Tegenwoordig wordt een groot deel van ons leven gereguleerd door het internet. Zo gebruikt de overheid DigiD en de banken internetbankieren. Winkelen doen we niet meer in de winkel maar online in de enorme hoeveelheid aan webwinkels. Deze ontwikkelingen in de digitale dienstverlening maken ons leven een stuk makkelijker, maar brengen ook risico’s met zich mee. Aangezien we zo op deze digitale wereld leunen, is de impact groot wanneer er iets mis gaat. De afgelopen jaren hebben er bijvoorbeeld een groot aantal DDoS-aanvallen plaatsgevonden waardoor diverse apps plat hebben gelegen. Ter illustratie: in een zaak die dit jaar door een Haagse rechter is behandeld, wordt de verdachte verweten dat hij een Mirai botnet voor handen heeft gehad, daarmee heeft geadverteerd en dat hij daarmee DDoS-aanvallen heeft uitgevoerd op verschillende websites. Ook zou de verdachte deze websites hebben geprobeerd af te persen door bitcoins te vragen voor het stoppen van de DDoS-aanvallen. Digitale criminaliteit heeft in de regel gevolgen voor verschillende, grote groepen slachtoffers. Maar worden deze cybercriminelen eigenlijk wel aangepakt?
Wetgeving
Het Wetboek van Strafrecht zoals we dat nu kennen stamt uit 1986. In die tijd ontwikkelde de computer en het internet zich in een rap tempo. Met de komst van de digitalisering ontwikkelde zich ook de cybercriminaliteit. Steeds meer burgers werden het slachtoffer van digitale misdaden zoals hacken, phishing en online oplichting. Cybercriminaliteit ontwikkelde zich in hoog tempo maar de opsporingsbevoegdheden en het strafrecht waren (nog) niet altijd toegesneden op deze nieuwe ontwikkelingen. Als gevolg hiervan heeft de regering regelmatig nieuwe wetgeving moeten ontwikkelen. Sinds 1993 zijn de eerste digitale opsporingsbevoegdheden met het oog op cybercriminaliteit geïntroduceerd door middel van de Wet computercriminaliteit. Inmiddels zijn er een tweede en een derde versie van deze wet aangenomen. Door de invoering van deze wetten hebben de wetboeken op het gebied van straf- en strafprocesrecht een behoorlijke transformatie doorgemaakt en bevatten zij nu omvangrijke bevoegdheden op het gebied van digitale opsporing en bestraffing. Twee voorbeelden hiervan zijn hackbevoegdheden en de mogelijkheid tot het installeren van spyware. Deze bevoegdheden bevatten functionaliteiten waarmee computers en bestanden kunnen worden ingezien of waarmee op afstand camera’s kunnen worden aangezet.
Rechtspraak
Ondanks dat cybercriminaliteit inmiddels bij de wetgever op de radar staat, zijn computercriminelen nog altijd sneller dan dat de strafwet dit bij kan houden. Uit het vonnis van de hierboven genoemde Haagse zaak blijkt dat strafrechters hier ook tegenaan lopen. In dit geval is de Haagse rechter echter met zijn tijd meegegaan door de wet anno nu toe te passen:
‘’De rechtbank merkt hierbij ten overvloede op dat artikel 317 van het Wetboek van Strafrecht (hierna: Sr) een gedraging van de dader vereist (het middel geweld of bedreiging met geweld) om het slachtoffer te dwingen (causaal verband) tot een prestatie (het gevolg). In de onderhavige zaak betreft het feiten die met behulp van een computer en het internet worden gepleegd, waarbij er geen rechtstreeks fysiek contact is tussen de dader en het slachtoffer. DDoS-aanvallen vinden plaats in de digitale wereld, maar veroorzaken niet slechts digitale schade bij het slachtoffer. Websites en servers worden onbruikbaar gemaakt en er moeten maatregelen worden genomen om de aanval af te slaan en de website en server te herstellen. Een DDoS-aanval is daarom een vorm van cybercriminaliteit die naar het oordeel van de rechtbank zonder meer kan worden gekwalificeerd als geweld.’’
Preventie
Naast ontwikkelingen in wetgeving en in de rechtspraak zien we dat er bij diverse afdelingen van de overheid zoals het Ministerie van Justitie en Veiligheid, Ministerie van Economische zaken en de politie, ook veel aandacht is voor de preventie van cybercriminaliteit. Er zijn diverse campagnes opgestart om burgers bewust te maken van de gevaren die in de digitale wereld op de loer liggen. Zo kennen we in Nederland het Nationaal Cyber Security Centrum dat bijdraagt aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein. Ook zijn er diverse platforms die burgers voorlichten over veilig internetbankieren en het herkennen van phishing e-mails.
Nederland is (nog) niet voorbereid op grote cyberaanvallen
Deze preventieve maatregelen zijn het begin van awareness, maar vandaag verscheen er in het nieuws een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) waarin wordt geconcludeerd dat Nederland (nog) niet klaar is voor grote cyberaanvallen. De WRR stelt dat er de afgelopen jaren hard is gewerkt aan het voorkomen van digitale ontwrichting, maar, zo zegt de WRR, 100% veiligheid bestaat niet, ook niet in het digitale domein. De overheid moet zich beter voorbereiden op een situatie waarin de digitale wereld wordt ontwricht, net zoals ze dat doen bij dreiging tot ontwrichting van onze fysieke wereld bijvoorbeeld door een crisisopvang. Volgens WRR moet de overheid zich niet alleen richten op het voorkomen van digitale incidenten, maar ook op de beheersing daarvan. De bevoegdheden van de overheid om een cyberaanval op te vangen en de schade te beheersen zijn volgens WRR nog niet sluitend.
Nieuwe ontwikkelingen bieden criminelen uitdagingen in een (vaak) nog niet gereguleerd speelveld. Hoewel de (straf)wetten worden aangepast om deze cybercriminelen op te kunnen sporen en aan te kunnen pakken en rechters de oude wetten op moderne wijze interpreteren, zijn we er dus nog niet. Preventie lijkt dan ook een belangrijke factor in de bestrijding van cybercriminaliteit, maar zoals door WRR in haar rapport beargumenteerd, is een betere voorbereiding door de overheid op digitale verstoringen noodzakelijk.