Let op: deze tekst dateert uit 1997!

Hoofdstuk 3: Criminaliteit

Up-to-date informatie over computercriminaliteit:
Hacken en computer-criminaliteit Het woord "hacken" verwees oorspronkelijk naar activiteiten die een grote hoeveelheid expertise en kennis van computersystemen vereisen. Tegenwoordig is het vrijwel een synoniem geworden voor illegale activiteiten. »»	De Wet Computercriminaliteit Opzettelijk en wederrechtelijk binnendringen in computersystemen is strafbaar als computervredebreuk. Daarnaast verbiedt deze wet vernieling van gegevens, verstikkingsaanvallen en andere vormen van cybercrime. »»

Inleiding

De vele mogelijkheden die een account bij Stack biedt, kunnen ook misbruikt worden. Gebruikers kunnen auteursrechten schenden, illegale informatie aanbieden, de privacy van andere gebruikers schenden of andere gebruikers lastigvallen. Een groot gedeelte van deze vormen van misbruik is in de wet strafbaar gesteld. Aangezien Stack medeplichtig gehouden kan worden aan wetsovertredingen begaan op haar computersystemen, is het noodzakelijk te bepalen wat wel en niet toegestaan is.

3.1 De wet computercriminaliteit

De Wet Computercriminaliteit (1993) had een aantal aanpassingen in onder andere het Wetboek van Strafrecht tot gevolg. Het accent bij de ingevoerde wetsartikelen ligt op het onbruikbaar of ontoegankelijk maken van gegevens en op het zonder toestemming gebruiken van computersystemen. Voor Stack zijn vooral de artikelen betreffende computervredebreuk, vernielen van gegevens en verboden programma's/gegevens (De wet kent het begrip "programma" niet. Artikel 80quinquies van het Wetboek van Strafrecht definieert gegevens zodanig dat ook programma's hier onder vallen) van belang.

3.1.1 Computervredebreuk

Analoog aan "huisvredebreuk" wordt het begrip "Computervredebreuk" geïntroduceerd. Ingevolge artikel 138a, lid 1, van het Wetboek van Strafrecht is het een misdrijf om opzettelijk en wederrechtelijk in een computersysteem binnen te dringen, indien men

daarbij enige beveiliging doorbreekt, of
via een technische ingreep, met behulp van valse signalen, een valse sleutel (dit kan o.a. een wachtwoord zijn) of door het aannemen van een valse hoedanigheid, toegang verwerft.

Dit betekent dus dat bijvoorbeeld het gebruiken van een geraden password om van andermans account gebruik te maken in strijd is met de wet. Er is hier immers sprake van het aannemen van een valse hoedanigheid. Je zou ook kunnen denken aan netwerksniffers, of technieken als IP spoofing, waarbij je je voor een andere computer kunt uitgeven om zo gebruik te maken van de privileges van die computer.

Belangrijk element in dit wetsartikel is beveiliging. Het inloggen op een systeem zonder dat daar een beveiliging op zit, hoe miniem ook, valt niet onder dit wetsartikel. Dit impliceert dus dat Stack al haar computersystemen van beveiligingen dient te voorzien, voorzover dat mogelijk is. Gelukkig is dit dankzij het systeembeheer al het geval. Er kunnen drie gevallen worden onderscheiden.

Inbraken bij Stack door buitenstaanders. Hier is weinig tegen te doen, gezien het vaak internationale karakter dat dit soort zaken zullen hebben. De gebruikelijke procedure in dit soort gevallen is het verwijderen van de indringer, het (tijdelijk) afsluiten van de gecompromitteerde account(s) en het dichten van het lek, indien nodig.
Inbraken bij Stack door eigen gebruikers. Het is gebruikelijk om dit soort gevallen intern af te handelen. Het account van de gebruiker wordt, na een waarschuwing, tijdelijk dichtgezet en bij herhaling permanent.
Inbraken bij derden vanaf de Stack systemen. Hiervoor wordt op dit moment dezelfde procedure gehanteerd als bij geval 2.

In het laatste geval kan Stack aansprakelijk gesteld worden voor de schade die voortvloeit uit de inbraak. Het is dus aan te bevelen dat hiertegen hard wordt opgetreden.

3.1.2 Vernielen van gegevens

Het Wetboek van Strafrecht, artikel 350a lid 1, stelt dat het opzettelijk en wederrechtelijk vernielen, veranderen, wissen of het onbruikbaar/ontoegankelijk maken van andermans gegevens strafbaar is. Artikel 350b stelt voorts dat een persoon aan wiens schuld het te wijten is dat bovengenoemde schade aangericht wordt ook strafbaar is.

