Hoorcollege 1: Criminologisch en juridisch kader
29-10-2019
Oude wijn in nieuwe zakken: in hoeverre gaat het om nieuwe criminaliteit of gaat het meer om
traditionele vormen van criminaliteit die nu via het internet worden gepleegd?
Recente incidenten – hacken
Hacken kan op veel verschillende manieren. De makkelijkste manier is wachtwoord raden. Het kan
ook op technisch, geavanceerde manier of door social engineering of phishing waarbij mensen zelf
hun inloggegevens aan je verstrekken. Zowel individuen als grote organisaties kunnen gehackt
worden.
Recente incidenten – malware
Malicious software. Technische criminaliteitsvorm. Er zijn verschillende vormen van malware via
telefoons, Whatsapp, phishing e-mails, etc. De verschillende vormen hebben verschillende functies.
Vorm van malware die veel in het nieuws is geweest: gijzelsoftware oftewel ransomware. Vooral
bedrijven hebben daar nog veel mee te maken en bij individuen lijkt het af te nemen. Bij deze vorm
kan je zelf niet meer bij je bestanden. Het is vaak het makkelijkst je ransom (dus de criminelen) te
betalen zodat je je bestanden terugkrijgt. Criminelen gaan hier steeds slimmer mee om.
Recente incidenten – DdoS
Technische vorm van cybercrime, vooral voorkomend bij bedrijven. Er wordt veel schade aangericht,
terwijl vaak achteraf blijkt dat het een jonge jongen was die op een zolderkamertje de aanval heeft
gekocht op het dark web. Zelf zijn technische vaardigheden niet per se nodig hiervoor. Politie vraagt
zich af wat ze moet met deze jonge daders die zich waarschijnlijk niet zo bewust zijn van de
hoeveelheid schade die ze aanrichten. Ze doen het voor de lol en hebben het op internet gekocht.
Recente incidenten – online seksuele delicten
Kinderporno is duidelijk voorbeeld van zo’n delict. Dit gebeurt voornamelijk via het internet. Er wordt
steeds meer kinderporno gemeld en lijkt steeds belangrijkere vorm van cybercrime te worden.
Ander voorbeeld is kindermisbruik: dit bestond al, maar kan nu ook grenzen overschrijden
(krantenartikel man uit Rotterdam misbruikt kind in Nepal).
Ander voorbeeld is sexting en dat foto’s en video’s op pornosites belanden.
Recente incidenten – uiting/contact delicten
Voorbeeld is chantage met naaktfoto’s.
Andere vorm van online bedreiging/manipulatie is gebruik van deepfakes: video’s die zo echt lijken
(iemand heeft iets gezegd/gedaan dat niet zo is; het is gemanipuleerd) en die kunnen worden
gebruikt voor oplichting of afpersing.
Dus naast technische en seksuele delicten zijn er communicatie-achtige delicten die allemaal onder
cybercrime vallen.
Recente incidenten – online oplichting / identiteitsfraude
Nieuwe vorm van Marktplaatsfraude: betaallinkfraude. Betaallink wordt verstuurd (soort phishing e-
mail, maar dan op meer interactieve manier) en via die link willen ze je bankgegevens krijgen. Vragen
1
,om 1 cent over te maken op bepaalde link. Deze leidt tot pagina waar alle gegevens worden
afgevangen en zo proberen ze misbruik te maken van je gegevens.
Vaak gaat het ook om identiteitsfraude. Het komt bijna altijd neer op het gebruiken van iemands
anders identiteit / een valse identiteit, om mensen mee te verleiden (bijv. mensen ervan overtuigen
dat je betrouwbaar bent).
Recente incidenten – online handel in illegale producten
Online marktplaatsen waar illegale spullen worden verkocht. Dat gebeurt soms gewoon op de
gewone marktplaats zelf (bijv. gestolen fiets), maar het wordt meer cyber als je het gaat hebben over
marktplaatsen die zich op het dark web bevinden waar daders en verkopers zich anoniem kunnen
begeven.
Cybersecurity Beeld Nederland (CSBN) – Aanbevolen literatuur
Samenvatting van rapport zie link PowerPoint.
