Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties

Het kabinet heeft een wetsvoorstel goedgekeurd waarmee de straffen voor cybercriminaliteit worden verhoogd. Wie bijvoorbeeld 'ernstige schade' toebrengt aan een overheidsnetwerk, hangt mogelijk maximaal vijf jaar celstraf boven het hoofd, werd vrijdag bekendgemaakt.

Rechtszaak rechterHet wetsvoorstel komt van minister Ivo Opstelten van Justitie en werd in februari gepubliceerd. Met het voorstel vertaalt Opstelten een Europese richtlijn naar het Nederlandse rechtssysteem. Het kabinet heeft het voorstel nu goedgekeurd en zegt met de strafverhoging cybercriminaliteit harder aan te willen pakken.

Wie binnenkort bijvoorbeeld gegevens vernielt, computersystemen ontoegankelijk maakt of computers bestookt met spam, hangt mogelijk een celstraf van maximaal twee jaar boven het hoofd, waar dit voorheen één jaar was. Iemand die bij zijn aanval bovendien een botnet inzet, krijgt nu maximaal drie jaar celstraf.

De hoogste straf is tenslotte gericht op het tegengaan van het beschadigen van vitale infrastructuur, zoals een overheidsnetwerk of een energiecentrale. Een cybercrimineel die daaraan 'ernstige schade' toebrengt, kan volgens het goedgekeurde wetsvoorstel maximaal vijf jaar gevangenisstraf krijgen.

Het kabinet zegt al langer voorstander te zijn van een strenge aanpak van cybercrime, omdat die vorm van criminaliteit 'kan leiden tot maatschappelijke ontwrichting of het vertrouwen in het financiële systeem kan aantasten'. De Europese richtlijn waar dit voorstel uit voortvloeit, moet lidstaten van de Europese Unie ook beter laten samenwerken. Op die manier moet worden voorkomen dat er binnen de EU 'safe havens' ontstaan, waarin cybercriminelen hun straf kunnen ontlopen.

Het voorstel waarmee de ministerraad heeft ingestemd, ligt nu voor advies bij de Raad van State. Zodra het geheel naar de Tweede Kamer gaat, zal het wetsvoorstel en het advies volledig openbaar worden gemaakt.

Moderatie-faq Wijzig weergave

Reacties (51)

mooi, een persoon achter een laptop maakt (vrijwel) geen doden maar de schade daarvan kan wel groter zijn. dus dit zie ik wel zitten. [edit] even anders geformuleert.

[Reactie gewijzigd door 22masz op 23 mei 2014 18:49]

Een tijd geleden moest ik wat werk verrichten op een netwerk met niet al te best beveiligde scada systemen. Met zo'n scada oplossing kun je meer schade aanrichten dan je vermoed, en ja, daar kunnen ook echt heel veel doden bij vallen, gewoon door toedoen van een enkel persoon vanaf een laptopje aan de andere kant van de wereld.

Wat denk je bv. dat er gebeurt als een kwaadwillende hacker met succes de scada systemen aanvalt van Tata Steel? Het wordt dan niet grappig in IJmuiden, Velzen en Beverwerk. Of denk eens aan de scada systemen van de nederlandse spoorwegen: met een op de juiste plek ontspoorde chloortrein heb je een mega probleem.

Bekijk deze presentatie van het SCADA Strangelove team bij het 30C3 congres: http://media.ccc.de/brows...2_-_repdet_-_sgordey.html

Trouwens, de stuxnet worm is ook een mooi voorbeeld hier: die was potentieel erg gevaarlijk.
Nou het is weer overduidelijk gesteld met de wet: je mag wel aan de mensen komen maar niet aan het geld want daar worden zeer lange straffen voor opgelegd.

" De hoogste straf is tenslotte gericht op het tegengaan van het beschadigen van vitale infrastructuur, zoals een overheidsnetwerk of een energiecentrale. Een cybercrimineel die daaraan 'ernstige schade' toebrengt, kan volgens het goedgekeurde wetsvoorstel maximaal vijf jaar gevangenisstraf krijgen."

