Handleiding ethisch hacken: do's and don'ts
Hacken, het binnendringen in een geautomatiseerd werk, is strafbaar gesteld in artikel 138ab Wetboek van Strafrecht. De strafrechtelijke term voor hacken is 'computervredebreuk'.
Hacken is slechts strafbaar indien dit wederrechtelijk gebeurt. In strikte zin wordt met wederrechtelijkheid bedoeld: 'zonder daartoe gerechtigd te zijn'. Het binnendringen in je eigen geautomatiseerde werk, of met toestemming binnendringen in het geautomatiseerde werk van een derde, is uiteraard niet strafbaar.
De term 'ethisch hacken' veronderstelt goede bedoelingen bij de hacker, bijvoorbeeld het aan het licht willen brengen van ICT-kwetsbaarheden of andere misstanden. Toch maakt ook een hacker met goede bedoelingen zich mogelijk schuldig aan overtreding van artikel 138ab Wetboek van Strafrecht.
Alvorens een hacker zich succesvol kan beroepen op het ontbreken van de wederrechtelijkheid van zijn handelen – en daarmee op het ontbreken van de strafbaarheid ervan – dient hij bepaalde voorwaarden te hebben nageleefd.
De officier van justitie bepaalt of een strafrechtelijk onderzoek noodzakelijk is en bepaalt of een hacker verantwoording dient af te leggen aan een rechter. Bij afweging van de vraag of er al dan niet sprake is van een strafbare gedraging zal de officier van justitie beslissen conform de beleidsbrief van het College van procureurs-generaal. In de beleidsbrief wordt een aantal uitgangspunten geformuleerd die de officier van justitie dient te betrekken bij de vraag of er wel of geen vervolging tegen de hacker dient te worden ingesteld.
Deze uitgangspunten komen in grote lijnen overeen met het toetsingskader zoals neergelegd in de jurisprudentie. De rechtbank Oost-Brabant overwoog in 2013 in de zaak tegen Henk Krol (hierna: zaak Krol) als volgt:
''Vooropgesteld dient te worden dat elke inbreuk op een geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is, tenzij hogere belangen een dergelijke inbreuk rechtvaardigen. Bij de beoordeling van de vraag of in een concreet geval sprake is van dergelijke hogere belangen zijn drie factoren van belang. In de eerste plaats dient te worden beoordeeld of de hacker heeft gehandeld in het kader van een wezenlijk maatschappelijk belang. Indien deze vraag bevestigend wordt beantwoord dient de rechtbank te beoordelen of de hacker met zijn handelen heeft voldaan aan de eisen van proportionaliteit en subsidiariteit.''
De Haagse rechtbank gebruikte in 2014 hetzelfde toetsingskader in de zaak tegen de hacker van het Groene Hart Ziekenhuis (hierna: zaak Groene Hart Ziekenhuis). In beide zaken kon het handelen van de verdachte de eisen die aan ethisch hacken worden gesteld niet doorstaan. Weliswaar was er in beide zaken sprake van een wezenlijk maatschappelijk belang, maar hebben de verdachten de eisen van proportionaliteit en subsidiariteit onvoldoende nageleefd. Hierdoor slaagde een beroep op artikel 10 Europees Verdrag voor de Rechten van de Mens niet.
Zowel Henk Krol als de hacker van het Groene Hart Ziekenhuis is strafrechtelijk veroordeeld. Het is derhalve raadzaam om als ethisch hacker de navolgende voorwaarden, uit de beleidsbrief en de jurisprudentie, zo strikt mogelijk na te leven, teneinde een strafrechtelijke vervolging of veroordeling op grond van artikel 138ab Wetboek van Strafrecht te voorkomen.
I. Wezenlijk maatschappelijk belang
In de eerste plaats moet de hack(er) een wezenlijk maatschappelijk belang dienen. Op grond van de beleidsbrief beoordeelt de officier van justitie of het handelen van de hacker noodzakelijk was binnen een democratische samenleving. Met andere woorden: was er een zwaarwegend algemeen belang?