Het wordt steeds makkelijker cybercrime te plegen en er wordt nog weinig geïnvesteerd in
cybersecurity en beveiliging door bijv. bedrijven (heeft vooral te maken met hoge kosten en
opbrengsten van investeringen zijn minder goed zichtbaar). Dus weerbaarheid van vooral bedrijven is
daarbij erg belangrijk. Ander belangrijk punt dat zij noemen is dat we heel afhankelijk zijn van ICT op
het moment. Als er iets gebeurt, zijn er steeds meer gevolgen. Vooral hoofdstuk 4 uit rapport is
interessant, omdat er veel recente ontwikkelingen naar voren komen en nieuwe wetgeving en
impact die dat mogelijk gaat hebben.
Juridisch deel: Anne de Hingh
Law in action: “Het wetenschappelijk onderwijs aan de faculteit in het recht en in de criminologie
staat in verbinding met actuele en maatschappelijke thema’s, samengevat in het motto: Law in
Action”
Noodzaak van nieuwe wetgeving en effectiviteit van wetgeving.
Wat mag de politie bij de digitale opsporing? Gaat dat te ver of niet ver genoeg? Opsporingsbelang
aan ene kant en privacy aan andere kant.
Cybercrime is vanuit juridisch oogpunt onderdeel van het internetrecht. Internetrecht is niet een op
zichzelf staande discipline, maar het doorsnijdt allerlei andere rechtsgebieden. Privaatrecht heeft
allerlei digitale componenten: contracten, sharing economy platforms, etc.
Voldoet oude, bestaande wetgeving in grote lijnen en zijn kleine aanpassingen voldoende om de
ontwikkelingen te kunnen ondervangen? Of hebben we het over een hele andere context die ook
vraagt om heel andere soort wetgeving? Als dat laatste zo is, op welke manier is het dan anders? In
hoeverre is het internet anders dan de fysieke wereld? Het internet is wereldwijd (het kent geen
grenzen), interactie tussen dader en slachtoffer is vaak op afstand en er is sprake van
anonimiteit/pseudonimiteit/vermomming, je kan doen alsof je iemand anders bent. Het internet is
schaalbaar (je kunt grote winsten behalen door aggregatie van kleine winsten van veel slachtoffers).
Er is sprake van een informatie-economie: gegevens zijn geld waard dus er is echt een incentive voor
criminaliteit. Dus deze eigenschappen van het internet (anonimiteit, schaalbaarheid, grenzeloosheid)
2
,maken cybercrime mogelijkheid. De criminaliteit neemt deze eigenschappen ook over: het wordt
anoniem, schaalbaar en grenzeloos.
Cyberwetgeving
Toekomstbestendigheid: neutraal.
Rechtszekerheid: specifiek.
Doordat de drie eigenschappen doorslaggevend zijn, zijn er gevolgen voor de manier waarop het
recht zich verhoudt tot wat er online gebeurt. Hoe moet het recht omgaan met specifieke
eigenschappen van het internet die als gevolg hebben dat bepaalde vormen van criminaliteit zich
voordoen? Het is moeilijk als wetgever om het recht aan te passen aan die nieuwe omgeving. Aan de
ene kant zijn wetgevingsprocessen traag (het duurt lang om nieuwe wetten te maken) en loopt het
recht dus altijd achter op technologische ontwikkelingen. Anderzijds is de traagheid functioneel. Het
is onwenselijk als wetten er doorheen worden gejaagd. Wetten moeten nauwkeurig en zorgvuldig
worden geformuleerd, omdat we precies als burgers moeten weten waar we aan toe zijn (dit hangt
samen met de rechtszekerheid). Dus quality of law eis (rechtszekerheid) en aan andere kant wil je als
wetgever kunnen inspelen op technologische ontwikkelingen. Daarom kiest wetgever ervoor de wet
zo neutraal mogelijk te omschrijven. Als er snel nieuwe technologie is, zou je de wet weer moeten
aanpassen aan technologie. Er is dus spanningsveld tussen deze neutraliteit van wetgever en
rechtszekerheid die burgers nodig hebben. Dus spanningsveld tussen rechtszekerheid en
toekomstbestendigheid.
