Computercriminaliteit
Computercriminaliteit, cybercriminaliteit of cybercrime is criminaliteit met ICT als middel én doelwit.[1] De meeste telefoons en bankpassen bevatten computerchips, die kunnen eveneens worden gemanipuleerd door cybercriminelen. Maar ook bedrijfssystemen, moderne auto’s en chipkaarten zijn vatbaar voor cybercrime. Voor het plegen van cybercriminaliteit gebruiken criminelen speciale apparatuur en software. Daarom hanteert de politie voor de opsporing van cybercriminaliteit op haar beurt ook geavanceerde middelen en technieken.
Cybercriminaliteit betreft onder andere terrorisme, fraude en kinderporno en duikt sinds de jaren tachtig op wegens de doorbraak van de communicatie- en informatietechnologie. In 2001 ondertekenden de lidstaten van de Raad van Europa, de Verenigde Staten, Canada, Japan en Zuid-Afrika het zogenaamde cybercrimeverdrag of, in het Engels de Convention on Cybercrime.
Definitie
[bewerken | brontekst bewerken]Computercriminaliteit kan zowel in brede als in enge zin gedefinieerd worden.
- Computercriminaliteit in brede zin betreft misdrijven waarbij computers of netwerken een rol spelen.
- Computercriminaliteit in enge zin betreft misdrijven die niet zonder tussenkomst of gebruik van computers of netwerken gepleegd kunnen worden.
Bij de brede definitie is de rol van computers of netwerk een onderdeel van het misdrijf. Het nadeel is het feit dat er onbedoeld allerlei 'gewone' misdrijven van toepassing zijn, doordat die toevallig met een computer gepleegd zijn. Bij het inbreken in een computernetwerk is het gebruik van ICT essentieel, dit is niet mogelijk zonder computers en netwerken. Ook het verstoren van de werking van een computer of het vernielen van elektronische gegevens wordt beschouwd als computercriminaliteit.
Computercriminaliteit wordt ook omschreven als het gebruik van cyberspace voor criminele doeleinden. Dit is echter een te beperkte omschrijving.
Voorbeelden
[bewerken | brontekst bewerken]Computercriminaliteit kent vele vormen. Vaak worden deze vormen aangeduid met de voorvoeging van "cyber" of de letter "e", bijvoorbeeld cyberpesten of e-fraude.
Voorbeelden van computercriminaliteit zijn:
- Computervredebreuk: ongeoorloofd toegang verschaffen tot een computersysteem;
- Het kopiëren van vertrouwelijke gegevens;
- Ongeoorloofd computerdata verwijderen of aanpassen;
- Ongeoorloofd computersystemen uitschakelen of onbruikbaar maken, bijvoorbeeld door het installeren van ransomware, die de computer blokkeert en pas vrijgeeft na betaling van een losgeld
- Het versturen van virussen;
- Fraude met behulp van computers en valsheid in geschrifte met betrekking tot computerdata, bijvoorbeeld door berichten te onderscheppen en te veranderen zoals met een man-in-the-middle-aanval;
- Het valselijk beschuldigen of bedreigen via een sociaal netwerk of e-mail;
- Helpdeskfraude: zich voordoen als een helpdesk van een softwarebedrijf en zo toegang krijgen tot een computer.
Wetgeving
[bewerken | brontekst bewerken]België
[bewerken | brontekst bewerken]Het Belgisch recht wordt bepaald door de Wet van 10 april 1990 tot Regeling van de Private Veiligheid, gewijzigd door de wetten van 18 juli 1997, 9 juni 1999, 10 juni 2001 en 7 mei 2004. Vanaf de millenniumwisseling ontstond aandacht voor computercriminaliteit, met als gevolg de invoering van de Wet van 28 november 2000 inzake informaticacriminaliteit.
De wet beschrijft vier misdrijven die betrekking hebben op computercriminaliteit:
- Valsheid in informatica: Dit is het wijzigen of wissen van gegevens in een informaticasysteem of het gebruik van die gegevens veranderen, zodat de juridische draagwijdte verandert.
- Informaticabedrog: Informaticabedrog is met bedrieglijk opzet zichzelf of iemand anders onrechtmatig verrijken via datamanipulatie. Het gaat om de manipulatie van een toestel. Bij internetfraude manipuleert men personen.
- Informaticasabotage: Informaticasabotage is te omschrijven als vandalisme in een informaticaomgeving. Het verschil met informaticabedrog is dat dit geen verrijking tot gevolg hoeft te hebben: gegevens zonder toestemming wijzigen, is op zichzelf een misdrijf. Van informaticasabotage is sprake als iemand opzettelijk een virus in omloop brengt en als iemand de klantengegevens van een concurrent vernietigt zonder er zelf financieel voordeel uit te halen. Ook het ontwikkelen en verspreiden van datasabotagetools is strafbaar. De wetgever viseert vooral virusbouwers.
- Hacking: Hacking is het ongeoorloofd binnendringen in een computersysteem.