In de zaak Krol en de zaak Groene Hart Ziekenhuis is door de rechtbank bepaald dat het aantonen van gebreken in de beveiliging van vertrouwelijke, medische gegevens en persoonsgegevens een wezenlijk maatschappelijk belang kan dienen.
Een nadere uitwerking van dit criterium is helaas niet gegeven. De voorwaarde dat er sprake moet zijn van een wezenlijk maatschappelijk belang geeft in ieder geval aan dat hier hoge eisen aan worden gesteld. Of er sprake is van een wezenlijk maatschappelijk belang hangt sterk af van de omstandigheden van het geval.
II. Eis van proportionaliteit
In de tweede plaats moet de hack(er) voldoen aan de eis van proportionaliteit. De eis van proportionaliteit houdt in dat de hacker binnen de grenzen van het noodzakelijke moet zijn gebleven om zijn doel te bereiken. Met andere woorden: stond het gekozen middel in verhouding tot het te bereiken doel?
De manier waarop de hacker toegang heeft gekregen tot het ICT-systeem is daarbij van belang. Indien daarvoor op onevenredige wijze is gehandeld, is er volgens het Openbaar Ministerie geen sprake van een ethische hack. De officier van justitie let daarbij in elk geval op factoren zoals omschreven in de Leidraad voor responsible disclosure, bladzijde 8 onder punt 4.2:
''De melder zal niet op onevenredige wijze handelen:
- door gebruik te maken van social engineering om zich op die wijze toegang te verschaffen en tot het systeem.
- door een eigen backdoor in een informatiesysteem plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
- door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
- door gegevens van het systeem te kopiëren, te wijzigen of te verwijderen. Een alternatief hiervoor is het maken van een directory listing van een systeem.
- door veranderingen in het systeem aan te brengen.
- door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen.
- door gebruik te maken van het zogeheten “bruteforcen” van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.''
Uit deze factoren blijkt dat zorgvuldigheid en terughoudendheid is vereist. Er mag zo min mogelijk schade worden aangericht aan het ICT-systeem. De rechtbank Den Haag heeft in de zaak Groene Hart Ziekenhuis desalniettemin overwogen dat het plaatsen van malware, een zelfstandig strafbaar feit, onder omstandigheden noodzakelijk kan zijn, en dus niet per definitie in strijd hoeft te zijn met de eis van proportionaliteit:
''Hoewel verdachte geen toestemming had om de server van het GHZ binnen te dringen en hij bovendien een bestand (\Omniback\i386\instellservice.exe) heeft geplaatst, dat kan worden aangemerkt als malware (p. 120), is de rechtbank van oordeel dat deze handelingen van verdachte noodzakelijk waren om aan te tonen dat het netwerk van het GHZ slecht beveiligd was.''
In zowel de zaak Krol als de zaak Groene Hart Ziekenhuis liep het verweer stuk op de eis van proportionaliteit. In de zaak Krol was de rechtbank van oordeel dat de verdachte, mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten, zich had moeten beperken tot het hoogst noodzakelijke:
''Verdachte heeft echter meer en vaker dan één maal gegevens geraadpleegd en uitgeprint. In het licht van het door [verdachte] gestelde doel waartoe hij de gegevens raadpleegde en uitprintte, te weten bevestiging van het verhaal van [medeverdachte] en vergaring van bewijs om later het probleem tegenover [gegevensbeheerder] en eventuele anderen aan te kunnen tonen, bestond hiertoe geen enkele noodzaak. [verdachte] heeft voor dat deel van zijn handelen de grens van proportionaliteit overschreden.''
