Vrijbrief voor hackers

Gisteren (19 september 2011) zijn in verschillende media berichten verschenen over het voorstel van PvdA-Kamerlid Pierre Heijnen om hacken voor een algemeen belang legaal te maken. Het plan heeft tot gevolg dat er een uitzondering zou moeten komen voor het misdrijf computervredebreuk. Ik vind het plan ondoordacht en het creëert rechtsonzekerheid voor de slachtoffers.

Oude discussie

Het idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

‘Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de “hacker” een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.’

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijk effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn.

De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen tot het binnendringen van het systeem teneinde lekken aan te tonen waarna de beveiliging kan worden verbeterd. Deze ‘penetratietesten’ zijn heel normaal en komen vaak voor. De resultaten van zo een test zijn niet openbaar om de kans te verkleinen dat ze door kwaadwillenden worden uitgebuit. Bovendien heeft openbaarmaking wellicht reputatieschade tot gevolg terwijl dat in de meeste gevallen niet terecht zou zijn. Geen  enkel systeem is 100% veilig. Bovendien heeft de eigenaar bij pentratietesten zelf in de hand op welk moment de hackpogingen plaatsvinden en door wie deze worden uitgevoerd, zodat met de actie rekening kan worden gehouden en achteraf verantwoording kan worden afgelegd. Het is niet wenselijk een vrijbrief te geven aan hackers systemen binnen te dringen.

Klokkenluidersstatus

Volgens nu.nl geeft Heijnen aan dat er een klokkenluidersregeling moet komen voor hackers die ter goede trouw lekken willen aantonen: “Ik zou ze een klokkenluidersstatus willen geven en ze willen ondersteunen”, aldus Heijnen. Mijn vraag daarop wat de ‘klokkenluiderstatus’ nu precies inhoudt en hoe dat van toepassing zou kunnen zijn op hackers. Normaal gesproken gaat het bij het aantonen van lekken in ICT-systemen om iemand die van buitenaf in een systeem probeert binnen te dringen. Volgens de Van Dale is een klokkenluider echter iemand die op zijn werk misstanden in de openbaarheid brengt. Sowieso is het lastig de begrippen te definiëren. Wat is precies een ‘hacker die ter goede trouw’ handelt? Is een ‘ICT-systeem’ hetzelfde als het brede begrip ‘geautomatiseerd werk’ of gaat het hier alleen om ‘vitale infrastructuur’?

Journalistieke exceptie

De journalistieke exceptie, waar de heer Heijnen wellicht meer op doelt, bestaat sowieso al. De exceptie wordt echter vaak verkeerd begrepen. Journalisten moeten zich net als iedere burger gewoon aan de wet houden. Indien er een overtreding of licht misdrijf wordt gepleegd die noodzakelijk was om een algemeen belang aan te tonen kan het zijn dat de rechter – na een afweging van de in het geding zijnde belangen – oordeelt dat een straf in dit geval niet op zijn plaats was. Op grond het opportuniteitsbeginsel kan ook het Openbaar Ministerie ook beslissen dat in de omstandigheden van het geval strafrechtelijke vervolging niet op zijn plaats is, zoals laatst bij onderzoeksjournalist Brenno de Winter is gebeurd m.b.t. het aantonen van lekken in de OV-chipkaart.  Een hacker die in het kader van het algemeen belang een beveiligingslek op zijn blog openbaart (het begrip ‘journalist’ moet heel breed worden gezien) en zelf toegang heeft verschaft tot het geautomatiseerde werk is in principe gewoon strafbaar, maar het kan zijn dat zijn handelen gerechtvaardigd kan worden door het algemeen belang. Bij vervolging moet een rechter daar over uiteindelijk beslissen. De uitzondering van van Heijnen zou die belangenafweging door de rechter in de toekomst achterwege moeten laten en dat is onwenselijk.

Een voorbeeld: de Jack de Vries-zaak

Een zaak die in mijn colleges vaak aanhaal is over de hack van de toenmalige staatssecretaris van Defensie Jack de Vries. In de Verenigde Staten werd bekend dat vicepresidentskandidaat Sarah Palin haar Blackberry zeer slecht beveiligde waardoor hackers gemakkelijk toegang konden verschaffen tot haar berichten, waaronder ook zakelijke. In dat kader vond de Nieuwe Revu het nodig de privé e-mail van Jack de Vries te (laten) hacken. De hack vond plaats met een brute force aanval door ontzettend veel wachtwoorden achter elkaar uit te proberen in combinatie met de inlognaam van Jack de Vries. In het vonnis wordt heel kort ingegaan op een belangrijk aspect, namelijk dat teneinde de aanval mogelijk te maken 14.000 mensen via Hyves via een besmette versie van het toenmalige spelletje ‘Mafia Wars’ met malware werden besmet. Vervolgens werden die computers gebruikt om de hack te plegen. Daarnaast werd toegang verschaft tot de computer van Jack de Vries en wijzigingen op zijn computer aangebracht om zakelijke e-mails op te sporen. Tenslotte werden er een paar e-mails werden doorgestuurd naar de redactie van de Nieuw Revu. Naast het feit dat het OM veel meer delicten ten laste had kunnen leggen is het naar mijn mening duidelijk dat hier sprake is van een disproportionele en onnodige actie. De meeste accounts van een gemiddelde internetgebruiker kunnen op deze manier worden gehackt. Bovendien is mij het algemene belang dat werd uitgetoond onduidelijk gebleven. Moeten wij dat soort brutale praktijken nu uitdrukkelijk wettelijke bescherming geven? Zie ook dit bericht van Arnoud Engelfriet over de zaak.

Conclusie

De Jack de Vries-zaak maakt duidelijk waar het probleem ligt bij het plan van Kamerlid Heijnen. De economische of andersoortige schade door een hack kan veel groter zijn dat het belang dat wordt gediend door de actie. We moeten niet aan het subjectieve oordeel van individuen laten afhangen welk belang daarbij prevaleert. De uitzondering is in een wettelijke regeling lastig te definiëren en creëert rechtsonzekerheid voor de slachtoffers. Het heeft ook andere nadelen die in 1990 al werden onderkent. De integriteit, vertrouwelijkheid en beschikbaarheid van geautomatiseerd werken worden op dit moment voldoende door wet beschermd. Het is naar mijn mening geen goed idee daar aan te tornen.