vervolgd kunnen worden als “binnendringen op de webserver die mijn website host”. Het is veiliger om dat soort stunts niet uit te halen.Het gaat hier om strafrecht en dan moet het (uit de tekst van de wet) duidelijk zijn wat als strafbare feit geldt en (uit de tekst van de tenlastelegging) welke activiteiten hebben plaatsgevonden die als wetsovertreding gelden. Bij geautomatiseerd werk denk ik aan een combinatie van hard- en software, dan zou in de tenlastelegging ook de hardware benoemd moeten zijn.
Zou de Nederlandse rechter jurisdictie hebben als deze website in het VK gehost werd?
Zoals ik het arrest lees, ben je blijkbaar niet strafbaar volgens artikelen 138a (oud)/138ab (nieuw) Sr, zolang je niets met hardware doet (harddisk of SSD verwijderen of iets dergelijks). Ook een hack van het Operating System is alleen software.
Hoog tijd om de wet aan te passen.