In 2001 werd het verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (cybercrimeverdrag) ondertekend door 38 staten, waaronder België. Sinds 2001 is in het Belgische Strafwetboek een nieuw hoofdstuk van toepassing: "Boek II, Titel IXbis: misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen".
Nederland
[bewerken | brontekst bewerken]De Nederlandse wetgeving op het gebied van computercriminaliteit is tot stand gekomen vanaf de jaren 1980 en is sindsdien herhaaldelijk aangepast.
Met de Wet computercriminaliteit, in werking getreden op 1 maart 1993, is het Wetboek van Strafvordering aangevuld met bevoegdheden op het gebied van onderzoek van geautomatiseerde werken en zijn specifieke strafbepalingen, zoals computervredebreuk toegevoegd aan het Wetboek van Strafrecht.
De eerste voorstellen om de vorige wet aan te passen, dateerden al uit 1998, maar de wetswijzigingen liepen nogal wat vertraging op. In 1999 werd een wetsvoorstel Computercriminaliteit II ingediend bij de Tweede Kamer, met diverse aanpassingen en uitbreidingen. De behandeling van dit wetsvoorstel werd echter opgeschort omdat binnen de Raad van Europa het verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (cybercrimeverdrag) werd ontwikkeld, dat op 23 november 2001 door dertig landen werd ondertekend en dat op 1 juli 2004 van kracht werd voor de deelnemende landen. Het verdrag werd door Nederland op 23 november 2001 ondertekend en op 16 november 2006 geratificeerd, en voor Nederland op 1 maart 2007 in werking getreden. Tegelijk met dit wetsvoorstel was een wetsvoorstel ter implementatie van de verdragsbepalingen op 22 maart 2005 bij de Tweede Kamer ingediend, als nota van wijziging bij het wetsvoorstel Computercriminaliteit II en gebaseerd op een eerder ontwerpvoorstel Aanpassing aan het Cybercrimeverdrag uit februari 2004. De Wet computercriminaliteit II werd op 30 mei 2006 aangenomen door de Eerste Kamer en trad, met uitzondering van één artikellid, in werking op 1 september 2006.
Trb. 2002, 18 bevat op de even pagina's de Engelse tekst en op de oneven pagina's de Franse tekst; vervolgens in het Nederlands gegevens zoals de lidstaten die het verdrag hebben ondertekend en de vindplaatsen in het Tractatenblad van aangehaalde verdragen. Trb. 2004, 290 meldt de wijziging van de Engelstalige titel van Convention on Cyber-Crime in Convention on Cybercrime. Vervolgens bevat het de Nederlandse vertaling van het verdrag en een update van de partijgegevens, waaronder ook ratificaties en in het Engels "Verklaringen, voorbehouden en bezwaren".
Verder is er de Rijkswet van 1 juni 2006 tot goedkeuring van het op 23 november 2001 te Boedapest tot stand gekomen Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18) (Stb. 299), behandeld als kamerstukdossier 30 036 (R 1784).
Trb. 2007, 10 zet de verwijzingen op een rij, en geeft weer een update van de partijgegevens.
Sindsdien is de wet ingrijpend aangescherpt. Zo is de definitie met betrekking tot hacken flink uitgebreid. Het expliciet toepassen van denial of service is vanaf deze datum verboden. De regels die gaan over het afluisteren en aftappen van communicatie en het kraken of hacken van beveiligde diensten (zoals betaaltelevisie) zijn ook aangescherpt. Het afluisteren van netwerkverkeer is strafbaar gesteld. Een uitzondering is het door middel van een radio-ontvanger ontvangen van radiosignalen, het ontvangen van vrije signalen uit de ether is immers een Europees grondrecht. Wordt echter "een bijzondere inspanning" geleverd, of een niet toegestane ontvanginstallatie gebruikt, dan is er toch sprake van strafbaar afluisteren.
De belangrijkste wijzigingen zijn:
- Bij computervredebreuk is elke vorm van wederrechtelijk binnendringen strafbaar, ook als daarbij geen beveiliging wordt doorbroken.
- De definitie van virussen en malware is aangescherpt: een programma moet bedoeld zijn om de definitie van schade aan te richten, maar niet per se (zoals in de oude wet) "door zichzelf te vermenigvuldigen in een geautomatiseerd werk".
- De maximale straf voor veel delicten is verhoogd. Hierdoor kan een verdachte in voorlopige hechtenis worden genomen. Verder zijn de meeste vormen van computercriminaliteit nu ook strafbaar in Nederland wanneer een Nederlander ze in het buitenland begaat. Dit is een gevolg van het cybercrimeverdrag.
- Uitbreiding van het delict grooming met het geval van een lokpuber.
