De ondergetekenden stellen het volgende amendement voor:
In artikel II, onderdeel G, wordt in artikel 126nba in het eerste lid, aanhef, «binnendringt
in een geautomatiseerde werk dat bij de verdachte in gebruik is» vervangen door: zonder
gebruik te maken van kwetsbaarheden in software een geautomatiseerd werk dat bij de
verdachte in gebruik is binnendringt.
Toelichting
Dit amendement beperkt de bevoegdheid voor de politie om geautomatiseerde werken binnen
te dringen, er mag namelijk geen gebruik worden gemaakt van kwetsbaarheden in software.
Het binnendringen van geautomatiseerde werken zonder gebruik van kwetsbaarheden in
software kan bijvoorbeeld door middel van (spear)phishing technieken, oftewel het
sturen van een misleidende email of bericht waarmee een verdachte verleid kan worden
om een wachtwoord of logingegevens prijs te geven of om een technisch hulpmiddel zoals
een keylogger of andere software te installeren, mits zonder het gebruik van kwetsbaarheden,
waarmee vervolgens inloggegevens buitgemaakt kunnen worden. Een andere techniek is
social engineering, waarmee door middel van psychologische manipulatie het uitvoeren
van handelingen of het openbaar maken van vertrouwelijke informatie, zoals een wachtwoord
of inloggegevens, uitgelokt kan worden. Daarnaast zijn technieken mogelijk als brute
forcing, dictionary attacks of shoulder surfing.
Cybersecurity experts benadrukken vaak het feit dat de mens de zwakste schakel in
ICT-systemen is. Volgens de «Cyber Security Intelligence Index 2015» komt 95 procent
van alle beveiligingsincidenten voort uit menselijke fouten. Uit meerdere onderzoeken
blijkt dat ook de criminelen die zich goed beveiligen steken laten liggen. Een sprekend
voorbeeld daarvan is de uitbater van de ondergrondse digitale markt Silk Road.
Het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software
is een extra bevoegdheid waarvan de noodzaak niet voldoende aangetoond is. Bovendien
is het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in
software een onwenselijke bevoegdheid. Het maakt mensen onveilig omdat kwetsbaarheden
in telefoons, tablets en andere apparaten blijven bestaan, waardoor mensen makkelijker
slachtoffer kunnen worden van cybercrime. Hiermee zou de overheid een belang krijgen
bij onveilige apparaten, zoals laptops, smartphones, wearables en computers en, gezien
de brede definitie van «geautomatiseerde werken», ook pacemakers, auto’s en medische
apparatuur. Dit zorgt ervoor dat hackers die fouten in software vinden eerder geneigd
zullen zijn om gevonden fouten te verkopen aan bedrijven als HackingTeam of Gamma
International dan ze te melden aan de maker van de software zodat ze gedicht kunnen
worden. Dit kan bijvoorbeeld gaan om een fout in het besturingssysteem van smartphones.
In een tijd waarin vrijwel elk apparaat op het internet wordt aangesloten en onze
veiligheid en onze economie steeds meer afhankelijk zijn van veilige ICT-systemen
is het belangrijk dat de overheid zich juist inzet voor een veiliger internet. Deze
bevoegdheid zou grote schade toebrengen aan onze economie en aan ons vestigingsklimaat.
Daarnaast maakt het iedereen gevoeliger voor hacks door criminelen en landen als Rusland
en China. Criminelen zullen makkelijker gegevens, zoals medische data, creditcardgegevens
of inloggegevens, van gewone mensen buit kunnen maken. Daarom willen de indieners
dat de overheid blijft werken aan een veiliger internet, veiligere software en sterke
encryptie, alleen dan kunnen mensen veiliger gemaakt worden tegen criminelen en buitenlandse
mogendheden.
Verhoeven Van Tongeren