Van school gestuurd vanwege een DDoS-aanval, kan dat?

| AE 6270 | Security | 23 reacties

Kun je van school worden gestuurd als je een DDoS-aanval hebt uitgevoerd? Een minderjarige leerling op een ROC zag zich met die sanctie geconfronteerd nadat zijn school stevig onder dienstontzeggingsvuur was gekomen. En dat ondanks zijn medewerking aan het onderzoek en het feit dat hij alleen maar geïnteresseerd was in hoe goed de school hiertegen beveiligd zou zijn.

Vanaf september begonnen diverse DDoS-aanvallen op het netwerk van ROC West Brabant, waar de jongen een opleiding volgde. Na onderzoek werd de leerling uitgenodigd voor een gesprek (waarom is me onduidelijk) en in dat gesprek bekende hij een korte aanval te hebben uitgevoerd, maar niet álle aanvallen. Hij liet zijn laptop onderzoeken en daarop werden sporen gevonden van twee DDoS-aanvallen.

Na aangifte werd de jongen een nachtje op het bureau gehouden, want men vond de aanval kennelijk sterk genoeg om artikel 161septies Strafrecht in te zetten. Dat voelt wat pittig, immers dat artikel gaat over “gemeen gevaar” oftewel grote storingen. Bedoeld voor ‘gewoon’een DDoS aanval is artikel 138b Strafrecht, dat maximaal een jaar cel oplevert.

De school ging vervolgens over tot schorsing in afwachting van definitieve verwijdering, waarop de ouders bezwaar maakten. Dat bezwaar had geen succes, waarop de moeder naar de rechter stapte.

Een rechter mag een besluit van een school niet zomaar overdoen. Hij mag slechts ‘marginaal toetsen’, oftewel kijken of de school in redelijkheid tot dat besluit had kunnen komen. In het vonnis (via) gaat de rechter echter best wel ver met die marginale toetsing.

De scholier had een account op een website waar je DDoS-aanvallen kunt laten uitvoeren. Eh, oké. De logs uit dat account laten drie aanvallen zien op het ROC-netwerk. Zijn verweer: hij heeft een website voor zijn bedrijf, en had dat account genomen om te testen dat zijn site tegen DDoS-aanvallen bestand was. Eh, okéé. En toen het nieuws over de DDoS tegen zijn school verscheen, raakte hij geïnteresseerd of de school beter beschermd zou zijn dan zijn eigen site, vandaar. Ehh, okéééé.

Er was geen bewijs voorhanden dat de jongen achter de ‘grote’ aanvallen zaten. Sterker nog, eentje daarvan vond plaats tijdens dat gesprek met de schooldirectie. Plus, hij werkte mee aan het onderzoek.

Niet aannemelijk is geworden dat [naam zoon] anders dan uitsluitend vanwege pure interesse is overgegaan tot een DDos-aanval op het netwerk van gedaagde. Hij heeft de aanval gestopt zodra hij zag dat de aanval het netwerk vertraagde. Dat de school van zijn handelingen enige schade heeft ondervonden, is niet komen vast te staan.

Daar komt bij dat de school hem in eerste instantie na het onderzoek geen sancties oplegde. Pas nadat de IT-leverancier aangifte deed en de jongen werd gearresteerd, werd tot schorsing en (dreigende) verwijdering) overgegaan. Dat is een beetje laat; het wekt de indruk dat je de actie niet zo erg vindt en pas na de ophef (en publiciteit?) stevig je spierballen wilt laten zien. En dát is niet zoals het hoort.

De school had dus in redelijkheid niet tot het besluit kunnen komen de jongen van school te sturen. Daarom wordt de school veroordeeld hem per direct weer toe te laten.

Mooi zo. Ik erger me al geruime tijden aan de neiging bij scholen (en werkgevers) om ICT-gerelateerde incidenten véél strenger te behandelen dan andere incidenten. De krant lezen op je werk? Henk, leg die krant weg. Zitten Nu.nl-en op je werk? Ontslag op staande voet wegens misbruik bedrijfsmiddelen, overtreding ICT-reglement en op kosten jagen van de werkgever. Dat werk. Ook bij scholen. Doe je het schoolhek op slot met een stevig fietsslot, heel grappig, ga maar een week papiertjes prikken. Pleeg je een ddos, van school gestuurd en aangifte. Is dat “ik snap ict niet dús het is gevaarlijk”?

Arnoud

Juridische voorspellingen voor 2014 (en terugblik op die van 2013)

| AE 6239 | Informatiemaatschappij | 6 reacties

Hm, ik ben niet zo’n goede voorspellende geest geloof ik.

  • In hoger beroep blijft de TPB-blokkade gehandhaafd. Wel komt het Europese Hof met een uitspraak die een dergelijke blokkade illegaal lijkt te verklaren, maar de Nederlandse rechtspraak trekt zich daar weinig van aan. Het hoger beroep is bepleit maar het arrest is uitgesteld tot januari 2014. De zeergeleerde mening van de advocaat-generaal bij het Europese Hof in een andere zaak lijkt juist ruimte te scheppen voor een specifieke blokkade, mits deze ‘haalbaar’ is en ‘evenredig’ is gezien alle omstandigheden van het geval. Wat ik dan weer lees als, ik heb geen mening. Maar dat terzijde.
  • Een hackende journalist krijgt daadwerkelijk straf (een boete, verwacht ik) voor computervredebreuk bij iets dat hij claimt dat journalistiek werk is. Goed! Henk Krol kreeg een pluim én een boete voor zijn ‘hack’ van het EPD.
  • De OPTA publiceert nieuw beleid over de cookiewet en staat first-party anonieme analytics cookies toe. Iedereen vat dit op als “Google Analytics mag”, en de OPTA doet te weinig om dat tegen te spreken. Mwa. Niet de OPTA (tegenwoordig ACM) maar de minister kwam met een plan voor een wetsvoorstel om dit mogelijk te maken. Maar dat voorstel laat op zich wachten, ik vermoed omdat het eigenlijk niet kan binnen het Europese recht.
  • Geen van bovenstaande drie voorspellingen komt uit. Flauw, ik weet het.
  • De gecrowdsourcete: Er wordt ook in Nederland een ontsleutelplicht voor verdachten ingevoerd. Dank, Corné. Ja, achteraf makkelijk kiezen natuurlijk. Hij werd het niet helemaal (het is nog steeds een voorstel) maar het tekent voor mij een zorgelijke trend: het is internet/ICT, dus eng, dus is elke maatregel gerechtvaardigd.

Goed, en dan mijn voorspellingen voor 2014:

  • In hoger beroep blijft de TPB-blokkade gehandhaafd en Brein pakt dit aan om blokkades te eisen van alle torrentsites die ze kunnen bedenken, daarbij gemakshalve vergetend dat in de TPB-uitspraak ook meewoog dat een Nederlandse rechter eerder had bepaald dat TPB onrechtmatig handelt.
  • De Europese privacywet (Verordening bescherming persoonsgegevens) komt er maar het blijkt een monstrum van onduidelijke regels die elkaar intern tegenspreken.
  • Een werknemer wordt door zijn werkgever verplicht tot afstaan van een werkgerelateerd social media account.
  • Getty Images blijft sommatiebrieven sturen maar pakt niet door bij de rechter.
  • En ik crowdsource graag wederom de laatste!