opinie
Agnes Kant:

Cybercriminaliteit te lijf met APK voor computersystemen

Beperking van online-anonimiteit om computercriminaliteit te bestrijden, waarvoor VVD-Tweede-Kamerlid Oussama Cherribi op 17 februari op de opiniepagina van Het Parool pleitte, biedt geen oplossing. Aldus Agnes Kant, Tweede-Kamerlid voor de SP, en beleidsmedewerker Hiram van der Gaag. Een APK voor computersystemen lijkt hen beter.

Onlangs werd de SP Tweede-Kamerfractie opgeschrikt door een e-mail virus dat zich razendsnel over de computers van alle fractieleden verspreidde. Ook de computersystemen van de volksvertegenwoordiging zijn kennelijk niet voldoende beveiligd tegen aanvallen van cybervandalen. In zijn artikel ‘Onbekommerde anonimiteit op internet hard aanpakken’ (Het Parool van 17 februari) zoekt VVD-Internetspecialist Oussama Cherribi de oplossing in een beperking van het recht op online-anonimiteit. Hij wil niet pleiten voor een algemene identificatieplicht op Internet, maar vindt wel dat die anonimiteit nu te ver gaat. ‘Om cyberanonimiteit en cyberprivacy makkelijker te maken moeten we misbruik snel een stuk moeilijker maken,’ schrijft hij, ‘zonder overigens digitale grondrechten aan te tasten.’ Concrete voorstellen bevat het artikel niet, maar tegenstrijdigheden des te meer. Door alleen in algemene termen te betogen dat de anonimiteit nu te ver gaat ontwijkt Cherribi de vraag hoe een beperking daarvan te rijmen zou zijn met het handhaven van de vrijheid die kenmerkend is voor Internet, en die ook hij zegt te willen behouden. De laatste maanden is computercriminaliteit veel in het nieuws geweest, onder meer naar aanleiding van een paar spectaculaire Denial of Service aanvallen, waarbij enkele grote commerciële websites op tilt sloegen door een stortvloed aan HTTP-requests (het gelijktijdig opvragen van een immense hoeveelheid pagina’s). Dichter bij huis hebben veel Internetgebruikers te maken met virussen en zogenaamde e-mail bommen (een bombardement aan bestanden, die worden verstuurd met de bedoeling de computer van de ontvanger te ontregelen). Dat zulk cybervandalisme, dat veelal uit verveling geboren wordt, een probleem vormt behoeft geen betoog – wij zijn in toenemende mate afhankelijk van Internet en Internet-gerelateerde technologie voor communicatie en informatievergaring. En dat opsporingsinstanties hinder ondervinden van het anoniem communiceren van criminelen valt ook niet te ontkennen. Het spreekt vanzelf dat wetteloosheid online evenmin geaccepteerd moet worden als offline en het bestrijden van bijvoorbeeld kinderporno op Internet verdient hoge prioriteit. Maar het opleggen van beperkingen aan de online anonimiteit, zoals Cherribi wil, biedt geen oplossing en heeft grote nadelen. Allereerst moet worden betwijfeld of drugshandelaren en verspreiders van kinderporno die nu anoniem communiceren dat niet net zo hard zullen blijven doen wanneer het verboden is. Juist wie iets te verbergen heeft zal zich van zo’n verbod weinig aantrekken en het is een peuleschil om een valse identiteit aan te nemen of een Internet-account te openen in een land dat op dit terrein geen restricties kent. En als dit voor ‘traditionele’ criminelen geldt, dan zijn de cybervandalen al helemaal goed in staat zo’n wet te omzeilen. Dat omzeilen kan heel letterlijk gebeuren. Denial of Service aanvallen en e-mail-bombardementen worden vaak uitgevoerd vanaf de computers van mensen die niets met de daders te maken hebben. Buiten hun medeweten worden hun machines gebruikt om duizenden berichten, virussen of HTTP-requests de wereld in te sturen en de echte bron van het onheil is niet meer te achterhalen. Dat zal met een wet die de online anonimiteit aan banden legt niet veranderen, want het echte probleem ligt bij de gebrekkige beveiliging van die machines. Ten tweede betekent elke beperking van het recht zonder legitimatie te internetten een aantasting van wat wel beschouwd wordt als digitale burgerrechten. Onze inzet is dat er geen verschil gemaakt moet worden tussen gewone en digitale burgerrechten en dat het gevaarlijk is belangrijke rechtsbeginselen ter discussie te stellen zodra Internet-ontwikkelingen ons met bepaalde problemen confronteren. Ook