Ook in de zaak tegen de hacker van het Groene Hart Ziekenhuis werd niet aan de eis van proportionaliteit voldaan:
''De rechtbank overweegt evenwel dat verdachte vervolgens gedurende een week meermalen opnieuw zonder toestemming in het systeem van het GHZ heeft ingelogd en bestanden heeft gedownload, terwijl verdachte heeft verklaard dat hij reeds op 26 september 2012 aan [naam journalist] had gemeld dat de beveiliging van het GHZ niet op orde was (p. 537) en hij dus kennelijk op die datum al voldoende informatie had verzameld. Bovendien heeft verdachte verklaard dat hij in de door hem aangetroffen patiëntgegevens heeft gezocht naar informatie over derden, niet alleen familieleden en een vriend, maar ook een ‘bekende Nederlander’ als [naam]. In het licht van het door verdachte gestelde doel, te weten aantonen dat het computersysteem van het GHZ slecht beveiligd was, bestond hiertoe geen enkele noodzaak, zeker niet gelet op de zeer vertrouwelijke aard van de gegevens. ''
De conclusie is dat aan de eis van proportionaliteit niet snel voldaan wordt. De ethisch hacker zal zich dienen te beperken tot het hoogst noodzakelijke, en zich steeds bewust moeten zijn van het feit dat het overschrijden hiervan leidt tot een strafbare gedraging.
III. Eis van subsidiariteit
Tot slot moet de hacker voldoen aan de eis van subsidiariteit. De eis van subsidiariteit houdt in dat er voor de hacker geen andere, minder vergaande manieren waren om zijn doel te bereiken. In de beleidsbrief staat het als volgt omschreven:
''Is de hack direct gemeld aan de eigenaar van het ICT-systeem of heeft de hacker dit niet terstond gedaan om bijvoorbeeld sporen te wissen, gegevens te manipuleren, te kopieën of te verwijderen? Indien sporen zijn gewist, gegevens zijn gemanipuleerd of verwijderd is er geen sprake van een ethische hack.''
Ethisch hacken vraagt om een goede afwikkeling van de vondst van het lek, zoals het direct melden aan de eigenaar van het ICT-systeem. Het melden van een lek kan echter grote risico’s met zich meebrengen, zoals een strafrechtelijke veroordeling. Ethisch hackers die liever geen risico willen nemen, melden het lek liever anoniem. Vaak wordt dit gedaan via een journalist of een andere tussenpersoon, zoals ook in de zaak Henk Krol en de zaak Groene Hart Ziekenhuis.
In de zaak tegen de hacker van het Groene Hart Ziekenhuis werd volgens de rechtbank voldaan aan de eis van subsidiariteit:
''De rechtbank is voorts van oordeel dat er voor verdachte geen andere, minder vergaande manieren waren om zijn doel te bereiken en dat verdachte derhalve heeft voldaan aan de eis van subsidiariteit. De rechtbank overweegt daartoe dat verdachte zijn bevindingen heeft gemeld bij een journalist ([naam journalist]) bij wie hij eerder bevindingen had gemeld, met wie hij een vertrouwensrelatie had opgebouwd en van wie hij wist dat deze, voordat hij de bevindingen zou publiceren, het GHZ eerst de gelegenheid zou bieden adequate maatregelen te treffen om te voorkomen dat gevoelige gegevens in de openbaarheid terecht zouden komen. De rechtbank neemt bovendien in aanmerking dat verdachte ter terechtzitting heeft verklaard dat hij zijn bevindingen een eventuele volgende keer beter bij het Nationaal Cyber Security Centrum (NCSC) zou melden, maar dat deze organisatie ten tijde van de hack op het GHZ nog niet bestond.''
Het feit dat de verdachte op een verantwoorde wijze is omgegaan met zijn bevindingen, maakt dat de hij heeft voldaan aan de eis van subsidiariteit, ook al heeft hij het lek niet direct gemeld aan de eigenaar van het ICT-systeem. In de zaak Henk Krol kon de toets de eis van subsidiariteit echter niet doorstaan:
''Verdachte heeft het door hem gesignaleerde probleem bij [gegevensbeheerder] gemeld. Hij kreeg een telefoniste aan de lijn en heeft gevraagd naar de leiding. De telefoniste heeft verdachte niet doorverbonden met de leiding van [gegevensbeheerder], maar heeft hem verzocht een en ander op schrift te stellen.
Verdachte voelde zich hierdoor niet serieus behandeld en heeft daarna vrijwel meteen contact gezocht met Omroep Brabant.