De Wet van 27 juni 2018 tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III)[2][3][4][5][6] trad op 1 maart 2019 in werking. De wet regelt de volgende onderwerpen:
- Onderzoek in een geautomatiseerd werk in geval van verdenking van een ernstig strafbaar feit, ten behoeve van bepaalde doelen op het gebied van de opsporing. Bij communicatie met versleuteling kan dan worden afgetapt en opgenomen op het geautomatiseerde werk, voordat de gegevens worden versleuteld of nadat ze zijn ontsleuteld. In het belang van het onderzoek gebeurt een en ander heimelijk zodat de verdachte niet op de hoogte komt van het feit dat de politie in hem is geïnteresseerd. Het betreft onder meer een nieuw artikel 125ja Sv in de zevende afdeling, Doorzoeking ter vastlegging van gegevens (art. 125i t/m 125o Sv), van Titel IV, Eenige bijzondere dwangmiddelen (art. 52 t/m 126fa Sv), van het Eerste Boek, Algemeene bepalingen (art. 1 t/m 138d Sv).
- Herziening van de bestaande regeling van artikel 54a Sr over het ontoegankelijk maken van gegevens.
- Strafbaarstelling van het wederrechtelijk overnemen en 'helen' van gegevens.
- Inzet van lokpubers.
Met name op de voorgestelde bevoegdheid dat de politie in computersystemen mag hacken en spyware mag installeren is kritiek.[7] Deze bevoegdheid is mogelijk in strijd met het recht op privacy in art. 8 van het EVRM.[bron?]
Raad van Europa
[bewerken | brontekst bewerken]- Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (cybercrimeverdrag)
- Inwerkingtreding: 1 juli 2004
- Status: geldt voor alle landen die het verdrag hebben geratificeerd
- Additioneel protocol
- Inwerkingtreding: 1 maart 2006
- Inhoud: strafbaarstelling van racistische en xenofobe uitingen via computersystemen
- Aanbeveling R(89) 9, Raad van Europa
- Inhoud: aanbevelingen voor strafbaarstelling van diverse vormen van computercriminaliteit
- Status: niet-bindende aanbeveling, kan door landen worden overgenomen in eigen wetgeving
- Aanbeveling R(95) 13, Raad van Europa
- Inhoud: aanbevelingen voor bevoegdheden voor opsporing in een digitale omgeving
- Status: niet-bindende aanbeveling, kan door landen worden overgenomen in eigen wetgeving
Europese Unie
[bewerken | brontekst bewerken]- E-commercerichtlijn van 8 juni 2000: voorziet in de aansprakelijkheid van internettussenpersonen in bepaalde gevallen
- ePrivacyrichlijn van 12 juli 2002
- Richtlijn over aanvallen op informatiesystemen van 12 augustus 2013
- Radioapparatuurrichtlijn van 16 april 2014
- Verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt van 23 juli 2014
- Richtlijn betreffende betalingsdiensten in de interne markt van 25 november 2015
- NIS-Richtlijn van 6 juli 2016 over de beveiliging van netwerk- en informatiesystemen
- Richtlijn tot vaststelling van een Europees Wetboek voor Elektronische Communicatie van 11 december 2018
- Cyberbeveiligingsverordening van 17 april 2019
- Mededeling: Naar een algemeen beleid voor de bestrijding van cybercriminaliteit, COM(2007) 267def
- Mededeling: betreffende de strijd tegen spam, spyware en kwaadaardige software, COM(2006) 688def
- Kaderbesluit aanvallen op informatiesystemen (24 januari 2005, PbEG L69/67 van 16/03/2005)
- inhoud: stelt aanvallen op informatiesystemen, zoals hacken en verstikkingsaanvallen (DoS-aanvallen) strafbaar
- status: bindend, moet wel door elke lidstaat in eigen wetgeving worden geïmplementeerd
Trivia
[bewerken | brontekst bewerken]In november 2023 was er een grote cyberaanval op enkele havens in Australië. De aanval had verstrekkende gevolgen, de havens (Sydney, Melbourne, Brisbane en Fremantle) konden tijdelijk niet meer opereren.[8]
Zie ook
[bewerken | brontekst bewerken]Externe links
[bewerken | brontekst bewerken]- (nl) Computercriminaliteitlinks
- (en) Informatie platform over computercriminaliteit
- (nl) Meldpunt Cybercrime
- (nl) European Cybercrime Centre
- ↑ Cybercrime. politie.nl. Gearchiveerd op 20 mei 2023.
- ↑ Overheid.nl - Consultatie Wetsvoorstel computercriminaliteit III. internetconsultatie.nl.
- ↑ Bhikhie, Avinashh, "Advies: politie mag computers verdachten hacken", De Volkskrant. Gearchiveerd op 7 november 2017.
- ↑ https://zoek.officielebekendmakingen.nl/dossier/34372
- ↑ https://www.telegraaf.nl/binnenland/27280533/__Kamer_staat_digitaal_inbreken_toe__.html
- ↑ https://www.eerstekamer.nl/wetsvoorstel/34372_computercriminaliteit_iii. Gearchiveerd op 6 februari 2023.
- ↑ Pool R.L.D & Custers B.H.M. (2017), The Police Hack Back: Legitimacy, Necessity and Privacy Implications of The Next Step in Fighting Cybercrime, European journal of crime, criminal law and criminal justice 2017(25): 123-144.
- ↑ Havens Australië plat door cyberaanval, kan enkele dagen duren Nos.nl, 11 november 2023