Juridische vraag: is het neerzetten van een honeypot strafbaar?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Een recente trend in IT is offensieve defensie. Niet terughacken, maar actief je verdediging versterken. Denk aan het plaatsen van honey-tokens, het gebruik van honeypots en het bewust lekken van valse inloggevens om deze te volgen. Wat zegt de wet hierover?
Antwoord: In principe is het toegestaan om jezelf te verdedigen tegen inbrekers zoals je dat wilt. Er zijn twee belangrijke aspecten om rekening mee te houden.
Allereerst ga je met dergelijke tools het grijs gebied in dat uitlokking heet. Uitlokken van misdrijven is strafbaar: artikel 47 lid 1 Wetboek van Strafrecht verbiedt het opzettelijk uitlokken van strafbare feiten "door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen".
Kort gezegd komt het erop neer dat je mensen moet aanzetten om iets te doen dat ze niet al zelf van plan waren. In 2008 oordeelde de Hoge Raad dat het toegestaan is om een lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De lokfiets stond niet op slot, maar dat was onvoldoende om van uitlokken te spreken. Had een agent de dief aangesproken en gezegd "op de hoek staat een rode fiets zonder slot, die kun je zo meenemen" dan zou het wel uitlokking zijn geweest.
Bij een honeypot of honey-token kun je niet automatisch spreken van "mensen op andere gedachten brengen", tenzij je op crackerfora gaat promoten dat die informatie of computer makkelijk te stelen is. Het posten van valse logingegevens is wél uitlokking; je wilt dan immers dat mensen die gaan gebruiken/misbruiken om bij jou in te breken.
Ten tweede loop je tegen de wet bescherming persoonsgegevens aan wanneer je tracking gaat inzetten. Je verkrijgt dan gegevens over mensen, en dat mag niet zomaar. Ook al zijn het inbrekers, je moet nog steeds kunnen rechtvaardigen welke gegevens je verzamelt en met welk (legitiem) doel. In principe is loggen van inbraakpogingen en -activiteiten legaal, maar wel moet je duidelijk kunnen maken wat je met die logs wilt gaan doen.
De inzet van honey-tokens kan vanuit dit perspectief problematisch worden als je daarmee vervolgens monitort wat men ermee doet. Vraag jezelf dus goed af wat je echt wil bereiken met dergelijke tools, leg dat vast in beleid of een privacydocument en zorg dat je geen dingen meet of doet die daarbuiten komen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Daar is weinig mis mee.
Ik kan me wel gevallen herinneren waar er wel een grens is. Vroeger (met name tussen 2000 en 2004) was er veel open share malware. Dergelijke malware probeert zich via open shares te verspreiden, meestal vanaf Windows 9x computers. Omdat de share van de aanvaller open staat kun je dus contact maken en de malware bestanden downloaden. Er was destijds honeypot software die dat ook deed. Over de legitimiteit kun je discussieren. Je kunt zeggen dat de share openstaat voor iedereen, maar dit mogelijk niet de bedoeling was, aan de andere kant wordt je wel aangevallen en het kopieren van de malware dient een goed doel (malwaredetectie) en er wordt geen schade toegebracht.
En dan in die docx een (hidden) link opnemen naar aivd.nl?
Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).
Een apart systeem dat e.e.a. neerzet alsof het echt is?
of een draaiend systeem wat info bevat wat interessant is?
Ik heb interessante info: dus ik ben een honeypot?
En dan in die docx een (hidden) link opnemen naar aivd.nl?
Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).
Het is niet jouw bevoegdheid om in een auto te gaan snuffelen. Als je iets wilt doen kun je het bij 0900-8844 melden
met vermelding van locatie en omschrijving van de auto.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.