Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

Wet computerfraude verhelpt achterstand politie

Dirk Limburg

Computercriminaliteit heeft nu al geleid tot een ingrijpende wetswijziging. Vanaf vandaag mag de politie een fax of computer ook afluisteren. Dan nog: ,,Honderd procent veiligheid is onmogelijk, tenzij je de computer in een blok beton verstopt.''

NIJMEGEN, 1 MAART 1993. De wet computercriminaliteit is gloednieuw, maar "hackers' kennen hem al. Ruim voor de ingangsdatum van 1 maart heeft de politie de tekst gepubliceerd op een van de bulletinboards die computerkrakers gebruiken. ,,Ze hebben er recht op om te weten wat er aan de hand is'', zegt F. van Gulik, leider van het Nijmeegse interregionale team computercriminaliteit.

,,We zijn er niet om boeven te vangen, we hebben liever dat iedereen zich aan de wet houdt.'' Met het van kracht worden van de nieuwe wet, vandaag, hoeven elektronische inbraak en andere "computer-delicten' niet meer te worden vervolgd door min of meer geforceerd andere strafgronden te gebruiken. Het binnendringen van een computersysteem wordt strafbaar gesteld met ten hoogste zes maanden gevangenis of 5.000 gulden boete. Gaat de inbreker een stap verder en kopieert of wijzigt hij iets, dan is de maximumstraf vier jaar. De politie krijgt in de nieuwe wet vergaande bevoegdheden: moderne vormen van elektronische communicatie, zoals faxen en computerberichten, mogen voortaan worden afgeluisterd. Ook het bezit van gegevens die uit een geautomatiseerd systeem zijn gestolen, is strafbaar gesteld. De enige uitzondering daarop is wanneer het algemeen belang met zulke gestolen informatie wordt gediend.

Van Gulik noemt als voorbeeld een journalist die uit een computer gestolen informatie krijgt waaruit blijkt dat een chemisch bedrijf op grote schaal vervuilt. In zo'n geval kan de rechter oordelen dat het bezit niet strafbaar is.

Onlangs besloten de ministers van binnenlandse zaken en justitie het team van van Gulik en twee andere "regionale teams computercriminaliteit', na een anderhalf jaar durende proef, definitief te maken. Het voornemen bestaat nog twee nieuwe op te richten.

Wat doen die teams?

Van Gulik: ,,In enge zin gaat het bij dit soort criminaliteit om zaken die alleen maar met een computer kunnen gebeuren, zoals inbreken in een systeem. In ruime zin is het apparaat alleen maar een nieuw hulpmiddel bij oude vormen van misdaad, zoals fraude. Eigenlijk is dat volgens Van Gulik geen "computercriminaliteit'.

,,Je spreekt toch ook niet van vulpenfraude?'' Een paar voorbeelden. Onlangs hielp het Nijmeegse team in Drenthe, bij het onderzoek naar een racistisch computerspel. Agenten speelden het spel terwijl de officier van justitie over hun schouder meekeek om te zien of er reden was tot vervolging over te gaan.

Vorig jaar werd het team geconfronteerd met een zaak in een kleine plaats, waar huisartsen en een apotheker elkaars patiëntenbestanden via de telefoon beschikbaar hadden gemaakt. Een van de artsen merkte dat "een vreemde' in zijn computer was. Hij vertrouwde het niet, bij navraag bleek het geen van zijn collega's te zijn.

Van Gulik: ,,Ze hebben toen besloten alles weg te gooien en de gegevens opnieuw vanaf de papieren kaarten in te voeren. Die onbekende had misschien wel niets gedaan, maar men kon het gevaar niet lopen dat ergens iets was veranderd.'' De artsen, die geen publiciteit wilden, deden geen aangifte.

'Hacken' en virussen vallen onder Van Guliks 'enge' definitie van computerfraude, want in deze gevallen is het misdrijf uitdrukkelijk gericht op de computer.

Van Gulik treft bij elke huiszoeking virussen aan, bij accountants, ingenieursbureaus en zelfs bij tandtechnici. Met ingang van vandaag is het verspreiden ervan strafbaar en moeten werkgevers regels opstellen voor het gebruik van hun computer.

,,Als we bij een virusgeval kunnen aantonen dat die overtreden zijn, is er reeds sprake van schuld. Als we kunnen bewijzen dat een werknemer het doelbewust heeft gedaan, is de straf zwaarder. Dat maakt optreden makkelijker'', constateert Van Gulik.

,,En zo dwing je hopelijk tot het opstellen van voorschriften en het naleven daarvan.''