Dit laatste artikel heeft niet direct betrekking op Stack. Het gaat hier om situaties waarin iemand bijvoorbeeld een programma gebruikt dat schade aanricht. Natuurlijk is Stack wel aansprakelijk wanneer een bestuurs- of commissielid schade aanricht (Zie hiervoor ook hoofdstuk 2).

Wij bevelen daarom aan dat een clausule in de akkoordverklaring op wordt genomen waarin het lid verklaart Stack niet aansprakelijk te zullen stellen voor verlies of beschadiging van gegevens die op haar systemen worden opgeslagen. Tevens moet worden vastgelegd dat het lid zelf alle veroorzaakte schade zal vergoeden.
Natuurlijk neemt dit niet weg, dat disciplinaire maatregelen op zijn plaats zijn wanneer de vernielingen worden aangericht door een Stack lid.

De risico's die leden lopen door gebruik te maken van de Stack systemen dient duidelijk aangegeven te worden, bijvoorbeeld via het Stack Informatie Systeem, SIS.

3.1.3 Verboden programma's

Volgens artikel 32a van de Auteurswet 1912 is het niet toegestaan programma's die speciaal bedoeld zijn om kopieerbeveiligingen te doorbreken of het ontwijken van zulke beveiligingen te vergemakkelijken

openlijk ter verspreiding aan te bieden,
voor verspreiding of import in Nederland voorhanden te hebben, of
te bewaren uit winstbejag.

Het gaat hier expliciet niet om wachtwoord-kraakprogramma's, maar enkel om programma's om kopieerbeveiligingen in programmatuur, of andere beveiligingen in een programma te verwijderen of te ontwijken.

Voor wat betreft het kraken van wachtwoorden of het verspreiden van manieren om systemen te hacken, is artikel 326c van het Wetboek van Strafrecht van toepassing. Dit stelt dat het openlijk ter verspreiding aanbieden of op voorraad hebben, of het uit winstbejag maken of bewaren van gegevens die zijn bedoeld om onrechtmatig binnen te dringen in publieke systemen strafbaar is.

Artikel 350a van het Wetboek van Strafrecht, lid 3 stelt dat het ter beschikking stellen of verspreiden van computervirussen strafbaar is, tenzij de verspreider dit doet om de schade door de virussen te beperken. Denk hierbij aan virus-onderzoekers.

Natuurlijk kan ook het in bezit hebben van commerciële software strafbaar zijn. Dit is echter meer een auteursrechtenkwestie (zie ook paragraaf 3.2).

Gebaseerd op het bovenstaande bevelen wij aan het bewaren van de volgende soorten programma's/gegevensdragers op de systemen van Stack te verbieden.

Programma's om kopieerbeveiligingen te verwijderen of minder effectief te maken, alsmede lijsten/programma's met wachtwoorden voor beveiligingen in programma's.
Programma's die wachtwoorden voor computersystemen kunnen kraken, zoals Crack en Cops en programma's die het binnendringen in computersystemen kunnen vergemakkelijken, zoals Satan.
Programma's die zijn bedoeld om schade aan te richten binnen systemen, zoals computervirussen of wormen.
Commerciële software, tenzij er sprake is van "shareware" of er toestemming is van de maker om de software te verspreiden.
Programma's, documenten of andere gegevensdragers waarop auteursrecht rust, tenzij de eigenaar van het auteursrecht hiervoor toestemming heeft gegeven, of er sprake is van een uitzonderingssituatie zoals in de wet is aangegeven.

De aan te bevelen procedure voor dit soort gevallen is het ontoegankelijk maken van de gegevens/programmatuur tot de eigenaar langs is gekomen voor een gesprek met het systeembeheer. Kan het lid bij dit gesprek niet aannemelijk maken dat de gegevens/programmatuur legitiem zijn en niet onder de bovenstaande regels vallen, dan dient het lid deze per direct te verwijderen.

3.2 Auteursrechten

Zoals in paragraaf 3.1 al is opgemerkt, is het zonder toestemming van de rechthebbende in bezit hebben van commerciële software illegaal. Dit geldt natuurlijk ook voor andere gegevensdragers waarop auteursrechten rusten.

Er bestaat echter wel een uitzonderingsregel hierop. Deze regel staat bekend als "citaatrecht" (Fair Use in het Engels). Het komt er kortweg op neer dat delen uit beschermde werken mogen worden gebruikt wanneer dit gebeurt met het doel het te bespreken of te bekritiseren. Zo kun je bijvoorbeeld een plaatje uit een spel gebruiken als illustratie bij een bespreking van dat spel, of een citaat uit een document om aan te tonen dat dat document onzin bevat.