Dus daaruit conluderend:

Als ik bijvoorbeeld middels het gebruik van een computer het computernetwerk van de kerncentrale van Borsele weet binnen te dringen en het koelsysteem lam leg met als een gevolg duizenden doden en gewonden en een nasleep voor verdere generaties dan krijg ik maximaal 5 jaar voor het toebrengen van de in dit geval toegebrachte ernstige schade..
Ik denk dat je dan alsnog vervolgd wordt voor vele gevallen van opzettelijk toebrengen van letsel en poging tot doodslag, waar volgens mij veel hogere totale straffen uit rollen.

Het punt is dan ook dat deze wet behoorlijk overbodig is: als je schade toebrengt via een computer valt die schade al lang onder allerlei wetten in het strafrecht; de manier waarop je het doet, via een computer, zou toch niet zo veel uit moeten maken? Moet er ook een aparte wet worden gemaakt die het kapotmaken van een energiecentrale door een draad los te trekken strafbaar stelt, en weer een andere wet voor als je het doet door de centrale met een vrachtwagen te rammen?

Het lijkt er eerder op dat ze hiermee ook goedwillende of schadeloze hackers willen proberen te vervolgen, die b.v. alleen maar inbreken in het systeem maar geen daadwerkelijke schade toebrengen. Dit gebeurt in America, en dat is m.i. niet goed voor de maatschappij: het is een poging van overheden en bedrijven om zwakheden in hun systemen eerder te verbergen dan te verhelpen, als legitieme hackers ze niet durven te testen. Opstelten en Teeven kijken wel vaker dingen af van America, en worden geloof ik ook door Americaanse lobbyisten benaderd: was er niet zoiets in het nieuws een tijdje geleden?

[Reactie gewijzigd door Cerberus_tm op 24 mei 2014 02:39]

er staat duidelijk maximaal 5 jaar voor het beschadigen van de infrastuctuur
Volgens mij betekent dit dat je 5 jaar krijgt voor de handeling op de computer die leidt tot de schade, maar de schade zelf zal prima onder andere wetten vallen lijkt mij. Het is niet alsof vóór deze wet een rechter je geen straf op zou hebben gelegd voor het beschadigen van een energiecentrale.
bedenk maar eens wat hackers kunnen met jouw gegevens, foto's en fotoshop
ze maken je reputatie zwart, tenzij je ze een fortuin betaald
dat is waar, maar eigenlijk zijn dit dubbele standaarden, de overheden bespioneren ons en breken onze privacy maar als ondertussen een gemiddelde hacker je privacy schendt is dit wel strafbaar, vooral in amerika vallen onderdelen van de overheid buiten de wet om zoals politieagenten die onschuldige zwervers vermoorden en daarvoor geen consequenties zien. ik vind dat hier verandering aan moet komen, maar in onze huidige samenleving zal dat nooit gebeuren.
Met scada gaten kan ik vanaf een laptop, iPad, zelfs smartphone, meer schade aanrichten dan je denkt. Triest, maar waar.
Dat lijkt misschien in het eerste opzicht zo maar wat denk je wat er gebeurt wanneer waterzuiveringspompen wegvallen en/of het stroom uitvalt voor een langere tijd ?
Wat zou er gebeuren als een blackhat KPN neerhaalt voor een dagje (denk hierbij aan het alarmnummer dat niet meer bereikbaar zal zijn) of misschien zelfs gewoon een nieuwschierig scriptkiddy dat toevallig via een slecht beveiligde server toegang kreeg tot vitale delen van de infrastructuur en daar per ongeluk de verkeerde instellingen selecteerd. (niet dat er echt "goede" instellingen gedaan kunnen worden door een persoon dat niet geauthoriseerd is maargoed:p)

