Met één stem tegen nam het Europees Parlement vorige week een wetsvoorstel aan dat het bezit en verspreiden van hackertoolsstrafbaar maakt. Op aanvallen van IT-systemen komt minimaal twee jaar gevangenisstraf te staan. Auditbedrijven mogen de verboden vruchten blijven gebruiken. Zonder zulk gereedschap kun je IT-systemen niet testen en digitale criminaliteit niet opsporen, dat snapte het EP ook wel. Voor het overige betoonde men zich echter stoer: eindelijk gaan we de hackers eens flink aanpakken!
Politiek en technologie – het blijft een ramp. Datzelfde EP is een groot voorstander van boetes op datalekken en ziet daar liefst meldpunten voor. Maar wie hebben brakke databeveiliging aan de kaak gesteld, wie hebben bijna alle meldingen van datalekken op hun conto? Diezelfde hackers die het EP nu de middelen uit handen wil slaan. Wie verdoezelen datalekken? Dezelfde instanties die straks kunnen roepen: ‘Dat was een cyberaanval! Julie moeten ons niet beboeten, maar in plaats daarvan hun gevangenisstraf geven.’
Het EP scheert alle hackers over een kam. Met een hamer kun je dingen maken of breken, maar alles wat foute hackers ermee doen – fraude, diefstal, vandalisme, spionage – was al strafbaar. Waarom moet je dan ook de hamer nog verbieden?
Dat benadeelt juist de mensen wier technische kennis we hard nodig hebben, de mensen die de gaten en zwakheden aantonen in alle plannen die overheid en bedrijfsleven over ons uitstorten. Zonder hackers hadden we nooit geweten hoe brak de stemcomputers waren, hoe lek het landelijke EPD was, hoe onherstelbaar kapot de OV-chipkaart is die de overheid ons opdrong.
Zulke hackers moet je juist vrij baan geven. In een moderne samenleving is het noodzaak te kunnen uitzoeken of een technologie werkelijk kan en doet wat zij belooft; alleen dat levert de feiten en kennis op om beleid te kunnen toetsen. Hacken behoort tot het nieuwe repertoire van journalistiek onderzoek en van het politieke debat. Een overheid die alle hackers criminaliseert, berooft zijn burgers au fond van de kennis die nodig is voor inspraak en oppositie. Mogen we niet hacken, dan worden we beroofd van onze vrijheid om ons zelfstandig een mening te vormen.
Om nog niet te spreken over ontwikkeling en research. Bijna elke technologie die wij nu als vaststaand feit aannemen, is indertijd tegen de keer bij elkaar gehackt door mensen die het EP nu strafbaar wil maken.
Dit stuk is ook in het Parool verschenen.
Reacties (5)
Op Tweakers.net is hier al een goede discussie over gevoerd.
https://tweakers.net/nieuws/80997/europees-parlement-wil-hack-software-verbieden.html
Zo is dat. We kunnen het hacken niet overlaten aan ‘bevoegde instanties’. Dat moeten we toch echt zelf blijven doen.
Kunnen we a.u.b. het woord “hacker” weer eens terugclaimen?
Ja : hackers en overheidshackers.
Dat geeft tenminste onderscheid en je weet wie je moet vertrouwen ;)
De vraag is: wat is een “hackertool” precies volgens de wet? Is het equivalent van een hamer of van een thermische lans?
Nu is het zo dat Spaink linkt naar een artikel dat zou moeten linken naar een analyse van de wet; alleen die linkt klopt niet. Dus heb ik hem zelf opgezocht (andere site, maar het lijkt me toch echt het goede artikel.) Wat blijkt? Die analist is zeer te spreken over de zorgvuldigheid van de wet:
“As for the proposals related to hacking tools, the legislation actually does a very good job of amending and clarifying the terms of the earlier document in this regard. This new proposal enshrines the concept of “intent” at the heart of any clauses relating to hacking tools and recognises very clearly the dual purpose nature of many of these tools.
For example the simple “possession” of these tools is no longer in the scope of the document (amendment 22) despite what the press release from the European Parliament says; and the terms “purpose” and “intent” have been amended to read “clear purpose” and “clear intent”. It is certainly possible to legislate for the misuse of any tool with criminal intent and whether that tools is physical or digital shouldn’t make any difference. The key to legislation which will not impact the lawful work of security researchers and organisations though is that question of intent, which I feel is adequately covered in this draft.”
Hoe komt Karin Spaink dan op basis van de een foute link tot een heel andere conclusie?