Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.NL. Op grond van welke wet is dat eigenlijk toegestaan, en hoe gaat men om bij schade door ondeskundig verwijderen?
Antwoord: Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?
"De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd", zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.
Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.
De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:
Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.
De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.
De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.
Om diezelfde reden maak ik me minder zorgen om schade. Maar als je aantoonbaar gegevens kwijt bent door dit overheidshandelen, dan is op papier een claim mogelijk. Wel zit je dan zoals altijd met de vraag wat die gegevens waard zijn en waarom je geen back-up had gemaakt (juridisch: eigen schuld, art. 6:101 BW).
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.