Ingediend | 6 februari 2019 |
---|---|
Beantwoord | 14 maart 2019 (na 36 dagen) |
Indiener | Chris van Dam (CDA) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
Onderwerpen | economie ict recht strafrecht |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z02158.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1853.html |
Ja.
Het is bekend dat technisch vaardige cybercriminelen hun criminele diensten en/of software waarmee criminaliteit kan worden gepleegd, op internet aanbieden. Dit fenomeen wordt aangeduid als cybercrime-as-a-service («CaaS») en wordt onder meer genoemd in het Cyber Security Beeld Nederland 2018. Het aanbieden en het gebruiken van dergelijke diensten of technische hulpmiddelen, of enkel het vervaardigen, verwerven of voorhanden hebben van bepaalde software is onder voorwaarden (bijvoorbeeld dat de software in objectieve termen is aan te merken als geschikt tot plegen van een misdrijf in de zin van artikel 138ab, eerste lid, 138b of 139c of artikel 138ab, tweede of derde lid) strafbaar indien het oogmerk van het plegen van strafbare feiten aanwezig is (art. 139d, tweede en derde lid Sr). Naast het vervaardigen, voorhanden hebben of aanbieden van dergelijke middelen zijn de feiten die daarmee vervolgens worden gepleegd ook strafbaar.2 De aanbieders van de middelen zijn vervolgens (als medeplegers/medeplichtigen) tevens strafbaar voor die feiten, naast de gebruikers van hun diensten.
De politie en het Openbaar Ministerie voeren opsporingsonderzoeken uit naar aanbieders en gebruikers van strafbare diensten of hulpmiddelen. Een betrouwbare inschatting van het aantal aanbieders en gebruikers in Nederland is niet goed mogelijk, mede gelet op de eenvoud waarmee dergelijke diensten mondiaal kunnen worden geproduceerd en aangeboden. Strafrechtelijk optreden is mogelijk door opsporing en vervolging, en door het ontoegankelijk maken van online marktplaatsen, websites of delen daarvan. Een veel voorkomende complicatie voor de politie en het Openbaar Ministerie is dat dergelijke websites en aanbieders door anonimiseringstechnieken, het routeren van internetverkeer door meerdere landen of het gebruikmaken van virtuele servers, vaak zeer lastig of helemaal niet zijn op te sporen. Desalniettemin boeken de politie en het Openbaar Ministerie successen, veelal met internationale partners en Europol.
Het aantal opsporingsonderzoeken naar cybercrime is de afgelopen jaren gestaag gegroeid. De aanpak van cybercrime is ook in de nieuwe Veiligheidsagenda een prioriteit. Met de additionele middelen die in het Regeerakkoord zijn vrijgemaakt voor de politie en de strafrechtketen wordt de komende jaren onder meer geïnvesteerd in kennis en capaciteit bij de politie en het Openbaar Ministerie voor de aanpak van cybercrime. Het Nationaal Cyber Security Centrum (NCSC) levert als informatieknooppunt en expertisecentrum voor cybersecurity ondersteuning en advies aan Rijkoverheids- en vitale organisaties. Het NCSC werkt samen met overheden, bedrijven en de wetenschap om kennis over DDoS-aanvallen en de bescherming daartegen uit te wisselen.3
De regering staat voor een open, vrij en veilig internet. Dat biedt vele economische en maatschappelijke kansen en mogelijkheden. Tegelijk kunnen criminelen die openheid en vrijheid ook misbruiken, bijvoorbeeld door het aanbieden van criminele diensten, anoniem en vanaf een onbekende plek in de wereld. Door de hoogwaardige Nederlandse digitale infrastructuur en snelle internetverbindingen is het zeer aannemelijk dat infrastructuur waarmee criminele activiteiten worden gepleegd, zich ook in ons land bevindt. Zelfreguleringsinitiatieven leveren een belangrijke bijdrage om crimineel gebruik van de Nederlandse infrastructuur zo veel mogelijk te voorkomen.4
Cybercrime-as-a-service maakt technisch complexe criminele handelingen voor minder technisch onderlegde daders gemakkelijk bereikbaar, terwijl de opsporing zeer lastig is.
De wet Computercriminaliteit III bevat een bevoegdheid voor de politie tot het heimelijk en op afstand binnendringen in geautomatiseerd werk. Vervolgens kunnen aan dat geautomatiseerde werk of aan de daarin opgeslagen digitale gegevens onderzoekshandelingen worden verricht. Het ontoegankelijk maken van gegevens is daarbij een mogelijkheid waarin de wet voorziet. Die bevoegdheid kan worden ingezet voor de opsporing van strafbare feiten met een strafbedreiging van 8 jaar of meer en strafbare feiten die in het Besluit Onderzoek in Geautomatiseerd Werk5 zijn aangewezen. Cybercrime-as-a-service betreft veelal strafbare feiten die in het Besluit zijn aangewezen, zoals bijvoorbeeld computervredebreuk (art. 138ab Sr), al dan niet gericht tegen de vitale infrastructuur, DDoS-aanvallen (art. 138b Sr) en het opzettelijke vernielen van een geautomatiseerd werk (art. 161sexies Sr). Daarnaast bevat de wet een verheldering van de bevoegdheid tot het vorderen van het ontoegankelijk maken van gegevens (art. 125p Sv). Deze bevoegdheid kan onder meer worden toegepast voor het ontoegankelijk maken van een website die illegale diensten of technische hulpmiddelen aanbiedt.
Zie antwoord vraag 2.
Het gebruik van digitale anonimiseringstechnieken of versleutelde communicatiediensten is voor individuele gebruikers net zo eenvoudig als voor de aanbieders van CaaS-platformen. De vaardigheden van de gebruikers of aanbieders, ook wel de «human factor», is vaak van doorslaggevend belang bij een succesvolle opsporing en vervolging.
De «richtlijn voor strafvordering cybercrime»6 van het Openbaar Ministerie geeft aanknopingspunten voor een hogere strafreis bij verdachten die meermalen strafbare feiten hebben gepleegd, veelal in georganiseerd verband en in combinatie met andere strafbare feiten. Bij aanbieders zal doorgaans vaker van (één van) deze strafverzwarende factoren sprake zijn dan bij gebruikers. Daarbij wordt ook een onderscheid gemaakt tussen first offenders en gevallen van recidive. Een onderscheid tussen aanbieders en gebruikers als zodanig maakt de richtlijn echter niet.
De praktijk van verhuur van «virtuele serverruimte» zorgt ervoor dat de eigenaar van een datacentrum vaak niet weet welke klanten welk deel van de servercapaciteit huurt, waardoor het opsporen van aanbieders (van bijvoorbeeld CaaS-platformen) zeer lastig is. De eigenaar van een datacentrum of de reseller van servercapaciteit daarbinnen hebben beiden geen verplichting om een klantenregister bij te houden.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Van Dam (CDA) van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht «Cyberaanval kopen lijkt kattenkwaad, maar is een misdaad» (ingezonden 6 februari 2019) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.