[Reactie gewijzigd door the-dark-force op 23 mei 2014 18:46]

ik ben het met je eens en heb mijn bericht anders geformuleerd . :)
Wat als de maan naar beneden valt? Het is een beetje vreemd om in een rechtsstaat eerst te gaan verzinnen wat er allemaal zou kunnen gebeuren om daar vervolgens op voorhand allerlei straffen bij te gaan verzinnen. Gebruikelijker is het om de wetgeving aan te passen aan wat er in de praktijk werkelijk gebeurd. Vergeet niet dat je crimialiteit niet voorkomt met wetten.
Sorry, maar deze aanpassing in de wet is geen vrijbrief om je netwerk slecht(er) te gaan beveiligen omdat je zwaarder gestraft kan worden via de rechtbank!
Wat betekent deze wetgeving voor white-hat hacking? Ofwel, het morrelen aan de deur om te kijken of die open kan. En als die open gaat, dan melding doen bij de eigenaar? Dit is exact wat het strangelove team (hierboven heb ik dat al genoemd) doet: slecht beveiligde scada systemen opsporen en de eigenaren hiervan op de hoogste stellen zodat deze systemen van internet verdwijnen dan wel beter worden beveiligd. Dat team doet belangrijk werk en die zijn nu in Nederland strafbaar?
Het ongevraagd binnendringen van een geautomatiseerd werk is al een behoorlijke tijd strafbaar. White-hat hacking bestaat wettelijk gezien niet. Maar het Openbaar Ministerie gaat niet zomaar over tot vervolging van een persoon.

Een goed voorbeeld is waarschijnlijk het Genootschap van Hackende Huisvrouwen. Een persoon drong een systeem van een ziekenhuis binnen, jatte bijna 493.000 persoonsgegevens van patienten en probeerde via een journalist onschendbaar te blijven bij het aantonen van het lek.

Als je doel is om beveiliging beter te maken heb je geen honderdduizenden gegevens van andere personen nodig. Daarvoor hoef je geen 7 GB aan data van die personen te downloaden. Die personen hebben ook rechten - het recht dat een goed bedoelend persoon hun gegevens niet kopieert omdat hij/zij het kan. Maar ook het recht dat hun gegevens niet door onbedoelde acties van zo'n hacker aangepast worden of verwijdert. En daarvoor heb je ook geen installatie van een backdoor nodig, waardoor je ook de kans vergroot dat andere personen misbruik van de situatie kunnen maken.

Bij het aantonen van beveiligingsproblemen kan je maar beter heel bewust zijn van je doel en wat de grens is. Het willen aantonen van een beveiligingsprobleem is geen excuus om maar te doen en laten wat je wil (of zonder dat je het snapt). Het is niet ondenkbaar dat je onbewust meer slachtoffers maakt dan problemen verhelpt.

En leg dat maar eens uit aan bijvoorbeeld die patienten van het ziekenhuis, dat je die patientgegevens van die stervende jonge moeder of de persoonlijke gespreksgegevens van een psychiater en zijn patient echt zo hard nodig hebt om je punt te maken.

[Reactie gewijzigd door kodak op 24 mei 2014 01:10]

vooral fijn voor mensen als mijn ouders die niets van het internet begrijpen en op deze manier geld/herinneringen (foto's die nog niet geback-upped zijn) verliezen
Techniek die je niet begrijpt moet je niet gebruiken, dat is voor jezelf 'gevaarlijk', maar ook voor anderen. Voor het gebruik van allerlei soorten techniek is vakbekwaamheid een vereist,.. gek genoeg voor het gebruik van digitale techniek en internet etc. nog steeds niet. Daarmee wil ik niet zeggen dat iedereen maar alles tot op het niveau van de hardware moet gaan studeren, maar wel dat je weet wat een apparaat doet, maar vooral kan. Een internationaal erkend certificaat/c.q. 'rijbewijs' zou helemaal zo gek nog niet zijn. Vooral om de kennis van de gemiddelde digibeet bij te spijkeren op het gebied van veiligheid op internet en het beschermen van je data/eigendom...
Het kabinet zegt al langer voorstander te zijn van een strenge aanpak van cybercrime, omdat die vorm van criminaliteit 'kan leiden tot maatschappelijke ontwrichting of het vertrouwen in het financiële systeem kan aantasten'.
Het is wel weer duidelijk waar de prioriteiten liggen.
Ik snap het ook niet nee. Wat heeft het financiele systeem te maken met een overheids netwerk?

