Digitale inbraken: voorkomen kan niet meer, voorbereiden wel

  1. 7 mrt 2016
  2. 0 reacties

Victor de Pous

Wellicht valt er iets te leren van het pragmatische aan de andere kant van de oceaan, ondanks het schaamrood en de verhitte gemoederen, dat we ook registreren. Vraag jezelf niet af of je gehackt wordt, maar wanneer. De hack bij het US Office of Personnel Management (OPM) in Washington DC vorig jaar, maakt een hoop duidelijk. Laten we bij de omvang beginnen. Het datalek is ronduit massaal. Het betreft een inbraak in informatiesystemen van de federale burgerlijke overheid, waarbij persoonsgegevens van 21,5 miljoen Amerikanen zijn gelekt (conform het jargon van het Europese privacyrecht noemen we die 'betrokkenen').

Als vermeende dader wordt gewezen op de Chinese overheid. Uit veiligheidskringen horen we de opmerking dat het om 'passive intelligence collection' gaat, zeg maar klassieke spionage. Zo ongeveer ieder land houdt zich hiermee bezig en vice versa, ieder overheidsorganisatie loopt in beginsel het 'beroepsrisico' hiervan slachtoffer te worden. Om een nationaal idee te geven: Nederland telt grosso modo 1.600 zelfstandige overheidsorganisaties. Die kunnen hun borst nat maken.

Terminologie is belangrijk. Het voorval betreft geen 'cyberattack' of 'act of war'. Dat betekent vervolgens dat het oorlogsrecht niet van toepassing is op deze daden. Gelukkig maar, want de Verenigde Staten bouwt sinds 2010 in verhoogd tempo een cyberleger - het United States Army Cyber Command - op ter grootte van 6.200 man. Ook getalenteerde hackers worden geworven. Naar verwachting kan een digitale oorlog een soevereine staat - minimaal - volledig ontwrichten: energie, vervoer en handel komen stil te liggen. Naar Nederlands recht zou de Amerikaanse inbraak waarschijnlijk als computervredebreuk ('hacking'), zoals omschreven in Artikel 138a Wetboek van Strafrecht, worden geclassificeerd. Daarnaast kan er mogelijk worden vervolgd op grond van overtreding van Artikel 98 Wetboek van Strafrecht: schending van een staatsgeheim. Wat een staatsgeheim is, is overigens aan de rechter om te bepalen.

De betrokkenen zijn divers van aard. Het gaat om (oud-)werknemers, gepensioneerden, freelancers van de federale overheid, en hun familieleden. OPM voert onder meer 90% van het antecedentenonderzoek voor ongeveer 100 federale overheidsorganisaties uit. Dat deze informatie een buitengemeen gevoelig karakter heeft, laat zich raden. Bovendien bevatten de bestanden sociale-zekerheidsnummers en vingerafdrukken. Hierboven spraken we van 'burgerlijke' overheid. Onlangs werd bekend dat het uitvoeren van antecedentenonderzoeken voor overheidsfuncties wordt overgeheveld naar een nieuw op te berichten bureau van het ministerie van Defensie. Daarmee lijkt de grens tussen burgerlijke en militaire taken te vervagen.

Wat doet het Witte Huis nog meer? Ten behoeve van de betrokkenen biedt de federale overheid 'anti-fraud protection' aan. Hun financiële status wordt door een externe partij als dienst in de gaten gehouden, waarvoor de regering de rekening betaalt. Vooralsnog gaat het om een bedrag van 330 miljoen dollar.

Uit het feit dat de federale overheid betrokkenen een omvangrijk anti-fraudepakket ter beschikking stelt, mag niet worden afgeleid dat de regering aansprakelijkheid voor het datalek aanvaardt. Op grond van de Nederlandse Wet bescherming persoonsgegevens - en straks de Algemene Verordening Persoonsgegevens uit Europa met rechtstreekse werking - ligt dit in beginsel anders. Bovendien kennen we sinds kort de Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden. Toezichthouder Autoriteit Persoonsgegevens kan een forse boete opleggen: maximaal EURO 820.000 of 10 procent van de jaaromzet.

Zo voortvarend als de federale overheid handelde met betrekking tot de beperking van mogelijke financiële schade voor betrokkenen, zo terughoudend is haar optreden ten aanzien van de beoordeling of het lek gevolgen heeft voor de nationale veiligheid. De roep om een 'national security assessment' klinkt duidelijk. In de nabije toekomst wordt deze beoordeling wettelijk voorgeschreven. Sommige experts voeren aan dat de impact van de OPM hack voor de nationale veiligheidssector 40 jaar lang merkbaar zal zijn. Dat is de echte impact van de inbraak. Was de gelekte informatie niet versleuteld?

Mr. V.A. de Pous