Aftappen in de context van netwerken en computers, is dat strafbaar? Het antwoord hierop is niet simpel te geven. Eerst moet het begrip 'aftappen' nader gedefinieerd worden. Aftappen is: het momentaan kennisnemen van gegevens-in-overdracht.
Het vastleggen van die gegevens zodat er later kennis van genomen kan worden is dus geen aftappen - dit heet 'opnemen'. Voor het gevoel komt dit op hetzelfde neer als aftappen, vandaar dat het beter is om in een adem te spreken van 'aftappen of opnemen'. Dit is ook precies wat de wet doet.
Is aftappen of opnemen per definitie negatief? Nee. Zo is het bijhouden van inlogpogingen een vorm van opnemen. Uitgevoerd door een willekeurige persoon door iedereen ervaren als hacking, uitgevoerd door de systeembeheerder echter een normale zaak. Volgens de wet is er echter sprake van een strafbaar feit
- als iemand met een technisch hulpmiddel opzettelijk gegevens aftapt of opneemt
- die overgedragen worden door middel van netwerken en/of computers en
- die in geen enkel opzicht voor hem bedoeld zijn.
Het woord 'opzettelijk' is van belang: als men onopzettelijk data verwerft is er geen sprake van een strafbaar feit. Nu is er al snel sprake van opzet: het bekijken van gegevens op het scherm bijvoorbeeld, of zeker het bijhouden van logfiles, is moeilijk te zien als een onopzettelijke bezigheid.
Evenmin is er sprake van een strafbaar feit als geen 'technisch hulpmiddel' voor de dataverwerving gebruikt wordt: over iemands schouder meekijken terwijl die legaal op een computersysteem inlogt is dus op zich niet strafbaar. (Gebruik maken van die informatie kan echter wel strafbaar zijn: denk aan computervredebreuk door middel van een 'valse hoedanigheid'!)
Ook het 'in geen enkel opzicht voor hem bedoeld' behoeft nadere uitleg. Als een willekeurige werknemer de e-mail van zijn collega's aftapt, dan is dat strafbaar, want die e-mail zal meestal niet voor hem bedoeld zijn.
Als echter de systeembeheerder op grond van een expliciet bedrijfsbeleid gerechtigd is om e-mail af te tappen, dan is alle e-mail binnen het bedrijf in zeker opzicht voor hem bedoeld - en aftappen daarmee niet strafbaar. Hetzelfde geldt bijvoorbeeld ook ten aanzien van het gebruik van een 'ethernet-sniffer', een apparaat waarmee alle gegevens die over een ethernet gaan bekeken kunnen worden.
Nog een voorbeeld ter verduidelijking hiervan.
Als het opnemen van alle inlogpogingen een bekend beleidsonderdeel is, dan zijn de gegevens die bij inlogpogingen overgedragen worden automatisch mede bedoeld voor de beleidsmakers en daarmee voor hun uitvoerder, de systeembeheerder. Het 'aftappen' van deze gegevens door de laatste is dan niet strafbaar.
Ter verduidelijking de volgende vergelijking:
De telefoon afluisteren mag normaal ook niet. Maar als een bedrijf aan zijn werknemers te kennen geeft dat de inhoud van op het werk gevoerde telefoongesprekken als bedrijfsinformatie wordt gezien, dan is het afluisteren van die gesprekken -hoewel ongebruikelijk- niet verboden bij de wet.
Uit de laatste alinea's volgt -maar er zijn legio redenen voor- dat een bedrijf er goed aan doet om:
- een beveiligingsbeleid te formuleren, en
- dat beleid ook uit te dragen binnen het bedrijf.
Het management van een instelling moet de eindverantwoordelijkheid dragen voor het gevolgde beveiligingsbeleid, ook als de uitvoering ervan gedelegeerd is aan een beveiligingsbeambte. Want alleen als het bestuur zelf de verantwoording draagt, kan van alle medewerkers verwacht worden dat ze het gevoerde beleid erkennen. Die erkenning wordt overigens vereenvoudigd als het beveiligingsplan niet alleen plichten oplegt aan de medewerkers en rechten voorbehoudt aan het management, maar tevens waarborgen aanbrengt voor rechten van de medewerkers.
Een interessante vraag doemt nu op: moet een bedrijf zijn beveiligingsbeleid ook naar buiten uitdragen, in verband met de aftapproblematiek? In een voorbeeld: is een systeembeheerder strafbaar als hij een hacker op zijn systeem 'afluistert' zonder die hacker daarvoor gewaarschuwd te hebben? Het antwoord is: nee, dat is niet strafbaar, de hacker kan als ongenode gast immers lastig rechten doen gelden op gegevens die hij overdraagt. Dus hoeft dit deel van het beveiligingsbeleid ook niet naar buiten toe uitgedragen te worden.
Als men echter toch, naar aanleiding van het gestelde hierover in het hoofdstuk over computervredebreuk, inlogteksten maakt waarin staat wie er welkom is en wie niet, dan kan het natuurlijk geen kwaad om daaraan toe te voegen dat ongewenste gasten op geen enkele privacy kunnen rekenen.
Het voorbeeld van de 'keystroke-logging' dient als illustratie van het voorgaande. 'Keystroke-logging' is het rechtstreeks aftappen van andermans toetsaanslagen. Wanneer is dit niet strafbaar?
Stel dat het door een systeembeheerder wordt uitgevoerd, dan moeten we drie gevallen onderscheiden, namelijk die van medewerkers, externen en hackers:
- Medewerkers:
keystroke-logging van medewerkers staat op een lijn met het afluisteren van telefoongesprekken. Zo men dit wil toelaten binnen het bedrijf, dan moet het onderdeel uitmaken van een geaccepteerd beveiligingsbeleid. Nog afgezien van de ethiek zou keystroke-logging anders immers zelfs strafbaar kunnen zijn. Strenge reglementering ervan is ook noodzakelijk - immers hoe kan een bestuur zijn verantwoordelijkheid dragen als een beambte naar eigen believen vergaande maatregelen als keystroke-logging beproeft. - Externen:
voor externe gebruikers geldt min of meer hetzelfde als voor medewerkers. Het verdient aanbeveling om het geldende beveiligingsbeleid op te nemen in gebruiksvoorwaarden die door de externen ondertekend moeten worden. - Hackers/crackers:
keystroke-logging toegepast op hackers, zonder waarschuwing vooraf, lijkt niet strafbaar te stellen. Voorzichtigheidshalve zou men een inlogtekst kunnen maken waarin bekend wordt gesteld dat hackers en crackers zich blootstellen aan alle vormen van logging.
Resumerend:
Gegevensoverdracht aftappen of opnemen is in de regel strafbaar. Voorbeelden zijn het lezen van andermans e-mail, het 'sniffen' op het ethernet, etc. Bedenk wel dat ook de goedwillende beheerder zich onbedoeld schuldig kan maken aan strafbare vormen van aftappen. Zo is het bekijken van lastig af te leveren e-mail in beginsel strafbaar als daarbij behalve de 'headers' ook de 'body parts' gelezen of vastgelegd worden (vergelijk de situatie bij de posterijen)!
Tenslotte, wat betreft het door justitie aftappen of opnemen van gegevensoverdracht door middel van netwerken en/of computers in het kader van een onderzoek, dit wordt in de wet computercriminaliteit zowel mogelijk gemaakt als aan regels gebonden.
Bron: www.surfnet.nl