Afbakening onderwerp
We gaan het hebben over computercriminaliteit, maar over een aantal dingen ook niet. We gaan het
niet hebben over cyber-oorlog, cyber-spionage en cyber-terrorisme. We gaan het hebben over
computercriminaliteit in de enge zin van het woord. Het lastige is dat de grenzen tussen de
verschillende terreinen (cyber-oorlog en computercriminaliteit bijvoorbeeld) nogal dun en poreus
kunnen zijn. Bij cyberoorlog / cyberspionage kun je denken aan de Russen die computers hacken van
democratische partij in Amerika tijdens verkiezingen. Het ene land (statelijke actor) die de ander
probeert te verstoren en het democratische proces in dat andere land. Ook individuen zijn slachtoffer
van zo’n actie. Er lagen e-mails van leden van democratische partij op straat en dan kan je zeggen dat
ze slachtoffer zijn van computercriminaliteit. Om het vak overzichtelijk te houden, gaan we niet in op
zulke zaken, maar houden we ons bij computercriminaliteit waar statelijke actoren niet bij betrokken
zijn. Bij cyberoorlog zijn ook niet echt politie en OM en strafrecht, maar AIVD en oorlogsrecht,
betrokken.
We richten ons op cybercrime die vooral wordt gepleegd met als doel winst te maken of lol te
hebben. Het gaat in ieder geval niet om internationale politieke (terroristische) motieven.
Het juridisch kader is dus het strafrecht (Wetboek van Strafrecht & Strafvordering). Je hebt geen
wettenbundel nodig, maar je moet soms wel weten hoe een delictsomschrijving is samengesteld en
welke bestanddelen van delict van belang zijn wanneer je het hebt over strafbaarstelling van
bepaalde handeling.
Er is ook een internationaal Cybercrimeverdrag (2001/2004) leden Raad van Europa.
Er is ook nationale wetgeving (dit zijn geen aparte wetten, maar wijzigingen van Wetboek van
Strafrecht en Strafvordering):
Computercriminaliteit I (1993) n.a.v. Commissie Franken.
Computercriminaliteit II (2006) n.a.v. Cybercrimeverdrag.
Computercriminaliteit III (2019 in werking getreden).
3
, Modernisering Wetboek van Strafvordering.
Waarom is cybercrime eigenlijk strafbaar?
Heeft strafbaarstelling wel zin? Als het gaat over hacken, kan je de producenten aanspreken. Je kan
ook zeggen dat het je eigen schuld is (je koopt het dus moet je accepteren dat er iets kan gebeuren).
Je kan ook veel meer aandacht besteden aan voorlichting en preventie i.p.v. bestraffing.
De ratio van strafbaarstelling hangt samen met wens van samenleving/wetgever (politiek) om
bescherming te bieden aan rechtsgoederen (door de rechtsorde beschermde belangen, zoals orde,
rust, privacy). In het geval van cybercrime zou je kunnen denken dat er in zijn algemeenheid twee
grote rechtsgoederen zijn: veiligheid van burgers en wanneer die bedreigd worden (cybersafety) en
anderzijds veiligheid van systemen en wanneer die bedreigd worden (cybersecurity). Cybercrime
bedreigt dus deze twee rechtsgoederen (cybersafety en cybersecurity). Bij bedreiging van
cybersatefy door cybercrime kun je denken aan kinderporno (rechtsgoed: lichamelijke en geestelijke
integriteit). Bij bedreiging van cybersecurity door cybercrime gaat het meer over de systemen, de
computers, de data zelf. In het kader van cybersecurity spreek je dan wel van de CIA van
informatieveiligheid of security. CIA staat voor confidentiality, integrity en availability. Deze termen
geven aan dat je wil dat de data die overal op staan confidentieel (vertrouwelijk) zijn, dus niet op
straat komen te liggen. Dat ze integer zijn (dus niet aangepast / gewist e.d.) en dat ze available
(beschikbaar) blijven: dat ze beschikbaar blijven tot degene die er toegang tot heeft. In geval van
ransomware komt availability van je data in gevaar: je kan pas weer bij je gegevens als je betaalt.
Met het strafrecht worden de twee rechtsgoederen beschermd.
