In Amerika wordt gedebatteerd over het terughacken van aanvallers tijdens een cyberaanval. De vergelijking met het recht op zelfverdediging is snel gemaakt: iemand die zich binnen redelijke grenzen verdedigt tegen een aanval of beroving, gaat vrijuit. Zou dat dan niet ook zo moeten zijn bij een hack, waarvan de schade enorm kan zijn? Hoe is dit in Nederland geregeld?
'Hacking back'
In het Amerikaanse parlement is een wetsvoorstel aanhangig dat private actoren het recht geeft om – kort gezegd – zich te verdedigen tegen cyberaanvallen door terug te hacken. In het voorstel staan voorwaarden die tot straffeloosheid moeten leiden bij een tegenaanval. Het gaat dan om bepaalde defensieve vormen van hacken, bijvoorbeeld om de hacker te identificeren (attribution) of om een aanval te stoppen of verstoren (disruption). Ook buiten het Amerikaanse Congress wordt gedebatteerd en nagedacht over de haken en ogen die aan zulke wetgeving kleven, zoals in een recente blog van MalwareTech.
In Nederland bestaat geen specifieke regelgeving over terughacken. Het uitgangspunt is dan ook dat terughacken strafbaar is. Een tegenaanval zal al snel kunnen vallen onder computervredebreuk of een strafbare (D)DoS-attack opleveren.
Noodweer?
Een beroep op noodweer – het recht op zelfverdediging – zal niet snel kunnen slagen. Een zogeheten noodweersituatie kan alleen bestaan wanneer iemands lijf, eerbaarheid of goed op het spel staat. Een hack of cyberaanval heeft meestal betrekking op opgeslagen gegevens. Zulke computerdata vormen geen 'goed'. De gegevensdrager zelf is wel een goed, maar het binnendringen van een gegevensdrager of geautomatiseerd werk zal in de regel geen fysieke aanranding van dat voorwerp opleveren.
Ter vergelijking: de Hoge Raad heeft eerder geoordeeld dat ook het huisrecht geen ‘goed’ is. Iemand die ten onrechte en dus illegaal aanwezig is in een huis, maar geen enkele bedreiging vormt voor lijf, eerbaarheid of goed, mag dus niet zomaar met gepast geweld worden verwijderd. Het huis is een goed, de huisraad bestaat uit goederen, maar het enkele illegaal aanwezig zijn is geen ‘dreigende aanranding’.
Hetzelfde geldt waarschijnlijk in de digitale context. Zolang er geen (dreigende) aantasting van een fysiek voorwerp is, zal een beroep op noodweer niet slagen. Het slachtoffer van een cyberaanval kan dus niet straffeloos een tegenaanval inzetten.
Of het daadwerkelijk tot vervolging komt in een concreet geval van ‘hacking back’ is overigens een andere vraag. Ten eerste valt te betwijfelen of de initiële aanvaller aangifte zal doen, dus mogelijk zullen politie en justitie niet eens op de hoogte raken. Ten tweede is de vraag of justitie zal kiezen om juist in zo’n zaak schaarse opsporings- en vervolgingscapaciteit in te zetten.
Niet toegestaan
Terughacken is dus in Nederland vooralsnog niet toegestaan. Als behoefte bestaat aan een expliciet recht op terughacken, zal goed moeten worden nagedacht en gedebatteerd over de gevolgen hiervan, en over de voorwaarden die moeten worden gesteld. ‘Hacking back’ vindt plaats in een digitale context en is daardoor aanzienlijk complexer dan het klassieke geval van zelfverdediging tegen een inbreker of straatrover.