Helaas is het in de praktijk erg lastig om algemeen vast te stellen waar de grenzen liggen bij citeren en ander gebruik volgens het citaatrecht. Dit kan eigenlijk alleen maar van geval tot geval worden bekeken. Om die reden is het dan ook niet mogelijk om hier precies aan te geven wat wel en niet toegestaan kan worden op de Stack computersystemen.

De enige praktisch haalbare regel is dan ook, dat in geval van twijfel de desbetreffende documenten direct ontoegankelijk worden gemaakt, totdat de zaak verder uitgezocht is. Stack dient dus geen officiële regels of richtlijnen te hebben over wat nu precies onder "citaatrecht" valt. Gebruikers dienen in een verklaring akkoord te gaan met de eis om geen auteursrechten van derden te schenden. Doen zij dit toch en wordt Stack hiervan op de hoogte gesteld, dan dienen de materialen direct ontoegankelijk gemaakt te worden. Zolang de rechthebbende zelf geen aktie onderneemt tegen schendingen van haar auteursrecht, hoeft Stack dat ook niet te doen.

3.3 Eisen van systeembeheer

De in paragraaf 3.1 beschreven aktiviteiten en programmatuur zijn simpelweg verboden in de Nederlandse wet. Echter, het systeembeheer van Stack heeft ook diverse eisen voor wat betreft "criminaliteit" op onze computersystemen. Deze eisen zijn voornamelijk gericht op het principe dat gebruikers elkaar niet lastig mogen vallen en het systeem niet nodeloos mogen belasten. Deze eisen zijn onveranderd overgenomen. De naleving zou geen problemen op moeten leveren.

Het is niet toegestaan het account door anderen te laten gebruiken.
Het is niet toegestaan e-mail te versturen of op Usenet te posten met een niet bestaande loginnaam, e-mail adres of echte naam, of onder de loginnaam, e-mail adres of echte naam van iemand anders.
Het is niet toegestaan andere gebruikers lastig te vallen, bijvoorbeeld door het sturen van een groot aantal talk requests, of het verzenden van "mail bombs" (in omvang en/of aantal grote e-mail berichten).

Conclusies en aanbevelingen

Hoewel Stack er niet op uit is handelingen van haar leden aktief te controleren op rechtmatigheid, dient er bij constatering van handelingen in strijd met de wet en/of regelingen van Stack en de TUE wel ingegrepen te worden. Aangezien Stack verantwoordelijk gehouden kan worden voor misdragingen van haar leden op haar computersystemen, dienen er disciplinaire maatregelen genomen te worden wanneer dit voorkomt.

In geval van twijfel over de legaliteit van een bestand dat op de Stack systemen aangetroffen wordt, dient het bestand ontoegankelijk gemaakt te worden, totdat de zaak uitgezocht is.

Wij bevelen aan dat Stack in de akkoordverklaring voor gebruik van accounts op de verenigingscomputers de volgende eisen opneemt:

Het is niet toegestaan informatie aan te bieden of op te slaan, dan wel handelingen te verrichten die in strijd zijn met de wet of de rechten van derden.
Het is niet toegestaan het account door anderen te laten gebruiken.
Het is niet toegestaan e-mail te versturen of op Usenet te posten met een niet bestaande loginnaam, e-mail adres of echte naam, of onder de loginnaam, e-mail adres of echte naam van iemand anders.
Het is niet toegestaan andere gebruikers lastig te vallen, bijvoorbeeld door het verzenden van ``mail bombs'' (in omvang en/of aantal grote e-mail berichten). Het is ook niet toegestaan de systemen te beschadigen of processen te draaien die de overige gebruikers hinderen bij het gebruiken van de systemen.
Aanwijzingen van het systeembeheer t.a.v. het gebruik van de systemen dienen terstond opgevolgd te worden.

Aangezien de in dit hoofdstuk gepresenteerde regels nogal complex zijn en de ruimte in een akkoordverklaring beperkt, is in de bovenstaande lijst gekozen voor een ietwat ingekorte versie. De volledige regels dienen natuurlijk ook beschikbaar gesteld te worden. Wij bevelen daarom aan dat deze in het Stack Informatie Systeem worden op te nemen.

Aansprakelijkheid ~ Privacy

              Inhoudsopgave               Voorwoord
          1 - Inleiding               2 - Aansprakelijkheid
          3 - Computercriminaliteit   4 - Privacy
          5 - Commercie               6 - Conclusies en aanbevelingen