Een student informatica heeft thuis op zijn computer o.a. een web vulnerability scanner, penetratietestprogramma en een opensource-netwerkscanner, waarmee hij tracht kwetsbaarheden op websites op te sporen en weshalve aan te tonen in welke mate websites goed beveiligd zijn. Hij laat de web vulnerability scanner en opensource-netwerkscanner los en ze rammelen op deuren van websites en netwerken. De websitebeheerders komen erachter en waarna vervolgens aangifte gedaan wordt wegens computervredebreuk op grond van artikel 138ab, eerste lid, Sr. De informaticastudent komt voor de rechter en wordt veroordeeld. De strafzaakzaak spitst zich onder andere toe op de vraag of scannen ook “voltooid binnendringen” in de zin van computervredebreuk inhoudt. De zaak komt tot aan de hoogste rechterlijke instantie, de Hoge Raad, die zich heeft moeten buigen over deze cruciale vraag betreffende computervredebreuk.
De rechtsvraag die de Hoge Raad in deze zaak moet beantwoorden is: Is het scannen van een geautomatiseerd werk aan te merken als voltooid binnendringen ex. artikel 138ab Sr?
Het Gerechtshof heeft in tweede aanleg geoordeeld dat de vraag of het scannen binnendringen in een geautomatiseerd werk oplevert, afhankelijk is van het type scan dat wordt gedaan.
De Advocaat-Generaal concludeert en beredeneert deze vraag vervolgens als volgt:
De verdachte beschikt over Nmap die scant naar open poorten, maar bij het scannen van open poorten is het niet gebleven. De verdachte heeft meer gedaan dan een poortscan omdat er na de verkenning van de vraag of er een poort open stond of actief was niet is gestopt. Daarbij doet het er volgens de huidige en destijds geldende wetgeving niet meer toe of de poort al dan niet is beveiligd. Uit de aangifte blijkt dat er in de website is gezocht, dat er gezocht is naar kwetsbaarheden waarop door het geautomatiseerde werk in gevallen is gereageerd met blokkering.
Naar de AG meent is het niet onjuist of onbegrijpelijk dat het hof heeft geoordeeld dat hetgeen heeft plaatsgevonden al binnendringen van de website (het geautomatiseerde werk) oplevert. Met de kwetsbaarheidsscan is volgens hem immers actief (via een automatische systematiek) gezocht naar gegevens op de server en getracht deze te wijzigen om toegang te verkrijgen. Uit de blokkering blijkt zelfs dat op het binnendringen is gereageerd. Of de gegevens uiteindelijk voor de verdachte beschikbaar zijn gekomen doet volgens hem niet ter zake.
De AG maakt nog de vergelijking: na inklimming in een woning is het binnendringen voltooid en is pas de volgende vraag of er een voor wegneming geschikt voorwerp aanwezig is. Of het wegnemen volledig achterwege is gebleven, slechts is voorbereid dan wel of het is geraakt tot een poging of een voltooid wegnemen, is niet relevant voor het binnendringen.
De Hoge Raad volgt de conclusie van AG niet en betoogt:
De enkele omstandigheid dat verdachte met behulp van een scan-programma de website van aangever op kwetsbaarheden heeft onderzocht, waarvan een aantal werd geblokkeerd en dat als gevolg daarvan ‘niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden’, volstaat daartoe niet.
Lees hier het arrest.
Deze bijdrage werd geschreven door Elfahmi El Bouazati en verscheen eerder op https://www.stimmt.nl/blog/geen-categorie/ag-scannen-van-een-geautomatiseerde-werk-is-voltooid-binnendringen-computervredebreuk-hoge-raad-volgt-redenering-niet.