Cybercrime samenvatting
Week 1A: inleiding
Recente incidenten: computervredebreuk (hacken)
- Computervredebreuk (hacken): je voert je gegevens (bijv. naam, creditcard, adres) online in
bij een website, als dat bedrijf wordt gehackt, komen al jouw gegevens ook op straat te
liggen
- Malware: je bestanden worden gegijzeld, je moet losgeld betalen om de gegevens te laten
‘ontsleutelen’
o Het gebruiken én maken van malware is een strafbaar feit
- Online handel in illegale producten: handel op het dark web
- Fraude: bijv. Whatsapp-fraude met een Tikkie
- Online seksuele delicten: bijv. naaktfoto’s, online seksuele intimidatie
- Uitings- en communicatiedelicten: bijv. racistisch, discriminerend, belediging, bedreiging
NCTV + NCSC: CSBN
- Cybersecuritybeeld Nederland: CSBN 2022
- De NCTV (Nationaal Coördinator Terrorisme en Veiligheid) brengt in samenwerking met
Nationaal Cyber Security Centrum (NCSC) jaarlijks het Cybersecuritybeeld Nederland (CSBN)
uit
Cybersecurity-landschap
- Diverse partijen met cyberdreigingen bezig:
o Bedrijven zoals Fox IT, KMPG, Delloyt
o En aan de andere kant de overheid:
Politie en OM: law enforcement gaan we het vooral over hebben
NCSC: crisis coördinatie
AIVD: intelligence
Cyber commando van het leger: offensief
- Cybercrime: cyberdreigingen door criminelen (≠ statelijke actoren, spionnen of terroristen)
- Dus géén cyberwar, cyberspionage, cybersabotage of cyber-terrorisme in dit vak
Indeling delicten (zie bv Koops&Oerlemans 2018 en zie Cybercrimeverdrag)
- Zie Koops&Oerlemans 2018 en Cybercrimeverdrag:
1. Computergericht: criminaliteit gericht tegen de CIA van computers en datasystemen
o Computer of netwerk van computers is het doel (hacken, DDOS-aanval, ransomware-
aanval etc. = hardcore computer crime)
2. Computergerelateerd: criminaliteit waarbij het gebruik van computer essentieel is voor
strafbaarstelling
o Computer is het hulpmiddel of instrument (fishing, computerfraude, afpersing,
Marktplaatsoplichting, skimming etc.)
3. Contentgerelateerd of computerrelevant: criminaliteit waarbij de content strafbaar is en via
de computer wordt verspreid of bewerkt
o Computer is de werkwijze/de omgeving, of het medium/de drager (zedendelicten:
kinderporno, grooming, etc. en uitingsdelicten: online smaad, laster, bedreiging,
opruiing etc.)
Ad 1 Computergericht = Computer als object: beschadiging, verstoring
- CIA-delicten zijn erop gericht om de “CIA of information security” (de BVD van
informatiebeveiliging) te doorbreken:
o C = confidentiality (V = vertrouwelijkheid) bijv. privégegevens komen op straat te
liggen
o I = integrity (D = deugdelijkheid (integriteit en authenticiteit))
o A = availability (B = beschikbaarheid)
1
,Cybercrime samenvatting
- Aanname: een persoon, bedrijf of overheid zal schade ondervinden wanneer er verlies van
vertrouwelijkheid, integriteit of beschikbaarheid van informatie optreedt
Allerlei andere indelingen zijn mogelijk:
- Cybercrime in enge zin – cybercrime in brede zin (rechtspraak)
- Cyber dependent – cyber enabled (criminologie)
- High-tech crime, cybercrime, cyber – enabled crime (THTC)
- Security (confidentiality, integrity, availability) – safety (personen)
o Zie Basisboek cybercriminaliteit:
Cybercriminaliteit in enge zin
Gedigitaliseerde criminaliteit
Geschiedenis/ontwikkeling
- Cybercrime is ontstaan door de opkomst computer, digitalisering, internet, technologische
ontwikkelingen
- Impact internet (https://www.internetlivestats.com):
o 1995: <1% wereldbevolking internetgebruikers
o 2016: 46% wereldbevolking, elke minuut 525 nieuwe internetgebruikers
o 2018: 96,5% Nederland internetgebruikers + goede infrastructuur
- CBS 2019: “886.000 mensen nooit online geweest”
Menselijke eigenschappen
- https://veiliginternetten.nl/alertonline/#/
- Slordig met persoonsgegevens (Google: ledenlijst pdf)
- Geen updates, geen goede beveiliging/passwords
- https://haveibeenpwned.com/
Drie eigenschappen internet
- Anonimiteit: je hoeft niet je eigen naam te gebruiken op het internet
- Schaalbaarheid: je kunt met relatief kleine moeite (bijv. op de zolderkamer bij je ouders) met
één druk op de knop duizenden slachtoffers maken
- Grensoverschrijdend: je kunt vanuit het ene continent slachtoffers maken uit een ander
continent
Kamerbrief aanpak cybercrime 4 november 2022
- Zie Canvas + werkgroepopdracht
o In de politiek wordt er vaak wat overdreven, om bijv. meer geld te krijgen (dus altijd
in je achterhoofd houden of het wel écht zo vaak voorkomt)
Prevalentie: hoe vaak komt cybercrime voor?
