https://staging.ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Cyber/hacker-g923683d36_1920.jpg

DDoS- aanval via een ‘bootersite’ strafbaar

18 jan '22

‘Deze vormen van cybercriminaliteit lijken alweer iets uit vervlogen tijden …’ schrijft de Advocaat-Generaal(ECLI:NL:PHR:2021:1050, r.o. 3.5) in een interessante zaak waarin de Hoge Raad in december 2021 uitspraak deed (ECLI:NL:HR:2021:1944). Het is een cybercrime–zaak die draait om een Distributed Denial of Service- aanval (DDoS-aanval) en de toepassing van artikel 138b Sr. Een artikel dat stamt uit de tijd dat het bestoken met ongewenste e-mails (Spam en bombing) nog een van de grootste digitale problemen leek, iets uit lang vervlogen tijden. Toch laat de uitspraak zien dat de rechtspraktijk en de wetgeving met hun tijd mee proberen te gaan.

16 DDoS-aanvallen

Met een DDoS-aanval wordt (geprobeerd) een computer, computernetwerk of dienst niet of moeilijk bereikbaar te maken voor klanten, door meerdere computers tegelijk een aanval te laten uitvoeren. In deze zaak is de verdachte vervolgd en veroordeeld door het gerechtshof Amsterdam voor het uitvoeren van DDoS-aanvallen op een website, in totaal 16 aanvallen in drie dagen. Het gerechtshof heeft vastgesteld dat de verdachte zich opgelicht voelde door de website die hij later heeft aangevallen.

Uit het gepubliceerde arrest volgt dat de verdachte in Nederland woonde, maar de eigenaar van de aangevallen website was gevestigd in Zuid-Afrika en heeft daar melding gedaan bij de politie. Er is ook contact geweest met de politie in Amsterdam. De eigenaar heeft namelijk mailtjes ontvangen van de verdachte, en hieruit kon hij opmaken dat de verdachte van de DDoS-aanval zich in Nederland bevond (ECLI:NL:HR:2021:1944, r.o. 2.2.2).

Vervolging voor 138b Sr

Uiteindelijk is de verdachte vervolgd en veroordeeld voor overtreding van artikel 138b Sr. Dit artikel is in 2006 opgenomen in het Wetboek van Strafrecht, oorspronkelijk vanuit de gedachte om onder andere spam-mail te kunnen bestrijden. De invoering van dit artikel gebeurde via de Wet computercriminaliteit II. Maar inmiddels zijn we een paar versies verder, en heeft ook artikel 138b Sr vanaf 1 mei 2021 een vierde versie. Toch is de uitspraak nog steeds relevant. En dat heeft alles te maken met de feiten van deze zaak én de wetsgeschiedenis van het nieuwe artikel 80sexies Sr en artikel 138b Sr.

Wat is er gebeurd?

De veroordeelde heeft bekend via een zogenaamde ‘bootersite’ tegen betaling DDoS aanvallen uit te hebben laten voeren. Het Openbaar Ministerie heeft vervolgd voor overtreding van artikel 138b lid 1 Sr:

“Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.”

En in cassatie gaat het om de uitleg van het begrip geautomatiseerd werk zoals bedoeld in artikel 80sexies (oud) zoals dat luidde ten tijde van het misdrijf:

“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

De vraag naar de uitleg van het begrip ‘geautomatiseerd werk’ heeft alles te maken met het feit dat de verdachte gebruik heeft gemaakt van de eerder genoemde bootersite. Want het feit waarvoor de verdachte is veroordeeld luidt als volgt:

“hij in de periode van 23 oktober 2017 tot en met 25 oktober 2017 in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens toe te zenden, immers heeft verdachte door middel van de site "[internetsite 1]" gegevens toegezonden naar de website "[internetsite 2]" waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd.” (ECLI:NL:HR:2021:1944, r.o. 2.2.1)

Oordeel Hoge Raad gebruik bootersite

De Hoge Raad heeft eerder bepaald dat uit de wetsgeschiedenis volgt dat het begrip “geautomatiseerd werk” niet is beperkt tot apparaten die zelfstandig voldoen aan de cumulatie van functies, te weten opslag, verwerking en overdracht van gegevens (HR 26 maart 2013, LJN BY9718)

Deze zaak draait daarmee om de vraag hoe de functies van een geautomatiseerd werk kunnen worden uitgelegd, en hoe die functies vervolgens kunnen worden beperkt.

Eenvoudig weergeven; als via website 1, de bootersite, website 2, het doel van de verdachte, (gedeelte) wordt platgelegd is dat dan belemmering van een geautomatiseerd werk? De Hoge Raad heeft die vraag in deze zaak met ja beantwoord. (ECLI:NL:HR:2021:1944, r.o. 2.7)

Want, zo redeneert de Hoge Raad, als de software waarmee een deel van de functies van een (deel) van een netwerk (of apparaat) wordt belemmerd dan is er sprake van belemmering zoals bedoeld in artikel 138b Sr.

De Hoge Raad heeft ook duidelijk gemaakt dat deze uitleg ook van toepassing is op de uitleg van het huidige artikel 80sexies Sr. Want de wetgever heeft namelijk met het nieuwe artikel 80sexies Sr een verruiming beoogd (ECLI:NL:HR:2021:1944, r.o. 2.10).

Goed nieuws voor slachtoffers van DDoS-aanvallen

Voor slachtoffers van DDoS-aanvallen is deze zaak goed nieuws. Het laat zien dat de Nederlandse politie en het Openbaar Ministerie succesvol tot opsporing en vervolging van cybercrime komt. En het laat zien dat de rechter en de wetgever met hun tijd meegaan en in staat zijn in te spelen op nieuwe ontwikkelingen. Concreet betekent dat bijvoorbeeld voor bedrijven dat wanneer hun SCADA-systemen worden geraakt door een ingehuurde DDoS-aanval, er juridisch weinig in de weg staat aan een succesvolle vervolging.

 

Contact

Advocaat

Hugo van Aardenne

Expertises:  Strafrecht, Bestuursrecht, Cybersecurity , Handhaving en sancties, Internationale Sancties en Exportcontrole , Interne onderzoeken,

Advocaat

Jouko Barensen

Expertises:  Strafrecht, Bestuursrecht, Afvalstoffenrecht, Milieurecht , Cybersecurity , Transport en Logistiek, BRZO, Handhaving en sancties,

Aankomende events

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

{/exp:user:register}

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.