Kamerstuk 34372-13

Gewijzigd amendement van het lid Verhoeven c.s. ter vervanging van nr. 11 over geen gebruik maken van kwetsbaarheden in software

Dossier: Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III)


38,9 %
61,1 %

D66

Houwers

GrBvK

GrKÖ

GL

CU

PvdA

Monasch

PvdD

VVD

50PLUS

PvdA

PVV

SGP

CDA

Klein

Van Vliet

SP


Nr. 13 GEWIJZIGD AMENDEMENT VAN HET LID VERHOEVEN C.S. TER VERVANGING VAN DAT GEDRUKT ONDER NR. 11

Ontvangen 12 december 2016

De ondergetekenden stellen het volgende amendement voor:

I

In artikel II, onderdeel G, wordt in artikel 126nba in het eerste lid, aanhef, «binnendringt in een geautomatiseerd werk dat bij de verdachte in gebruik is» vervangen door: zonder gebruik te maken van kwetsbaarheden in software een geautomatiseerd werk dat bij de verdachte in gebruik is binnendringt.

II

In artikel II, onderdeel L, wordt in artikel 126uba in het eerste lid, aanhef, «binnendringt in een geautomatiseerd werk» vervangen door: zonder gebruik te maken van kwetsbaarheden in software een geautomatiseerd werk binnendringt.

III

In artikel II, onderdeel Q, wordt in artikel 126zpa in het eerste lid, aanhef, «binnendringt in een geautomatiseerd werk» vervangen door: zonder gebruik te maken van kwetsbaarheden in software een geautomatiseerd werk binnendringt.

Toelichting

Dit amendement beperkt de bevoegdheid voor de politie om geautomatiseerde werken binnen te dringen, er mag namelijk geen gebruik worden gemaakt van kwetsbaarheden in software. Het binnendringen van geautomatiseerde werken zonder gebruik van kwetsbaarheden in software kan bijvoorbeeld door middel van (spear)phishing technieken, oftewel het sturen van een misleidende email of bericht waarmee een verdachte verleid kan worden om een wachtwoord of logingegevens prijs te geven of om een technisch hulpmiddel zoals een keylogger of andere software te installeren, mits zonder het gebruik van kwetsbaarheden, waarmee vervolgens inloggegevens buitgemaakt kunnen worden. Een andere techniek is social engineering, waarmee door middel van psychologische manipulatie het uitvoeren van handelingen of het openbaar maken van vertrouwelijke informatie, zoals een wachtwoord of inloggegevens, uitgelokt kan worden. Daarnaast zijn technieken mogelijk als brute forcing, dictionary attacks of shoulder surfing.

Cybersecurity experts benadrukken vaak het feit dat de mens de zwakste schakel in ICT-systemen is. Volgens de «Cyber Security Intelligence Index 2015» komt 95 procent van alle beveiligingsincidenten voort uit menselijke fouten. Uit meerdere onderzoeken blijkt dat ook de criminelen die zich goed beveiligen steken laten liggen. Een sprekend voorbeeld daarvan is de uitbater van de ondergrondse digitale markt Silk Road.

Het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software is een extra bevoegdheid waarvan de noodzaak niet voldoende aangetoond is. Bovendien is het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software een onwenselijke bevoegdheid. Het maakt mensen onveilig omdat kwetsbaarheden in telefoons, tablets en andere apparaten blijven bestaan, waardoor mensen makkelijker slachtoffer kunnen worden van cybercrime. Hiermee zou de overheid een belang krijgen bij onveilige apparaten, zoals laptops, smartphones, wearables en computers en, gezien de brede definitie van «geautomatiseerde werken», ook pacemakers, auto’s en medische apparatuur. Dit zorgt ervoor dat hackers die fouten in software vinden eerder geneigd zullen zijn om gevonden fouten te verkopen aan bedrijven als HackingTeam of Gamma International dan ze te melden aan de maker van de software zodat ze gedicht kunnen worden. Dit kan bijvoorbeeld gaan om een fout in het besturingssysteem van smartphones.

In een tijd waarin vrijwel elk apparaat op het internet wordt aangesloten en onze veiligheid en onze economie steeds meer afhankelijk zijn van veilige ICT-systemen is het belangrijk dat de overheid zich juist inzet voor een veiliger internet. Deze bevoegdheid zou grote schade toebrengen aan onze economie en aan ons vestigingsklimaat. Daarnaast maakt het iedereen gevoeliger voor hacks door criminelen en landen als Rusland en China. Criminelen zullen makkelijker gegevens, zoals medische data, creditcardgegevens of inloggegevens, van gewone mensen buit kunnen maken. Daarom willen de indieners dat de overheid blijft werken aan een veiliger internet, veiligere software en sterke encryptie, alleen dan kunnen mensen veiliger gemaakt worden tegen criminelen en buitenlandse mogendheden.

Verhoeven Van Tongeren Gesthuizen