Tegenwoordig wordt een groot
deel van ons leven gereguleerd door het internet. Zo gebruikt de overheid DigiD
en de banken internetbankieren. Winkelen doen we niet meer in de winkel maar online
in de enorme hoeveelheid aan webwinkels. Deze ontwikkelingen in de digitale
dienstverlening maken ons leven een stuk makkelijker, maar brengen ook risico’s
met zich mee. Aangezien we zo op deze digitale wereld leunen, is de impact
groot wanneer er iets mis gaat. De afgelopen jaren hebben er bijvoorbeeld een groot aantal DDoS-aanvallen plaatsgevonden waardoor
diverse apps plat hebben gelegen. Ter illustratie: in een zaak die dit jaar door een Haagse rechter is
behandeld, wordt de verdachte verweten dat hij een Mirai botnet voor handen
heeft gehad, daarmee heeft geadverteerd en dat hij daarmee DDoS-aanvallen heeft
uitgevoerd op verschillende websites. Ook zou de verdachte deze websites hebben
geprobeerd af te persen door bitcoins te vragen voor het stoppen van de
DDoS-aanvallen. Digitale criminaliteit heeft in de regel gevolgen voor verschillende,
grote groepen slachtoffers. Maar worden deze cybercriminelen eigenlijk wel aangepakt?
Wetgeving
Het Wetboek van Strafrecht zoals we dat nu kennen stamt uit 1986. In die tijd
ontwikkelde de computer en het internet zich in een rap tempo. Met de komst van
de digitalisering ontwikkelde zich ook de cybercriminaliteit. Steeds meer
burgers werden het slachtoffer van digitale misdaden zoals hacken, phishing en online
oplichting. Cybercriminaliteit ontwikkelde zich in hoog tempo maar de opsporingsbevoegdheden
en het strafrecht waren (nog) niet altijd toegesneden op deze nieuwe
ontwikkelingen. Als gevolg hiervan heeft de regering regelmatig nieuwe
wetgeving moeten ontwikkelen. Sinds 1993 zijn de eerste digitale
opsporingsbevoegdheden met het oog op cybercriminaliteit geïntroduceerd door
middel van de Wet computercriminaliteit. Inmiddels zijn er een
tweede en een derde versie van deze wet aangenomen. Door de
invoering van deze wetten hebben de wetboeken op het gebied van straf- en
strafprocesrecht een behoorlijke transformatie doorgemaakt en bevatten zij nu
omvangrijke bevoegdheden op het gebied van digitale opsporing en bestraffing. Twee voorbeelden hiervan zijn hackbevoegdheden en de
mogelijkheid tot het installeren van spyware. Deze bevoegdheden bevatten
functionaliteiten waarmee computers en bestanden kunnen worden ingezien of
waarmee op afstand camera’s kunnen worden aangezet.
Rechtspraak
Ondanks dat cybercriminaliteit inmiddels bij de wetgever op de radar staat,
zijn computercriminelen nog altijd sneller dan dat de strafwet dit bij kan
houden. Uit het vonnis van de hierboven genoemde Haagse zaak blijkt dat strafrechters hier ook
tegenaan lopen. In dit geval is de Haagse rechter echter met zijn tijd
meegegaan door de wet anno nu toe te passen:
‘’De rechtbank merkt hierbij ten overvloede op dat artikel
317 van het Wetboek van Strafrecht (hierna: Sr) een gedraging van de dader
vereist (het middel geweld of bedreiging met geweld) om het slachtoffer te
dwingen (causaal verband) tot een prestatie (het gevolg). In de onderhavige
zaak betreft het feiten die met behulp van een computer en het internet worden
gepleegd, waarbij er geen rechtstreeks fysiek contact is tussen de dader en het
slachtoffer. DDoS-aanvallen vinden plaats in de digitale wereld, maar
veroorzaken niet slechts digitale schade bij het slachtoffer. Websites en
servers worden onbruikbaar gemaakt en er moeten maatregelen worden genomen om
de aanval af te slaan en de website en server te herstellen. Een DDoS-aanval is
daarom een vorm van cybercriminaliteit die naar het oordeel van de rechtbank
zonder meer kan worden gekwalificeerd als geweld.’’
Preventie
Naast ontwikkelingen in wetgeving en in de rechtspraak zien we dat er bij
diverse afdelingen van de overheid zoals het Ministerie van Justitie en
Veiligheid, Ministerie van Economische zaken en de politie, ook veel aandacht
is voor de preventie van cybercriminaliteit. Er zijn diverse campagnes opgestart om burgers
bewust te maken van de gevaren die in de digitale wereld op de loer liggen. Zo
kennen we in Nederland het Nationaal Cyber Security Centrum dat bijdraagt aan
het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in
het digitale domein. Ook zijn er diverse platforms die burgers voorlichten over
veilig internetbankieren en het herkennen van phishing e-mails.
Nederland is
(nog) niet voorbereid op grote cyberaanvallen
Deze preventieve maatregelen zijn het begin van awareness,
maar vandaag verscheen er in het nieuws een rapport van
de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) waarin wordt geconcludeerd
dat Nederland (nog) niet klaar is voor grote cyberaanvallen. De WRR stelt dat
er de afgelopen jaren hard is gewerkt aan het voorkomen van digitale
ontwrichting, maar, zo zegt de WRR, 100% veiligheid bestaat niet, ook niet in
het digitale domein. De overheid moet zich beter voorbereiden op een situatie
waarin de digitale wereld wordt ontwricht, net zoals ze dat doen bij dreiging
tot ontwrichting van onze fysieke wereld bijvoorbeeld door een crisisopvang. Volgens
WRR moet de overheid zich niet alleen richten op het voorkomen van digitale
incidenten, maar ook op de beheersing daarvan. De bevoegdheden van de overheid
om een cyberaanval op te vangen en de schade te beheersen zijn volgens WRR nog
niet sluitend.
Nieuwe
ontwikkelingen bieden criminelen uitdagingen in een (vaak) nog niet gereguleerd
speelveld. Hoewel de (straf)wetten worden aangepast om deze cybercriminelen op
te kunnen sporen en aan te kunnen pakken en rechters de oude wetten op moderne
wijze interpreteren, zijn we er dus nog niet. Preventie lijkt dan ook een
belangrijke factor in de bestrijding van cybercriminaliteit, maar zoals door WRR
in haar rapport beargumenteerd, is een betere voorbereiding door de overheid op
digitale verstoringen noodzakelijk.
Geschreven door: Vera van Mierlo.
