Column


IT-jurist Peter van Schelven over...

Overheid faciliteert onveilige ICT

Het zou naïef zijn om te veronderstellen dat de overheid steeds belang heeft bij veilige en integere ICT. Het tegendeel is waar: kwetsbaarheden in de ICT-producten van anderen zijn soms erg handig als politie en justitie hun opsporingswerk willen uitvoeren.

Die gedachte wordt bevestigd als je de Memorie van Antwoord bij het wetsontwerp Computercriminaliteit III leest. In dat stuk, dat enige dagen geleden werd gepubliceerd, reageert de regering zeer ontwijkend op de zeer kritische vragen die er vanuit de Eerste Kamer over het wetsontwerp zijn gesteld.

Het wetsontwerp, dat vorig jaar december reeds door de Tweede Kamer is aangenomen, houdt de gemoederen van velen stevig bezig. Begrijpelijk, want als ook de senatoren uit de Eerste Kamer binnenkort hun fiat aan het ontwerp geven, wordt het wapenarsenaal van politie en justitie fors uitgebreid met het recht om bij ernstige strafbare feiten computers te hacken. Menigeen is inmiddels te hoop gelopen tegen die uitbreiding van het pakket van strafrechtelijke bevoegdheden, maar naar het lijkt zonder veel succes.

Melden IT-kwetsbaarheden
Ik wil me hier richten op een ander onderwerp dat nauw met het nieuwe justitiële recht om te hacken verband houdt. Het valt te verwachten dat politie en justitie bij het heimelijk binnendringen in de computer, tablet of mobile van een ander, waar mogelijk gebruik zullen maken van een bestaande kwetsbaarheid in het desbetreffende systeem. Voor opsporingsambtenaren zijn dergelijke kwetsbaarheden wellicht erg handig, met name als zij het onderzoek vergemakkelijken.

Daarentegen zal de producent van de software of hardware er meer bij gebaat zijn om zo spoedig mogelijk van het bestaan van de kwetsbaarheid op de hoogte te komen. In dat geval kan aan een beveiligingspatch worden gewerkt of aan een andere manier om het beveiligingslek te dichten, en kan een ‘volgende WannaCry’ worden voorkomen. Hoe sneller de producent een kwetsbaarheid kent, hoe beter dat is voor eenieder die belang heeft bij veilige ICT.

Strafrecht versus security
Als je vermoedt dat het wetsontwerp Computercriminaliteit III ervoor kiest dat justitie en politie alle bij hen bekende kwetsbaarheden in ICT steeds onverwijld bij de producent moeten melden, dan heb je het mis. Het wetsontwerp zegt daarover het volgende. Als er een ‘zwaarwegend opsporingsbelang’ is, dan hoeft zo’n melding bij de producent niet te worden gedaan. Dan wint het strafrecht het dus van de security. Anders gezegd: in zekere zin faciliteert de wetgever met de komende wet dus onveilige ICT. Justitie kan onveilige ICT willens en wetens in stand laten, desgewenst zelfs tamelijk lang. Het wetsontwerp stelt geen enkele concrete tijdslimiet aan het niet melden van beveiligingslekken.

Strafrechter beslist over meldplicht
Onderdeel van de beoogde nieuwe wettelijke regeling is overigens wel dat de officier van justitie eerst naar de rechter dient te stappen om toestemming te krijgen de kwetsbaarheid die politie of justitie bij het hacken van andermans ICT-systemen hebben aangetroffen, niet bij de producent te melden. Kortom, uiteindelijk is het de strafrechter die – op vordering van het Openbaar Ministerie – moet oordelen over de vraag of een kwetsbaarheid wel of niet bij de producent onder de aandacht moet worden gebracht. Geen sinecure voor de strafrechter die hierover moet oordelen, zo lijkt mij.

De rechter wordt dus voor een hels ingewikkelde belangenafweging geplaatst. Want wat weet de strafrechter nou eigenlijk precies van beveiligingslekken en de daar verbonden risico’s? En wat van het maatschappelijke belang van het dichten van de betrokken lekken? Hoe weegt hij dit als leek evenwichtig af, als je daarbij bedenkt dat de rechter bij de behandeling alleen met justitie praat? De kwade kans bestaat dus dat justitie het in dit soort kwesties al snel wint van het maatschappelijke belang om lekken in IT-security te dichten.

Is dat de overheid waar de samenleving mee gebaat is? Ik heb er – zachtjes uitgedrukt – zo mijn forse twijfels over. Sterker nog: het is wetgeving van een bedroevend niveau. Volgende week dinsdag zal de Eerste Kamer zich in een bijeenkomst met deskundigen verder over het wetsontwerp Computercriminaliteit III buigen. Het valt te hopen dat er vanuit kringen van de IT-security fors tegengas gegeven wordt aan het dominante strafrechtelijke denken. Dat is hard nodig als IT-security je lief is.


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over