Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?
Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):
Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.
Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.
Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:
Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.
En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?
Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?
Arnoud