Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Security | 22 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

Heeft het strafbaar stellen van identiteitsfraude zin?

| AE 5695 | Privacy, Regulering | 26 reacties

identity-identiteit-kaart.pngWie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en wat de toegevoegde waarde is, ontgaat me.

Identiteitsfraude is al een paar jaar een behoorlijk hot item. Het is immers nogal makkelijk om andermans identiteit aan te nemen en dan dingen te bestellen, rare berichten op forums te plaatsen of anderszins misbruik te maken van die identiteit. Bedenk maar eens hoe veel bedrijven ondertussen een kopietje paspoort van je hebben. Of hoe veel databases je NAW-gegevens en bankrekeningnummer bevatten en hoe makkelijk die kraakbaar zijn; dan is een automatische incasso op internet zo ingevuld.

Maar: al die dingen zijn al strafbaar. Het op valse naam bestellen van spullen of afboeken van geld heet oplichting. Onder iemands naam een goedenaamaantastend bericht plaatsen (“hoi ik ben Henk en ik ben een oplichter”) is smaad. Enzovoorts. In april meldde de minister dan ook dat “een afzonderlijke delictsomschrijving juridisch geen toegevoegde waarde heeft”. Maar de Kamer wil toch graag “iets doen”, en dit is iets dus laten we het maar doen.

Helaas kan ik de Kamerstukken nog niet vinden, maar waarschijnlijk zal het wetsvoorstel gaan werken met deze definitie van identiteitsfraude:

Het opzettelijk (en) (wederrechtelijk of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijk gedraging, of het verrichten van een dergelijke handeling met de intentie om daarmee een wederrechtelijke gedraging te begaan.

En dan denk ik gelijk, ja, “om een wederrechtelijke gedraging te begaan”, dat is dan mooi circulair. Het wordt strafbaar iets strafbaars te doen als je daarbij een valse identiteit gebruikt. Wat pak je daarmee aan dat nog niet strafbaar was dan?

Update (9:44) met dank aan de Piratenpartij een link naar het werkelijke voorstel:

?Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het zou dan voldoende zijn dat ‘enig nadeel’ ontstaat, dat is dus een stuk breder dan “wederrechtelijke gedraging”. (En ‘verhelen’ betekent hier ‘verstoppen, verbergen’ en niet “door heling verhandelen”.)

Ik blijf zitten met onduidelijkheden. Wat is ‘misbruiken’? Onder mijn naam ergens reaguren en en zo mij belachelijk maken? Dan is het wel érg breed. Verder vraag ik me af of een undercoverjournalist nu ook strafbaar is: die bezorgt zijn onderwerp ook nadeel, die komt immers negatief in het nieuws. Of wordt dat dan net als satire en parodie opgelost door te zeggen, het is niet wederrechtelijk?

Zinniger lijkt mij om een strafverzwaring op te nemen bij delicten als oplichting. “Indien het feit begaan wordt gebruikmakend van de identiteit van een ander, wordt de maximale straf verhoogd met 3 jaren” of iets dergelijks. Die constructie kennen we bijvoorbeeld bij smaad en laster. Smaad is strafbaar met maximaal zes maanden cel. Smaadschrift (dus smaad op papier of op internet) is extra strafbaar, een jaar cel. En het heet laster als je wéét dat het niet waar is, twee jaar cel. Op die manier laat je duidelijk zien dat je die varianten van smaad nóg erger vindt. Hetzelfde zou m.i. goed passen bij identiteitsfraude.

Je kunt ook de “wederrechtelijke gedraging” eruit gooien maar dan krijg je allerlei problemen met bv. Twitterparodieaccounts of imitaties op televisie. Dat kun je dan wel weer oplossen door te zeggen dat wanneer sprake is van een legitieme meningsuiting je niet strafbaar bent, maar echt elegant voelt dat niet. Plus, er zullen ook andere situaties zijn. Wat te denken van de identiteit van een overleden of langdurig ziek familielid aannemen om zo zijn Facebook te beheren? Mailen vanuit het account van een zieke collega?

