Ict-dienstverlener SURFnet gaat een beleid ontwikkelen over hoe het moet omgaan met de bestrijding van botnets, waarbij de juridische implicaties en de inbreuken op privacy worden beschreven en als risico worden meegewogen. Om tot een dergelijk beleid te komen heeft de dienstverlener voor het onderwijs twee hoogleraren gevraagd naar hun meningen hierover. Met het formuleren van een beleid wil SURFnet ook een bijdrage leveren aan de maatschappelijke discussie over botnets en hun bestrijding.

SURFnet is de ict-dienstverlener voor het hoger onderwijs en heeft grote groepen pc’s in beheer bij diverse onderwijsinstellingen. Daardoor wordt SURFnet geregeld geconfronteerd met botnets bestaande uit pc’s uit die netwerken die via een malwarebesmetting zijn overgenomen door criminelen en in grote botnets zijn geplaatst. De beveiligingstak van SURFnet, SURFcert, is “bijzonder actief” in de bestrijding van die malwarebesmettingen, schrijft SURFnet.

SURFnet onzeker over eigen rol in antibotnetacties

De dienstverlener zegt “meerdere malen” geholpen te hebben bij het ontmantelen van botnets, zij het dan voornamelijk in een ondersteunende rol. Maar de discussie over het wel of niet neerhalen van botnets en de gebruikte methoden daarbij hebben SURFnet doen inzien dat een vastgelegd beleid hiervoor nodig is. Daarbij gaat het voornamelijk over de wenselijkheid om bij de bestrijding van botnets betrokken te zijn en als dat dan wel gebeurt, welke rol SURFnet daarbij moet spelen.

In de aanloop naar dat beleid heeft de dienstverlener aan onder meer hoogleraar Bert-Jaap Koops gevraagd naar zijn opinie over met name de strafrechtelijke implicaties van antibotnetacties. Aan hoogleraar Ronald Leenes is gevraagd de impact van privacyinbreuken in dergelijke gevallen te beschouwen. De reactie van Koops heeft SURFnet al binnen en online gezet. Die van Leenes komt daar binnenkort nog bij.

'Antibotnetacties vaak in overtreding wet'

Koops zegt dat antibotnetacties over het algemeen inbreuk maken op “de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen” en daarom al snel “te kwalificeren zijn als handelingen die in computercriminaliteitsbepalingen worden beschreven.” Wel zet Koops daar als kanttekening bij dat vervolgens moet worden bezien of dat betekent of een dergelijke actie daadwerkelijk strafbaar is.

“De vraag naar strafbaarheid van antibotnetacties, oftewel de vraag wanneer welke vorm van ingrijpen gerechtvaardigd is, nog een behoorlijk open vraag”, constateert Koops. Hij ziet daarom een kans voor SURFnet om actief bij te dragen aan de ontwikkeling van normen op dat gebied. Hij pleit voor een overleg met NCSC, politie, Openbaar Ministerie, ict-koepelorganisaties en privacyorganisaties, waaruit richtlijnen kunnen ontstaan hoe private partijen moeten omgaan met botnets en hun bestrijding.

SURFnet kan zich juridisch beter indekken

Om alvast een de veilige kant van de wet te staan zou SURFnet met een eigen ‘model gedragscode’ kunnen zorgen dat antibotnetacties niet of niet snel als wederrechtelijk worden aangemerkt. Mits de acties proportioneel zijn en de minst ingrijpende maatregel is om het doel te kunnen bereiken (subsidiariteit). Daarnaast ziet het OM het bestrijden van botnets over het algemeen als opportuun genoeg om daar geen zaak van te maken, mits er zorgvuldig mee om wordt gegaan.

Koops ziet de inzet van private partijen ook als noodzakelijk. “Bij de aanpak van een groot maatschappelijk probleem als botnets, waarbij de nationale overheid duidelijk niet in staat is om zelf in alle opzichten effectief in te grijpen, is het misschien ook wel wenselijk als private partijen proactief initiatieven nemen en acties uitvoeren die – mits geleid door kennis van zaken en zorgvuldigheid – de maatschappij en de rechtspleging uitdagen om zich uit te spreken waar de grens ligt van wat private partijen mogen doen om hun netwerken en diensten te beveiligen tegen cybercriminaliteit.”