Het hele bank gebeuren is de overheid nog geen eens eigenaar van. De bank is de eigenaar van de overheid.

"Give me control of a nation's money supply, and I care not who make its laws" zei ooit iemand volgens mij...
Heel de wereld draait om het financiele systeem. Wanneer dat plat ligt kan dat soms bij bedrijven die het lastig hebben een failliesement betekenen.

De financiele infra structuur is inmiddels net zo belangrijk geworden als Electriciteit en Gas.

Wat ik erger vind is een ander stukje
Wie binnenkort bijvoorbeeld gegevens vernielt, computersystemen ontoegankelijk maakt of computers bestookt met spam, hangt mogelijk een celstraf van maximaal twee jaar boven het hoofd, terwijl dit voorheen één jaar was
Is dit een voorbode voor de ontsleutelingsplicht? Mensen die een encrypted schijf hebben (aka ontoegankelijk) kunnen dus strenger worden gestraft. Of kan dat niet met deze wet.

Ik vertrouw dhr Opstelten in ieder geval niet. Helemaal niet zelfs.
Begin me haast af te vragen of ze dit ook wat breed formuleren richting de toekomst.. bijvoorbeeld in het geval Bitcoin steeds groter zou worden...

Label dat dan iets van "hackers en criminelen" en there you go..
*grin* De overheid is bang dat wat afgelopen jaar gebeurd is zich gaat herhalen. Niet dat ze dat tegen houden met dit soort wetjes.
Overigens is het betalings verkeer binnen Nederland relatief gemakkelijk plat te krijgen, 3 dagen niet kunnen pinnen. Stel je voor.
"Een cybercrimineel die daaraan 'ernstige schade' toebrengt, kan volgens het goedgekeurde wetsvoorstel maximaal vijf jaar gevangenisstraf krijgen."

Meer straf dan dood door verkeer? In plaats van gevangenisstraf lijkt taakstraf me een beter idee, kan je meteen ook de ICT-problemen van de overheid ermee oplossen (win-win situatie).

De prioriteiten liggen inderdaad weer hoog...
Het is een maximumstraf. Als je stelselmatig fraude hebt gepleegd door DigID, o.i.d. te hacken verdien je imho die straf gewoon. Het is heel iets anders dan onopzettelijk iemand doodrijden, misschien is de maximumstraf daarvan te laag, maar je kan het ook niet echt met elkaar vergelijken.
Meer straf dan dood door verkeer?
Erm, voor doodslag kan je standaard maximaal 15 jaar krijgen, maar mogelijk nog meer:
Doodslag is als delict op zichzelf strafbaar met maximaal 15 jaar gevangenisstraf, maar de wetgever heeft ook nog een aantal speciale vormen van doodslag beschreven. Daar horen ook afwijkende maximumstraffen bij:
‘Normale’ doodslag: 15 jaar;
Doodslag in combinatie met een ander strafbaar feit (denk bijvoorbeeld aan diefstal): 30 jaar;
Doodslag gepleegd met terroristisch oogmerk: 30 jaar;
Doodslag pasgeboren kind door moeder (‘kinderdoodslag’): 6 jaar;
Doodslag in het kader van euthanasie (euthanasie buiten officiële procedure): 12 jaar.
....
Allereerst zal iemand die voor de rechter staat voor het meerdere malen plegen van doodslag waarschijnlijk een hogere straf krijgen wanneer hij schuldig wordt bevonden dan wanneer hij ‘slechts’ één keer doodslag had gepleegd. Ook zal de maximumstraf met 1/3 verhoogd zijn wanneer de delicten afzonderlijk van elkaar zijn gepleegd, in plaats van in één voortgezette handeling.
We hebben ook nog dood door schuld, dat is standaard 2 jaar, 4 jaar als er sprake is van roekeloosheid (1/3 hoger als je een recidivist ben binnen 5 jaar). Het grote verschil met je computercrimineelheidsstraffen is dat er bij dood door schuld geen sprake is van opzet, en bij computercriminaliteit dus heel erg wel. Moord kan je maximaal echt levenslang voor krijgen, de maximale 'tijdelijke' gevangenisstraf is 30 jaar.
Ja zo kan ons kabinet laten zien hoe goed het de voetjes van de EU en US kan kussen...

