Ontvangen 1 december 2016
De ondergetekenden stellen het volgende amendement voor:
In artikel II, onderdeel G, wordt in artikel 126nba in het eerste lid, aanhef, «binnendringt in een geautomatiseerde werk dat bij de verdachte in gebruik is» vervangen door: zonder gebruik te maken van kwetsbaarheden in software een geautomatiseerd werk dat bij de verdachte in gebruik is binnendringt.
Dit amendement beperkt de bevoegdheid voor de politie om geautomatiseerde werken binnen te dringen, er mag namelijk geen gebruik worden gemaakt van kwetsbaarheden in software. Het binnendringen van geautomatiseerde werken zonder gebruik van kwetsbaarheden in software kan bijvoorbeeld door middel van (spear)phishing technieken, oftewel het sturen van een misleidende email of bericht waarmee een verdachte verleid kan worden om een wachtwoord of logingegevens prijs te geven of om een technisch hulpmiddel zoals een keylogger of andere software te installeren, mits zonder het gebruik van kwetsbaarheden, waarmee vervolgens inloggegevens buitgemaakt kunnen worden. Een andere techniek is social engineering, waarmee door middel van psychologische manipulatie het uitvoeren van handelingen of het openbaar maken van vertrouwelijke informatie, zoals een wachtwoord of inloggegevens, uitgelokt kan worden. Daarnaast zijn technieken mogelijk als brute forcing, dictionary attacks of shoulder surfing.
Cybersecurity experts benadrukken vaak het feit dat de mens de zwakste schakel in ICT-systemen is. Volgens de «Cyber Security Intelligence Index 2015» komt 95 procent van alle beveiligingsincidenten voort uit menselijke fouten. Uit meerdere onderzoeken blijkt dat ook de criminelen die zich goed beveiligen steken laten liggen. Een sprekend voorbeeld daarvan is de uitbater van de ondergrondse digitale markt Silk Road.
Het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software is een extra bevoegdheid waarvan de noodzaak niet voldoende aangetoond is. Bovendien is het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software een onwenselijke bevoegdheid. Het maakt mensen onveilig omdat kwetsbaarheden in telefoons, tablets en andere apparaten blijven bestaan, waardoor mensen makkelijker slachtoffer kunnen worden van cybercrime. Hiermee zou de overheid een belang krijgen bij onveilige apparaten, zoals laptops, smartphones, wearables en computers en, gezien de brede definitie van «geautomatiseerde werken», ook pacemakers, auto’s en medische apparatuur. Dit zorgt ervoor dat hackers die fouten in software vinden eerder geneigd zullen zijn om gevonden fouten te verkopen aan bedrijven als HackingTeam of Gamma International dan ze te melden aan de maker van de software zodat ze gedicht kunnen worden. Dit kan bijvoorbeeld gaan om een fout in het besturingssysteem van smartphones.
In een tijd waarin vrijwel elk apparaat op het internet wordt aangesloten en onze veiligheid en onze economie steeds meer afhankelijk zijn van veilige ICT-systemen is het belangrijk dat de overheid zich juist inzet voor een veiliger internet. Deze bevoegdheid zou grote schade toebrengen aan onze economie en aan ons vestigingsklimaat. Daarnaast maakt het iedereen gevoeliger voor hacks door criminelen en landen als Rusland en China. Criminelen zullen makkelijker gegevens, zoals medische data, creditcardgegevens of inloggegevens, van gewone mensen buit kunnen maken. Daarom willen de indieners dat de overheid blijft werken aan een veiliger internet, veiligere software en sterke encryptie, alleen dan kunnen mensen veiliger gemaakt worden tegen criminelen en buitenlandse mogendheden.
Verhoeven Van Tongeren