Geen hoge prioriteit bij het team heeft het opsporen van illegaal kopiëren van computerprogramma's; Van Gulik vindt dat meer iets voor de civiele rechter. Een enkele keer als iemand het bedrijfsmatig doet, wil hij nog wel eens "een tik op de vingers' uitdelen: een tijdje geleden nam hij de computer in beslag van een adverteerder die tegen spotprijzen software te koop aanbood. Kopers noch verkoper worden vervolgd, dat zou teveel tijd kosten.

Het afnemen van apparatuur wordt ook toegepast bij mensen die van 'hackerij' worden verdacht. Honderd procent veiligheid van gegevens in een computer blijft onmogelijk, zegt van Gulik, ,,tenzij je de machine in een blok beton verstopt zonder toetsenbord of beeldscherm''.

Zolang het apparaat alleen binnen een gebouw gebruikt kan worden, is er nog de bescherming van de voordeur. Wanneer je een computer ook via een telefoonlijn bereikbaar maakt, is hij veel kwetsbaarder. In de nieuwe wet is opgenomen dat een systeem beveiligd moet zijn, wil er sprake zijn van een overtreding. De nieuwsgierige beller moet weten dat hij over een drempel gaat.

Van Gulik: ,,Maar ik houd mijn hart vast bij de enorme opkomst van het telewerken. Ik vraag me af of al die bedrijven wel weten waar ze mee bezig zijn en welke enorme risico's ze lopen.''

Met de nieuwe wet in de hand kan de rechter-commissaris de politie toestemming geven de gegevens in elk computersysteem te onderzoeken. Ook als slechts het vermoeden bestaat dat een verdachte persoon binnen is geweest. Daarbij moet de eigenaar alle medewerking verlenen, op straffe van een boete van 5.000 gulden of drie maanden gevangenis.

De bevoegdheid van politie strekt zich uit tot alle andere systemen de via de bedrijfscomputer te bereiken zijn. Van Gulik vindt de straf nogal licht. ,,Bij een criminele boekhouding zal men snel bereid zijn dat te betalen of te gaan zitten.''

Apparatuur en gegevens mag de politie meenemen als bewijsmateriaal. Dat bij het onderzoek ook informatie zichtbaar wordt die niets met de zaak te maken heeft, is volgens Van Gulik ook zo bij de ouderwetse huiszoeking. De politie mag het niet gebruiken of vastleggen. Van Gulik erkent dat het een forse inbreuk op de privacy van een persoon of bedrijf kan vormen. ,,Daarom willen we ook met de bedrijven praten. Tot nu toe was hun bereidheid daartoe niet groot. Maar nu kunnen ze zich niet meer verzetten tegen justitie, daarom zullen ze wel afspraken willen maken.''

Informeel hoort Van Gulik vaak van bedrijven dat ze liever geen aangifte doen, met het oog op hun privacy en commercieel belang. Soms schamen ze zich ook voor hun eigen stommiteit. Zo zijn er volgens Van Gulik dagelijks inbraakpogingen in de PTT-computers die de rekeningen maken.

,,De PTT ontkent dat het al eens gelukt is, omdat iedereen anders beweert dat de nota niet klopt, omdat een inbreker erin heeft zitten rommelen.'' De PTT onthoudt zich van commentaar.

Een duidelijk beeld van de omvang van computercriminaliteit heeft Van Gulik overigens niet. ,,Als je me vraagt hoeveel zaken we behandeld hebben, het is even belangrijk hoeveel ik heb laten liggen, omdat ze te veel tijd zouden kosten en waarschijnlijk toch niet rond te krijgen waren.''

Hij zegt 95 procent van zijn tijd te besteden aan traditionele misdaad, waarbij computers alleen maar een hulpmiddel zijn. De politiemannen die strijden tegen de criminaliteit van de 21-ste eeuw, kunnen vaak zelf de moderne middelen niet gebruiken. ,,Als een korps belt over een zaak en aanbiedt de gegevens op de fax te zetten, schrik ik toch wel even. We weten dat zelfs semafoons worden afgeluisterd.''

Van huis uit inbellen op de politiecomputer kan al evenmin en intern is men zeer voorzichtig met het bewaren van gegevens. ,,Maar ik ben blij dat we wat bevoegdheden betreft nu eindelijk eens niet achteraan lopen. We moeten onze bevoegdheden wel verschrikkelijk voorzichtig gebruiken. Daarom rem ik collega's vaak af en die nemen dat niet altijd in dank af. Het is beter om ze vooraf te confronteren met wat de gevolgen kunnen zijn van een huiszoeking in een geautomatiseerde omgeving, dan achteraf.''