Column


IT-jurist Peter van Schelven over...

DDoS en een andere planeet

Nederland heeft de twijfelachtige eer om op plek 9 te staan in de top 10 van landen met de meeste slachtoffers van DDoS-aanvallen. Dat wordt althans gesteld in het onlangs door het ministerie van Veiligheid en Justitie uitgebrachte Cybersecuritybeeld Nederland 2017. Vooral IoT-botnets zijn volgens dat rapport een toenemende bron van zorg. Zij zorgen voor een forse schaalvergroting van de DDoS-bedreigingen.

Die ontwikkeling roept de vraag op of het huidige wettelijke wapenarsenaal om DDoS-aanvallen en pogingen daartoe aan te pakken adequaat is. Het antwoord is simpelweg: nee. Het uitvoeren van zo’n aanval is weliswaar al vele jaren een strafbaar feit, maar wie de moeite neemt om in het register van gepubliceerde rechtspraak te zoeken op het trefwoord DDoS telt vanaf 2005 slechts twaalf strafrechtelijke uitspraken. Dat cijfer staat in schril contrast met bijvoorbeeld het feit dat de Stichting Nationale Beheerorganisatie Internet Providers (NBIP), een samenwerking van zes grote internetproviders, in 2016 681 DDoS-aanvallen verwerkte. Gemiddeld dus zo’n twee per dag.

Het strafrechtelijk apparaat heeft als het gaat om het aanpakken van DDoS-gevaren kennelijk niet zo veel in de melk te brokkelen. Het strafrecht is in dit verband vooral symboliek.

Wet Gegevensverwerking en Meldplicht Cybersecurity
Juridisch wordt het er inmiddels niet veel beter op in ons land. De Eerste Kamer is op 11 juli akkoord gegaan met het voorstel voor de Wet Gegevensverwerking en Meldplicht Cybersecurity (afgekort: Wgmc). SecurityVandaag berichtte daar al over. Naar verwachting zal die nieuwe wet nog dit najaar in werking treden.

Het betreft hier overigens een tamelijk vreemde wet, met name omdat die een tijdelijk karakter heeft. De regering is namelijk ook bezig met het maken van nog weer een andere wet, de zogeheten Cybersecuritywet, en die moet de Wgmc gaan vervangen. De beoogde Cybersecuritywet zal de onlangs aangenomen Wet Gegevensverwerking en Meldplicht Cybersecurity dus overbodig maken.

Ongestoorde beschikbaarheid
De Wgmc introduceert – kort gezegd – een nieuwe meldplicht voor organisaties die werkzaam zijn in vitale sectoren in de Nederlandse samenleving. Deze organisaties worden verplicht bepaalde security-incidenten te melden bij het ministerie van Veiligheid en Justitie, opdat vervolgens het Nationaal Cyber Security Centrum (NCSC) de nodige bijstand en vervolgacties kan nemen.

Over welke incidenten gaat dat dan precies? De tekst van de Wgmc spreekt letterlijk over ‘een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid en betrouwbaarheid van een product of dienst in belangrijke wordt of kan worden onderbroken’. Een fraaie volzin, die – zo zou je bij eerste lezing wellicht vermoeden – ook op DDoS-aanvallen betrekking heeft. Een DDoS-aanval ondermijnt immers, zeker als die lang duurt, de ongestoorde beschikbaarheid van een website, applicatie en de daarmee gefaciliteerde diensten.

Schaamrood op de kaken
De wettekst zet je echter bedrieglijk op het verkeerde been. Het vermoeden dat maatschappelijk ontwrichtende DDoS-aanvallen ook gemeld moeten worden door partijen uit de vitale sectoren blijkt niet te kloppen. Ik kan er werkelijk niet met mijn pet bij, maar uw en mijn regering ziet een DDoS-aanval niet als een ICT-inbreuk. Met het schaamrood op de kaken voor de houding van de Nederlandse regering presenteer ik u hierbij de letterlijke tekst uit de Memorie van Toelichting van de Wgmc, opdat u zelf mag oordelen.

De regering schrijft daarin letterlijk: “De in dit wetsvoorstel geïntroduceerde meldplicht ziet niet op verstoringen waarbij geen sprake is van een ICT-inbreuk, zoals DDoS-aanvallen (Distributed Denial of Service). Bij een DDoS-aanval wordt de bereikbaarheid van een online-dienst aangetast zonder aantasting van de systemen die in dat verband worden gebruikt. Het is wenselijk om de meldplicht te beperken tot (potentieel) ontwrichtende situaties waarbij rechtstreekse betrokkenheid van het NCSC voldoende meerwaarde heeft. Dit is niet het geval bij een DDoS-aanval, gezien het relatief eenvoudige karakter daarvan. Veelal zal het bij deze aanvallen om een tijdelijke beperking van de bereikbaarheid gaan. Hierdoor is de maatschappelijk ontwrichtende werking in deze gevallen in het algemeen veel beperkter dan bij een ICT-inbreuk. Een en ander laat overigens onverlet dat partijen de mogelijkheid hebben om ook deze verstoringen van de bereikbaarheid op basis van vrijwilligheid aan het NCSC te melden.”

Beschamend stukje wetgeving
Snapt u het nog? Zijn DDoS-aanvallen geen ‘ICT-inbreuk’, wetende dat de ongestoorde beschikbaarheid van ICT een van de pijlers van ieder goed IT-securitybeleid is? Hebben DDoS-aanvallen steeds een ‘relatief eenvoudig karakter’, wetende dat er aanvallen in talloze soorten, maten en uitvoeringsvormen zijn? Zijn DDoS-aanvallen veelal niet ‘ontwrichtend’, wetende dat 36 procent van de aanvallen langer dan een uur duurt en ook wetende dat kwaadwillenden voor een appel en een ei een botnet kunnen huren?

Hoe dan ook, ik snap werkelijk niet dat de wetgever deze woorden uit zijn pen heeft kunnen krijgen. Sterker nog: ik wil deze ongein ook niet snappen. In Den Haag lijkt men soms van een andere planeet. Een beschamend stukje securitywetgeving. Hopelijk wordt deze onbegrijpelijke misstap in de nieuwe Cybersecuritywet, de beoogde opvolger van de Wgmc, alsnog rechtgezet.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over