- Hoe meet je dat?
o CBS (enquêtes), politiecijfers, OM, rechtspraak, NCSC/NCTV (AIVD, MIVD),
securitybedrijven, wetenschappelijk onderzoek: slachtofferenquêtes, daderenquêtes
- Aantal slachtoffers – aangiftes, meldingen? (Basisboek paragraaf 5.2 Omvang en ontwikkeling
van slachtofferschap)
- Aantal daders – veroordelingen? (Basisboek paragraaf 4.2 Omvang en ontwikkeling
daderschap)
- Aantal incidenten – welke cyberdelicten?
- Omvang van de schade (financieel, emotioneel...),
- CBS, politiecijfers, OM, rechtspraak, NCSC/NCTV (AIVD, MIVD), securitybedrijven,
wetenschappelijk onderzoek: slachtofferenquêtes, daderenquêtes
Prevalentie
- CBS 2017: “2,5 miljoen cybercrime-delicten”
o Weinig informatie, gaat het over slachtoffers, aangiften, meldingen...?
Slachtoffers
- Zelfgerapporteerd
- Slachtofferschap
2
,Cybercrime samenvatting
- Veiligheidsmonitor CBS
Waarom strafbaarstelling cybercrime?
- Ter bescherming van bepaalde rechtsbelangen (“rechtsgoederen”): CIA van
computers/informatie maar ook: eigendom (geld), privacy, reputatie, integriteit, waardigheid
etc. van personen
Voorlopige definitie cybercrime (in dit vak)
- Cybercrime: bedreiging van de online security (waarbij de veiligheid van gegevens en
computers oftewel de CIA van gegevens en computersystemen het doelwit vormen) of de
online safety (waarbij de veiligheid van personen of van hun eigendommen, privacy,
integriteit, reputatie enz. het doelwit vormen en de computer als hulpmiddel/instrument, of
als medium/drager of werkwijze/omgeving fungeert) door criminelen (dus geen staten,
spionnen, terroristen) die (dankbaar) gebruik maken van de anonimiteit,
grensoverschrijdendheid en schaalbaarheid van het internet.
Waar strafbaar gesteld? Rechtsbronnen
- Cyberdelicten algemeen
o Nederlandse Wetboek van Strafrecht
+ wetsvoorstellen Computercriminaliteit I, II en III
o Cybercrimeverdrag (Raad van Europa) (2001)
- Online zedendelicten
o IVRK (Kinderrechtenverdrag) – VN Internationaal Verdrag inzake de Rechten van het
Kind (1989, Nederland: 1995)
o Verdrag van Lanzarote (Verdrag van de Raad van Europa inzake de bescherming van
kinderen tegen seksuele uitbuiting en seksueel misbruik) (2007)
o (Implementatie van de) Richtlijn 2011/93/EU van het Europees Parlement en de
Raad ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en
kinderpornografie (2011)
Computercriminaliteitswetgeving
- Historie Nederlandse computercriminaliteitswetgeving
o Wetboek van Strafrecht (cyberdelicten) en Wetboek van Strafvordering (digitale
opsporing) aangepast:
Computercriminaliteit I (1993) n.a.v. advies Commissie Franken
Computercriminaliteit II (2006) n.a.v. Cybercrimeverdrag
Computercriminaliteit III (2019) n.a.v. technologische ontwikkelingen
En allerlei losse wetsvoorstellen
3
, Cybercrime samenvatting
Week 1B: cyberdelicten
Hacken
- Daders (volgens prof. Herbert Bos)
o For the lulz – scriptkiddies
o For the cause - hacktivists/ethische hackers
o For the money – cybercriminelen
o For real - statelijke actoren
Allemaal strafbaar!
Responsible Disclosure
Victor Gevers, DIVD
- Oorzaken slachtofferschap en remedies
o 10% ondeugdelijke software of slecht beveiligde systemen (kwetsbaarheden)
technische beschermingsmaatregelen
o 90% de ‘menselijke factor’ (o.m. Social Engineering) ontwikkelen van digitale
vaardigheden en het veiligheidsbewustzijn van gebruikers
Cyberdelicten categorie 1
- Computervredebreuk (138ab lid 1 Sr)
- Malware (139d Sr)
- (Ransomware (350a Sr + ...))
- Botnet (138ab lid 3 sub a)
- Ddos-aanval (138b Sr jo. 161sexies)
- Spam
- Phishing
Computervredebreuk: geautomatiseerd werk
- Computervredebreuk (art. 138ab lid 1 Sr): Met gevangenisstraf (...) wordt, als schuldig aan
computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een
geautomatiseerd werk of een deel daarvan. Van binnendringen is in ieder geval sprake
indien de toegang tot het werk wordt verworven:
o a. Door het doorbreken van een beveiliging,
o b. Door een technische ingreep,
o c. Met behulp van valse signalen of een valse sleutel, of
o d. Door het aannemen van een valse hoedanigheid.
- Wat is een “geautomatiseerd werk”? zie art 80sexies Sr!
Computervredebreuk (hacken) – Jurisprudentie
- In een geautomatiseerd werk?
o Hof Den Haag 22 september 2020, ECLI:NL:GHDHA:2020:2005
Een FB-account is geen geautomatiseerd werk...en “behoort ook niet toe aan
het slachtoffer”
o Hoge Raad 24 december 2021, ECLI:NL:HR:2021:1944
..een website ‘op zichzelf’ niet kan worden aangemerkt als een
“geautomatiseerd werk”, maar....
Computervredebreuk: opzettelijk en wederrechtelijk
- Computervredebreuk (art. 138ab lid 1 Sr): Met gevangenisstraf (...) wordt, als schuldig aan
computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een
geautomatiseerd werk of een deel daarvan.
- Wat betekent opzettelijk en wederrechtelijk?
4