En wie kan de onderzoek, proces en gevangeniskosten weer betalen, Jan modaal natuurlijk!
Het is toch wat. En ondertussen pakken hun ook nog al onze banen af. En kunnen omaatjes niet meer veilig over straat. Stond allemaal in de Telegraaf, zelf gelezen. Komt allemaal door hun! Tijd voor een sterke man die durft te zeggen waar het op staat!

Meh.
Het slecht beveiligen van overheidssystemen (al dan niet opzettelijk) zou dan ook moeten vallen onder computercriminaliteit, vind ik. Door gaten daarin te ontdekken en te openbaren wordt ruimte voor verbetering van deze systemen geschept, en wordt mede de slechte beveiliging van die systemen zelf aangetoond.

Onze overheid zou eens wat beter moeten nadenken over het inrichten van hun infrastructuur en over de juiste manieren om hier binnen een maatschappelijk kader mee om te gaan. Er zijn wel degelijk manieren om dit op een productieve en constructieve manier te kunnen verbeteren.

[Reactie gewijzigd door dojo999 op 23 mei 2014 19:52]

Waarom zou dat alleen moeten gelden voor de overheid?

In Nederland zijn bijna 19 miljoen personen en nog een 1,5 miljoen aan bedrijven, organisaties en zzp-ers. Waar denk je dat de meeste brakke software draait, waar de meeste botnetbesmettingen zijn, waar de meeste persoonsgegevens gestolen worden en van welke systemen de meeste overlast komt?
Ik zou zeggen nodig de Nederlander uit om aan te tonen dat het overheid systeem gekraakt / manipuleert / kwetsbaar is.
Zet daar een beloning tegenover ipv straffen voor de gatenkaas van de overheid.
Goh... dat is dus slecht nieuws voor al die NSA, GCHQ etc. medewerkers die onder meer in Nederland overheidssystemen kraken.

De USA was stom om die 5 Chinese leger-hackers persoonlijk in staat van beschuldiging te stellen, daarmee is de deur open om -omgekeerd- ook US nationals persoonlijk in staat van beschuldiging te kunnen stellen op basis van dezelfde rechtsgrond.

Of... zou dit alleen maar weer zijn om Klaas, Jannetje, en Lodewijk aan te pakken en slippen de ECHTE hackers (vreemde overheidsdiensten) met opzet weer eens tussen de mazen door?
Als je zit wat er tegenwoordig allemaal aan mekaar is gekoppeld, dan is dit best gevaarlijk. Als je als ziet in bedrijven kantoor automatisering en proces automatisering met elkaar moeten communiceren dan zijn er best grote risico's in security. Voorbeeld de systemen van de kantoor automatisering wordt gehackt. Er zijn SQL database is gehackt die communiceert met de productie omgeving via SQL omgevingen die gekoppeld zijn via OPC koppelingen naar PLC's in de productie. Dan kunnen er risico's zijn dat via OPC koppelingen PLC's gemanipuleerd kunnen worden op afstand, met alle risico's van dien. Kleppen die verkeerd worden aangestuurd waardoor het proces opeens vreemde dingen gaat doen, waardoor er een gevaar voor de omgeving ontstaat. Dit is maar even voorbeeld wat problemen van een hack kunnen zijn. Dus het is best begrijpelijk dat men de straffen wil verhogen. Maar vervolging kan lastig zijn voor de overheid omdat de hacker misschien wel ergens in Japan kan zitten. Denk zelf dat men hier alleen de scriptboys pakt. Die minder kennis van hacken hebben. Dus er zit ook wel een beetje gevaar aan de wetgeving dat alleen de lichtere gevallen slachtoffer zijn van deze nieuwe wetgeving.
Ik vind maximale straffen altijd een zwaktebod. Je zegt daarmee eigenlijk dat je de rechters in Nederland het niet toevertrouwd de juiste strafmaat te kunnen bepalen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True