Wat is cybercrime?
Cybercrime: alles waarbij ICT van wezenlijk belangrijk is in modus operandi.
In de criminologie worden twee typen delicten onderscheiden:
1) Cybercriminaliteit (cyber-dependent)
Zoals hacking, DDoS aanvallen, malware/ransomware, etc.
Middel en doel is dan ICT in deze gevallen.
2) ‘Klassieke’ vormen gepleegd met nieuwe (digitale) middelen
Het gaat over gedigitaliseerde criminaliteit (cyber-enabled). ICT is hierbij wel van wezenlijk
belang.
Zoals fraude, stalking, kinderporno, illegale handel.
Indelingen/categoriseringen cyber-delicten
Computergericht, computer-gerelateerd, computerrelevant (Koops, Cybercrimeverdrag)
“Offences against the confidentiality, integrity and availability of computer data and systems,
computer-related offences, content-related offences”
Security (confidentiality, integrity, availability) – safety
Cybercrime in enge zin – cybercrime in brede zin
High tech crime, cybercrime, cyber-enabled crime (Team High Tech Crime)
Cyber-trespass, cyber-deceptions/theft, cyber-pornography/obscenity, cyber-violence (Wall,
2001)
Wat is cybercrime?
4
, Let op: er zijn mengvormen mogelijk en er is een continuüm van high tech crime naar meer softe
vormen van cybercrime. Er zijn ook andere indelingen mogelijk.
Cyber = sexy begrip, hoe belangrijk is cyber-component?
Je kan cybercrime meteen problematiseren als term voor het vak. Het is een ingeburgerde term (in
Nederlands: computercriminaliteit).
Mogelijkheden onderzoek/opsporing/vervolging
Data: open bronnen, data-analyse, commerciële data, data in de cloud, encryptie van data etc,
maar ook:
- Kunstmatige intelligentie, robots
- Virtual reality, augmented reality
- Drones
- Internet of Things
- Blockchain
- Biometrie
- Private initiatieven, online investigations, social media, burgerdetectives, etc.
Geschiedenis/ontwikkeling
Nederland wordt als doorvoerland gebruikt door daders, omdat we goede systemen hebben waar
goed gebruik van gemaakt kan worden. Sinds uitvinding computer is er groei van individueel gebruik
(iedereen heeft toegang) en bedrijfsmatig gebruik (steeds meer bedrijven maken op allerlei manieren
gebruik van ICT en sommigen zijn er volledig van afhankelijk; liggen grote risico’s). Bovendien steeds
meer toepassingen van ICT. Je kan van alles online doen en er zijn veel gelegenheden op dat gebied.
De opkomst van het internet maakt veel mogelijk: steeds meer connecties tussen mensen mogelijk
(op afstand), waardoor een dader vele slachtoffers in één keer kan maken. Er is steeds grotere
toename in aantal mogelijkheden/gelegenheden/targets dat kan worden benadeeld door
cybercriminaliteit.
In artikel van Grabosky worden drie ontwikkelingen besproken:
1) Sophistication (verfijning)
Aanvallen worden steeds vernuftiger, ingewikkelder, slimmer. Ook op psychologisch gebied
wordt het steeds moeilijker om phishing aanvallen te onderscheiden van echte e-mails. Ook groei
van unsophisticated: cybercrime as-a-service; het wordt steeds meer mogelijk om cybercrime te
kopen van mensen die de kennis hebben en bijv. via dark web beschikbaar stellen.
2) Commercialization
Tools worden beschikbaar gesteld en verkocht aan iedereen die dat wil gebruiken. Er is ook
commercialisering van internet; steeds meer online digitale aankopen, transacties, hierdoor ook
steeds meer gelegenheid voor financieel gemotiveerde criminaliteit.
3) Organization
Steeds meer organized cybercrime met specialisaties. Ook online ontmoetingsplaatsen &
marktplaatsen. Typen groepen/rollen interessant, maar geen tentamenstof.
Huidige ontwikkelingen Grabosky
Misbruik van Wifi-signalen
Cloud computing (alle data staat in de cloud waar iedereen bij kan: risico voor toekomstige
criminaliteit).
Risico van Skype
5