Column


IT-jurist Peter van Schelven over...

Zero-day-aanvallen: wel of niet computervredebreuk?

Ik merk de laatste tijd dat er in ons land sterk uiteenlopende ideeën bestaan over de strafbaarheid van zero-day-aanvallen. Zo zijn er onder mijn juridische vakgenoten personen die zich op het standpunt stellen dat het gebruik van zero-days niet strafbaar is, juist omdat een zero-day gebruikmaakt van een gat in de beveiliging van andere systemen. In die visie zijn ICT-systemen en hun gebruikers strafrechtelijk niet beschermd tegen zero-day-aanvallen louter vanwege het ontbreken van een adequate technische beveiliging in de systemen die worden aangevallen.

In die gedachte wordt vooral aangeknoopt bij de meest kenmerkende eigenschap van een zero-day-aanval, te weten het feit dat de makers, distributeurs en gebruikers ervan willens en wetens gebruikmaken van een kwetsbaarheid of zwakke plek in de bestaande beveiliging van een systeem. Dat gat zit er totdat er een beveiligingspatch voor het systeem beschikbaar komt. Volgens deze benadering is reeds het enkele bestaan van een technisch beveiligingslek voldoende om geen strafbaarheid van zero-day-aanvallen aan te nemen.

Computercriminaliteit II
Deze visie kan, zo lijkt mij, geen stand houden. Maatschappelijk gezien is de gedachte weinig bevredigend, want zij zou een forse lacune in de bescherming tegen cybercrime inhouden. Juridisch liggen de zaken bovendien ook anders. Onder de vroegere strafwetgeving was computerinbraak of computervredebreuk alleen strafbaar wanneer de dader een technische beveiliging doorbrak, maar met de komst van de Wet Computercriminaliteit II in september 2006 is die beveiligingseis uitdrukkelijk komen te vervallen. Ook zonder het doorbreken van een beveiliging kan sindsdien van computervredebreuk sprake zijn. De Wet Computercriminaliteit II verlangt dus geen slot op de voordeur van ICT-systemen. Alleen al om die reden kan de gedachte dat de inzet van zero-days niet strafbaar is de toets van de juridische kritiek niet doorstaan.

Binnendringen
Hoe zit het dan wel? Sinds de wetswijziging uit 2006 maak je je schuldig aan ‘computervredebreuk’ wanneer je ‘opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan’. Dat is een tamelijk laagdrempelige strafbepaling, waaraan al snel kan zijn voldaan. De kern van die strafbepaling spitst zich toe op de vraag wat nou precies het ‘binnendringen’ van een systeem van een ander is. Ook in de rechtspraak hebben rechters zich inmiddels meermalen over die vraag moeten buigen. Duidelijk is inmiddels wel dat zich dat niet voordoet als je per ongeluk in het systeem van een ander terechtkomt. Opzettelijk en wederrechtelijk binnendringen in andermans systeem vooronderstelt immers dat je je bewust bent van het feit dat je je op verboden terrein begeeft. Dat is op zich voldoende om strafbaarheid aan te nemen.

Het willens en wetens doorbreken van een bestaande beveiliging duidt er doorgaans wel op dat je bewust fout handelt en dat je je dus schuldig maakt aan computervredebreuk, maar het kraken of omzeilen van een technische beveiliging is wettelijk gezien, zoals gezegd, geen harde eis. Dat neemt niet weg dat de officier van justitie die bij een vervolging het bestaan van het ‘binnendringen’ in de rechtszaal zal moeten bewijzen, dus wel kan aanknopen bij het feit dat de verdachte een beveiliging heeft doorbroken. Maar hij mag dat bewijs ook op andere wijze leveren, wat met name bij zero-day-aanvallen van belang is.

Technische ingreep
De wetgever heeft het in 2006 de samenleving in ons land iets makkelijker gemaakt door een lijstje met voorbeelden in de strafwet op te sommen van wat ‘in ieder geval’ onder binnendringen wordt verstaan. Op die manier wordt de strafbepaling nader gekleurd. Naast het doorbreken van een beveiliging worden in dat lijstje onder meer genoemd het gebruik van een ‘technische ingreep’ en het gebruik van ‘valse signalen of een valse sleutel’.

Het gebruik van een zero-day kan, zo valt te bepleiten, probleemloos als een technische ingreep worden beschouwd. Maar zelfs als die vlieger al niet op zou gaan – wat niet aannemelijk is – dan nog moet voor ogen gehouden worden dat het hier slechts een lijstje met voorbeelden betreft. In de kern beschouwd worden zero-days immers gebruikt om opzettelijk binnen te dringen in systemen en dat binnendringen is op zich al genoeg voor een strafbaar feit. De door sommige juristen in ons land wel geuite gedachte dat de strafwetgeving geen bescherming biedt tegen zero-day-aanvallen is dus volstrekt misplaatst.


Lees meer over