Misbruik gestraft?

Jaren geleden gebeurde het: bij het nieuwsagentschap ANP werd computervredebreuk gepleegd. De directe concurrent Novum gebruikte een hun bekend gebruikersnaam en wachtwoord om in de nieuwsberichten van het ANP rond te snuffelen. Berichten met een grote nieuwswaarde werden vervolgens enigszins herschreven overgenomen. Het leidde tot een rechtszaak en een veroordeling. Maar wat was eigenlijk het voornaamste bewijs waarop die veroordeling was gebaseerd? En wordt er nog gestraft?

Tijdens het forensisch onderzoek werd het IP adres als belangrijk bewijs gebruikt. Dankzij dat IP adres was het mogelijk om het inloggen bij het ANP (wat an sich een valide actie is) te koppelen aan het ‘netblock’ van Novum. Dat, in relatie tot het opmerkelijke punt dat nieuwsberichten van het ANP in een groot aantal gevallen snel werd gevolgd door een gelijkluidend nieuwsbericht van Novum, leverde uiteindelijk het bewijs waarop de veroordeling gebaseerd werd.

De computervredebreuk in dit geval is dan ook niet te vergelijken met een inbraak. De dader is immers uitgenodigd, zelfs bekend, maar hij misdraagt zich. De hoofdredacteur van Novum hoorde deze week een taakstraf van 80 uur tegen zich eisen, met een proeftijd van 2 jaar.

Hieruit blijkt hoe belangrijk het loggen van toegang tot computersystemen is. Maar een IP adres is niet heilig, het is zelfs misleidend in onderzoek naar een computermisdrijf. Op dit moment worden al misdaden gepleegd waarbij de dader zich verschuilt achter een wolk van IP adressen. Dat wordt een groot probleem als op enig moment na forensisch onderzoek een verkeerde dader wordt aangewezen. Schuldig totdat je onschuld is bewezen, het dreigt de regel te gaan worden.

Dat een IP adres ook een persoonsgegeven is, helpt al niet mee. Ondergetekende bemerkte dit bij het opvragen van de logbestanden van zijn Digid profiel. Wat blijkt: Digid (GBO.Overheid) geeft in dat overzicht van de logs geen IP adressen weer, waardoor niet valt te herleiden of een bepaalde aktie wel of niet legitiem is geweest ('was ik dat of een hacker?').

Het argument ‘het IP adres is een persoonsgegeven, dat mogen we niet uitgeven’ doet sympathiek aan maar plaatst de eigenaar van een Digid voor een probleem. Wie namelijk misbruik vermoedt, kan dat door het incomplete logoverzicht niet meer vaststellen. GBO.Overheid zou de eigenaar van een Digid volledige inzage moeten geven in alle informatie gerelateerd aan diens profiel. Zeker als die persoon verantwoordelijk is voor zijn Digid. Gebeurt dat niet dan blijft van Digid's exoneratieclausule weinig over.

Terug naar Novum. De zaak tegen de hoofdredacteur doet solide aan, maar de vraag is of dit misbruik bestraft wordt. Natuurlijk, Novum heeft toegegeven in het computersysteem van ANP te hebben ingelogd. Maar heeft de hoofdredacteur ervan geweten? En wat als Novum stug had ontkend dat te hebben gedaan?

Het roept in ieder geval de vraag op wanneer een IP adres van ondersteunende bewijslast tot sturende aanwijzing (zoals dat mes uit de Deventer moordzaak) wordt gepromoveerd. M'n gevoel zegt me dat dat moment niet ver weg meer is.