WannaCry? WannaLaw!

  1. 14 jul 2017
  2. 0 reacties

Victor de Pous

De internationale aanval van gijzelsoftware (WannaCry) wijst opnieuw - en voor de zoveelste maal - op de kwetsbaarheid van de informatiemaatschappij. De Nationaal Coördinator Veiligheid en Terrorismebestrijding zegt dat 100% bescherming niet gerealiseerd kan worden, maar adviseert 10% van het ICT-budget aan digitale veiligheid te besteden. Een waardevol advies. Individu, organisatie en samenleving hebben echter meer nodig in de voortdurende strijd tegen de gevolgen van de sterke afhankelijkheid van digitale technologie.

Als basisvoorwaarde voor een in tijd duurzame informatiemaatschappij geldt volgens ons de generieke preventieve verbetering van digitale kwaliteit. Waarom worden softwarecode met serieuze fouten, de bijhorende continue stroom patches en updates alsook het ontbreken van wettelijke kwaliteitsvoorschriften nog altijd geaccepteerd?

Wie terugkijkt, weet dat sinds de tweede helft van de jaren tachtig het computervirus en andere malware avant la lettre telkens voor krantenkoppen zorgden. Juridisch bezien werd het destijds nieuwe verschijnsel vooral strafrechtelijk aangepakt. ‘Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie’, luidt artikel 350a, lid 3 van ons Wetboek van Strafrecht.

Maar daarmee zijn we er niet. Allereerst niet, omdat er tevens allerlei (i) andere maatregelen dan het recht (zoals de huidige status quo: strafbaarstelling en formele bevoegdheden voor de opsporing) noodzakelijk zijn. Denk aan budget, kennis en schaalgrootte bij politie en justitie.

Daarnaast is het onvermijdelijk dat (ii) verantwoord ICT-gedrag bij overheidsorganisatie, bedrijf en individu regel wordt. Zo is het ronduit ontluisterend dat de publieke zorgsector in het Verenigd Koninkrijk (National Health Service - NHS) kennelijk nog altijd op Windows XP draait, terwijl Microsoft sinds 4 april 2014 hierop geen ondersteuning meer biedt, tenzij er tegen forse betaling een speciale regeling wordt getroffen. Kennelijk, want de internationale aanval van WannaCry bracht hier transparantie. Al jaren waarschuwen vriend en vijand voor het gevaar van het niet updaten van computerprogramma’s, besturingssystemen incluis, maar mogelijk werden niet eerder de gevolgen van veiligheidsgebreken zo duidelijk als met de besmetting met deze gijzelsofware.

Nog een exponent van noodzaak van verantwoord ICT-gedrag, maar dan anders. Overheden houden nieuwe fouten in computerprogramma’s (‘zero-day leaks’) geheim om er hun veiligheidsdiensten gebruik van te laten maken. In de VS gaan nu stemmen op voor een meldplicht ter zake; een interessante optie, die de moeite van het uitwerken waard is.

Maar in onze visie betreft het belangrijkste argument dat juridisch bezien de strafrechtelijke aanpak alleen onvoldoende is voor het ontbreken van specifieke civiele rechtsnormen. Wettelijke voorschriften, welke de kwaliteit van digitale technologie, om te beginnen softwarecode, stevig borgen. (Weliswaar kent het Nederlandse recht al lang de rechtsfiguur onrechtmatige daad. Hierbij gaat het echter om een open normstelling, die in beginsel vooral correctief kan werken.) Het juridische uitgangspunt behoort te luiden dat ontwikkeling, terbeschikkingstelling en verspreiding van software door wettelijke kwaliteitsnormen zijn bepaald. Alleen solide en veilige computerprogramma’s mogen worden geleverd en gebruikt.

Het maakt niet uit dat je aanhanger bent van de gedachtelijn van de Engelse overheid dat data het ‘levensbloed’ van iedere organisatie is (Digital Britain, 2009) of het gedachtegoed omarmt van entrepreneur (NetScape met de eerste webbrowser Mosaic) en investeerder Marc Andreesen, die stelt dat we ons in een dramatische en brede technologische en economische verandering bevinden, waarin software grote domeinen van de wereldeconomie overneemt (Why software is eating the World, 2011); zonder voldoende digitale kwaliteit blijft de informatiemaatschappij onder druk staan.

Daarentegen fungeert het inzetten op en wettelijk borgen van digitale kwaliteit als een meersnijdend zwaard. Toepassing leidt namelijk tot minder uitval van informatiesystemen en netwerken, minder digitale criminaliteit en creëert tegelijkertijd meer broodnodig vertrouwen in zowel de informatietechniek als de informatiemaatschappij.

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).