Na de komst van Omroep Brabant heeft verdachte wederom met behulp van medeverdachte [medeverdachte] ingelogd in het computersysteem van [gegevensbeheerder] en 5 à 6 dossiers bekeken in aanwezigheid van een of meer journalisten van Omroep Brabant.
Naar het oordeel van de rechtbank was het allerminst noodzakelijk om voor de oplossing van het door verdachte gesignaleerde probleem meteen naar de media te stappen.
De rechtbank constateert in dit verband dat er geen sprake was van een technisch gebrek aan het computersysteem van [gegevensbeheerder], maar dat één gebruiker onzorgvuldig met zijn inloggegevens en wachtwoord was omgegaan. Er waren voor verdachte geen concrete aanwijzingen dat andere personen dan medeverdachte [medeverdachte] over deze inloggegevens beschikten.
Verdachte had onder deze omstandigheden de tijd moeten nemen om [gegevensbeheerder] gericht te benaderen.
Verdachte had na zijn eerste telefonische poging niet meteen mogen opgeven en had opnieuw kunnen aandringen op een gesprek met de betreffende verantwoordelijke(n), zo nodig onder vermelding wat zijn vervolgstappen zouden zijn indien er in zijn beleving (opnieuw) geen serieuze reactie zou volgen van de zijde van [gegevensbeheerder]. De rechtbank merkt hierbij op dat van verdachte, gezien zijn positie als Statenlid en als verslaggever, zonder meer verwacht mag worden dat hij in staat is zonder al te veel (verdere) moeite de juiste persoon binnen de organisatie van [gegevensbeheerder] te benaderen en daar het geconstateerde probleem op een adequate manier onder de aandacht te brengen.''
Het probleem was naar het oordeel van de rechtbank niet zodanig acuut dat onmiddellijke inschakeling van de media noodzakelijk was. Het inschakelen van de media op de wijze zoals verdachte heeft gedaan, voldoet niet aan de eis van subsidiariteit. Ethisch hacken vraagt, nogmaals, om een verantwoorde afwikkeling van de vondst van het lek
Conclusie
Vooraf kan niet met zekerheid worden vastgesteld of een hack als 'ethisch' kan worden aangemerkt. Of een hack strafbaar is, is sterk afhankelijk van de omstandigheden van het geval. Hoewel de ethisch hacker altijd risico loopt, wordt de kans op vervolging of veroordeling sterk verminderd, als aan de eisen, zoals hiervoor besproken, is voldaan.
Voor de rechtszekerheid is het echter van belang dat de voorwaarden nog helderder worden gedefinieerd, zodat hackers met goede bedoelingen kunnen blijven bijdragen aan een veiligere digitale samenleving, zonder het risico te lopen van een strafrechtelijke vervolging en veroordeling.
Den Haag, 10 augustus 2016 door Casper Scheurwater
Diensten Kaarls Strafrechtadvocaten
Verdachten
Kaarls Strafrechtadvocaten heeft ruime ervaring in het bijstaan van (ethisch) hackers. Zo was Bob Kaarls de raadsman van de verdachte in de zaak Groene Hart Ziekenhuis (zie pagina computercriminaliteit). Indien u als (ethisch) hacker wordt verdacht van computervredebreuk, staat Kaarls Strafrechtadvocaten u hierin bij. Mogelijk kan in uw zaak succesvol een sepot worden bereikt.
Organisaties
Elke organisatie kan op enig moment worden geconfronteerd met een (ethisch) hacker. Het adequaat afhandelen van dergelijke meldingen voorkomt negatieve publiciteit. Kaarls Strafrechtadvocaten adviseert uw bedrijf of organisatie wanneer een (ethisch) hacker zich meldt, zowel in een strafrechtelijk als buitenrechtelijk traject.
Ook kan Kaarls Strafrechtadvocaten uw organisatie adviseren in het opzetten van een preventief beleid in responsible disclosure.
Meer informatie? Neem contact op met Bob Kaarls of bel of e-mail naar ons kantoor.
