Justitie & onveilige ICT
De overheid is een vat vol tegenstrijdigheden. Terwijl de Cyber Security Raad volop werk verzet om de aandacht voor informatiebeveiliging te vergroten, is de Nederlandse wetgever bezig wetgeving die de security van ICT ondermijnt.
Ik heb het over verfoeilijke voorstel voor de Wet Computercriminaliteit III, momenteel ter behandeling in de Eerste Kamer.
Als de senatoren hun fiat aan het wets-voorstel geven, wordt het wapenarsenaal van justitie uitgebreid met het recht om bij bepaalde ernstige strafbare feiten computers te hacken. Legaal justitieel hacken, dus. Menigeen is inmiddels – tevergeefs – te hoop gelopen tegen die uitbreiding van het pakket van strafrechtelijke bevoegdheden. De mogelijkheid dat justitie heimelijk kan gaan snuffelen in andermans computer past kennelijk in een tijd waarin het strafrecht als Haarlemmerolie tegen alle maatschappelijke kwalen wordt ingezet. Ik behoor niet tot die kring van ‘true believers’ in het strafrecht.
Het ligt voor de hand dat justitie bij het hacken van iemands computer of smartphone waar mogelijk gebruik zal maken van een of meer bestaande kwetsbaarheden in het apparaat. Wel zo handig bij het opsporingswerk. Voor dat werk is de overheid dus gebaat bij onveilige en kwetsbare software. Het zou dus naïef zijn om te veronderstellen dat de overheid steeds belang heeft bij veilige en integere ICT.
Wat moet justitie doen als zij bij haar werk tegen kwetsbaarheden in de security van bestaande producten en diensten aanloopt? Het wetsvoorstel gaat er impliciet vanuit dat beveiligingslekken bij de producent van de ICT worden gemeld. Mooi, want zo kunnen de makers die informatie betrekken bij het produceren van nieuwe beveiligingspatches. Een fraaie gedachte, ware het niet dat die spelregel in het wetsvoorstel een bedenkelijke uitzondering kent. Als er een ‘zwaarwegend opsporingsbelang’ is, hoeft zo’n melding niet te worden gedaan. Dan wint het strafrecht het dus van de security. In zo’n geval mag justitie willens en wetens het beveiligingslek in stand laten. Dan houdt de overheid de kwetsbaarheid welbewust onder de pet. Willen we in ons land zo met IT-security omgaan?
Kijk je naar het wetsvoorstel, dan zal justitie voor het achterwege laten van een melding aan de producent wel eerst toestemming van de rechter moeten krijgen. Ziet u het voor u? De rechter die achter zijn bureautje zit te worstelen met de vraag hoe ernstig en maatschappelijk risicovol een beveiligingslek in een product of dienst is. En met de vraag of de individuele strafzaak van veel groter belang is? Een schier onmogelijke opgave. Want wat weet die arme rechter nou echt van security? De kans is dan groot dat de security dan aan het kortste eind trekt. Justitie wint altijd. De overheid is er voor de overheid, niet voor uw IT-security.
Beste iBestuur,
Waar zijn onveiligheden voor burgers te melden?
Gezocht, niet te vinden.
Een organisatie die de klant vraagt het sofinummer
in te vullen samen met naam, adres, telefoonnummer, gender.
Vind ik verdacht.
180000 ID-frauden in Nederland.
Met vriendelijke groet,
Joop ter Stege