Cherribi stelt dat hij de ‘digitale grondrechten’ wil respecteren, maar geeft vervolgens blijk van een nogal beperkte opvatting daarvan, waar hij schrijft: ‘Iedereen mag op Internet geheimpjes voor elkaar hebben’. Dat is niet waar het om gaat. Het recht op anonimiteit is veel fundamenteler. We vinden het allemaal heel normaal dat we ons moeten kunnen legitimeren als we een contract sluiten of met een kortingskaartje in de trein zitten, maar niet als we over straat lopen of een café willen binnengaan. Het over straat lopen of een biertje drinken is daarmee nog geen ‘geheimpje’. We willen simpelweg niet dat in de openbare ruimte, zonder dat we iets misdaan hebben, naar onze persoonsgegevens wordt gevraagd. Internet is deel van de openbare ruimte en dat moet dan ook het uitgangspunt zijn bij regelgeving op dit terrein. Als we de parallel tussen online en offline regelgeving handhaven kan een opsporingsambtenaar die een gerede verdenking koestert tegen een Internetgebruiker om diens gegevens vragen. Krijgt hij die niet, dan heeft hij bepaalde welomschreven bevoegdheden die hem in staat moeten stellen de identiteit van de verdachte alsnog te achterhalen. Soms zal hij daar in slagen, en soms ook niet. Dat is offline ook zo. Wij menen dat de opsporingsinstanties voldoende middelen hebben om Internet-gerelateerde criminaliteit aan te pakken. De klacht dat hun werk zoveel moeilijker wordt door de moderne informatie- en communicatietechnologie is ongegrond. Eerder is het tegendeel het geval. Uitbreiding van die middelen, zoals die onder meer wordt bepleit in het wetsvoorstel Computercriminaliteit 2, lijkt ons een brug te ver, omdat dit ontegenzeggelijk ten koste zal gaan van onze grondrechten, digitaal of anderszins. Minister Korthals wil bijvoorbeeld dat mensen die gebruik maken van versleutelingstechnieken (waarmee bestanden en e-mail effectief onleesbaar worden voor opsporingsambtenaren) verplicht kunnen worden hun codes af te geven of zelf de versleuteling ongedaan te maken. Dat is in strijd met het beginsel dat niemand hoeft mee te werken aan een gerechtelijk onderzoek dat tegen hem wordt ingesteld. De Nederlandse inzet binnen de Raad van Europa aangaande een toekomstig ‘cybercrime’-verdrag is dat netwerkbeheerders niet langer verplicht mogen worden hun logboeken na korte tijd op te schonen, omdat die nog eens van pas zouden kunnen komen voor opsporingswerk. Daarmee wordt de bestaande Europese privacy-richtlijn, die het langdurig bewaren van zulk materiaal verbiedt, een dode letter. Er is echter veel te doen tegen Internetmisbruik zonder daarbij de privacy van gebruikers op het spel te zetten. Veel problemen zijn te voorkomen door het gebruik van deugdelijke machines die deugdelijke software draaien. Zo zijn er veel virussen in omloop die zich alleen kunnen verspreiden dankzij de gebrekkige beveiliging van de e-mail-applicatie en de tekstverwerker van Microsoft. Ook de besturingssystemen van deze marktleider komen regelmatig in het nieuws vanwege het zoveelste beveiligingsprobleem. Als de wet verlangt dat men in een technisch volwaardige auto rijdt, waarom zouden dan aan de beveiliging van computersystemen geen eisen gesteld worden? Waar Cherribi een rijbewijs voor Internetgebruikers lijkt te bepleiten willen wij een lans breken voor een soort APK voor computersystemen. Dat betekent dat bijvoorbeeld van providers verlangd kan worden dat zij hun mailservers zo inrichten dat gebruikers zoveel mogelijk gevrijwaard blijven van ongevraagde commerciële e-mail (‘spam’) en e-mail-bommen, maar ook dat een bank dient te zorgen dat online betalingsverkeer veilig verloopt. Dergelijke technische oplossingen hebben meer effect dan wetgeving die beoogt het anoniem internetten aan banden te leggen. Criminelen die zich van Internet als medium bedienen moeten op dezelfde wijze als gebruikelijk bestreden worden. Natuurlijk wel met nieuwe technologieën, maar niet met andere normen of rechtsbeginselen. De specifieke problemen die de opkomst van nieuwe technologie met zich meebrengt kunnen worden opgelost met een technologie-specifieke aanpak en zonder ineens onze grondrechten op losse schroeven te stellen.

Betrokken SP'ers