De overheid wil bij verdenking van ernstige cybercrime-misdrijven op afstand een computer kunnen binnendringen, las ik bij Tweakers. De huidige wetgeving is verouderd, aldus minister Opstelten. Ze gaan er vanuit dat je gewoon de serverruimte binnen kunt lopen en de computer kunt afkoppelen en doorzoeken, en dat geldt vandaag de dag met cloud en SaaS en hype niet meer. Er moet dus meer ruimte komen voor opsporingsambtenaren< om binnen te dringen in computers elders ter wereld, en om met aftapsoftware op afstand waar te nemen wat daar gebeurt.
Op grond van de huidige wet (art. 125i Sv) mag men computers doorzoeken. Maar dat is nadrukkelijk alleen bedoeld voor situaties dat je fysiek in het datacenter bent. Er is dus een lacune in de wet als de computer fysiek op een onbekende plaats is, terwijl je een redelijke verdenking hebt dat daar gegevens staan die op een ernstig misdrijf wijzen. Dan moet je, aldus de minister, toch op afstand daar kunnen binnendringen en doorzoeken of aftappen wat daar gebeurt.
De minister voorziet meteen een wapenwedloop:
Criminelen weten dat de politie probeert om toegang te krijgen tot hun netwerken en gegevens en treffen daartegen maatregelen. Doorgaans worden de desbetreffende gegevens snel over het internet (wereldwijd) verplaatst c.q. de paden daartoe aangepast. Ook worden door criminele groeperingen dikwijls maatregelen getroffen om vast te stellen of derden, waaronder de politie, proberen zich toegang te verschaffen tot hun bestanden. Indien zij dergelijke signalen opvangen of vermoeden verplaatsen zij hun bestanden zo snel mogelijk en schuwen niet om indringers met digitale middelen te bestrijden.
En met dat verplaatsen is het risico reëel dat er ineens servers in een ver buitenland worden ingezet. Dat is een juridisch probleem, want onze politie mag alleen in Nederland optreden. Bij buitenlandse servers moet er een rechtshulpverzoek worden gedaan, maar dat kost natuurlijk tijd. Plus, bij wie moet je zijn als je de fysieke locatie van de server niet kunt achterhalen? Daarom stelt de minister een constructie voor waarbij men bij een onbekende serverlocatie mág hacken en gegevens ophalen. Is de locatie bekend, dan alsnog rechtshulpverzoek.
Ook een nieuwe gewenste bevoegdheid is het op afstand ontoegankelijk maken van gegevens. Stel je bent als agent binnengedrongen in een computernetwerk ergens diep in een duister stukje van de cloud (een regenwolk? sorry, flauw) en je treft daar strafbare gegevens aan. Dan moet je die toch kunnen wissen, is de gedachte. De Robert M-affaire en de via hem op TOR aangetroffen kinderporno is de situatie die moet bewijzen dat het op afstand wissen bij elk ernstig misdrijf gerechtvaardigd is.
Verder wordt het helen van digitale gegevens strafbaar. Gestolen persoonsgegevens of gekraakte creditcardgegevens in je bezit hebben is nu niet aan te pakken; pas het gebruik daarvan kan als fraude, oplichting of iets dergelijks worden vervolgd. Het deed me denken aan het onzalige plan van Hirsch Ballin als reactie op de Manon Thomas-zaak, waarin bleek dat het verspreiden van gestolen foto’s niet strafbaar was. Ik hoop dat dát buiten scope blijft.
De bevoegdheden kunnen niet zomaar worden ingezet: de machtiging van de rechter-commissaris zal elke keer nodig zijn, en het moet gaan om ernstige misdrijven (kort gezegd: minstens vier jaar cel). Dat dekt dus precies de drie ruiters en de voetganger van de Internetapocalyps: terrorisme, kinderporno, drugshandel en inbreuk op auteursrechten.
Ook is natuurlijk proces-verbaal opmaken verplicht, en moet alles worden gelogd en bewaard zodat dit achteraf raadpleegbaar is. Hopelijk ook door geïnteresseerde derden – maar de krampachtige houding bij inzage in tapgegevens belooft niet veel goeds.
Tsja, pfoe. Ik snáp het wel, en ik zou ook niet weten wat je anders moet doen als je alleen een serveradres hebt en je wéét dat daar strafbare zaken gebeuren. Maar het klínkt gewoon eng, een inbraakbevoegdheid. En er kan natuurlijk aardig wat misgaan: wat als je de verkeerde server hackt (of wist?), of wat als je achterdeurtje exploiteerbaar blijkt door criminelen?
Arnoud
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.