Hebben jullie een suggestie hoe je identiteitsfraude die géén oplichting, smaad of zo is zou kunnen definiëren?

Arnoud

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

| AE 5663 | Privacy | 6 reacties

disc-data-weg-bewaren-kruis.jpgOrganisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van deze slappehapstekst.

Onder de privacywet, de Wet bescherming persoonsgegevens, is iedereen die persoonsgegevens verzamelt verplicht deze ‘adequaat’ te beveiligen. Wat precies adequaat is, staat niet in de wet. Dat is te afhankelijk van het soort gegevens en het soort misbruik dat op de loer ligt, is de gedachte. De toezichthouder heeft richtsnoeren voor beveiliging gepubliceerd, maar heel concreet worden die ook niet.

Dit wetsvoorstel verandert daar niets aan. Er komt dus geen boete op het inadequaat beveiligen van persoonsgegevens. Wél komt er nu een eis voor iedere verantwoordelijke om het Cbp te informeren bij iedere inbreuk op de beveiliging “waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.” Tevens moet hij de betrokken personen zélf ook informeren als “de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”

Klinkt leuk, niet? Natuurlijk, je wilt triviale meldingen vermijden (“de deur naar onze administratie stond tien minuten open” of “mogelijk heeft iemand op mijn scherm naar het openstaande adresboek gekeken”). Vandaar dat ‘aanmerkelijke kans’ en de wens dat er wel ‘nadelige gevolgen’ zijn. Maar dan pak ik de Memorie van Toelichting er even bij en blijkt de lat voor een melding wel héél vaag, hoog gelegd te worden:

Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen.

Dat mijn vereniging zijn database niet goed beveiligt, is dus kennelijk niet erg? Wat voor soort sites wordt er ook alweer massaal gehackt elke week? Zijn dat banken of webwinkels? Gemeentelijke administraties of sportverenigingen? Wie het Zwartboek Datalekken van Bits of Freedom doorbladert, zal zich hopelijk net als ik afvragen waarom in vredesnaam zo’n opmerking gemaakt moest worden.

Wél gemeld moeten datalekken bij de Belastingdienst, Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar, zo noemt men als voordelen. Want dat “kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht”, zo staat er dan. Dus réken maar dat de bedrijfsjurist van ieder getroffen bedrijf meteen redeneert, de door ons beheerde persoonsgegevens vallen niet onder een wettelijke geheimhoudingsplicht en wij zijn geen bank, dus mooi we hoeven niets te melden.

Argh. Die zin “financieel nadeel” gaat daarmee nogal een lastig criterium worden om iemand aan te pakken. Grootste probleem is en blijft namelijk dat de schade door misbruik van persoonsgegevens niet goed te kwantificeren is. Wat kost een gelekt e-mailadres mij? Hoe veel schade ondervind ik (meetbaar en met bonnetjes te onderbouwen) als mijn BSN op een vage site staat?

Nee. Gemiste kans, dit. Het had veel simpeler gekund: boete bij inadequate beveiliging, hoogte direct gerelateerd aan de hoeveelheid gegevens in de database en het soort gegevens. Daarover lees ik dan dit:

Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.

Poe poe nou nou, het EVRM en lex certa. Vertaald naar normaal Nederlands: dan gaat het bedrijfsleven zeuren “ja maar wij weten niet wanneer een beveiliging ‘adequaat’ is dus dan staat er een boete op iets vaags”. Nou sorry hoor, maar als de maatschappelijke zorgvuldigheid als norm duidelijk genoeg is, waarom dit dan niet? (En ja ik weet het verschil tussen civiel en bestuursrecht.) Of iets adequaat is, kun je prima vaststellen – doe een audit of laat een deskundige er wat over zeggen.

Of, heel simpel, als er gegevens op straat zijn gekomen dan was je beveiliging inadequaat. Vinden we persoonsgegevens nou waardevol om te beschermen of niet?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder