Hacker hoeft beveiliging niet te betalen

Hackers moeten niet opdraaien voor de kosten van het beter beveiligen van overheidssites. De rechtbank in Breda vindt dat de overheid dat toch ooit zelf had moeten doen.

Vier jaar geleden voerden vier jonge hackers uit Breda en Rotterdam een zogeheten DDoS-aanval uit op overheid.nl, regering.nl en nederland.nl. Door die sites met een overdaad aan aanvragen te belagen, werden de sites voor derden effectief bijna een week lang onbereikbaar. Een van de vier liet korte tijd later in Trouw weten dat ze tot hun actie waren overgegaan uit onvrede met het kabinetsbeleid.

De vier zijn daarvoor al eerder strafrechtelijk veroordeeld, met voor de enige meerderjarige onder hen de zwaarste straf: 38 dagen cel, zes maanden voorwaardelijk en 240 uur taakstraf. Maar de beheerder van de overheidssites Ictu was niet tevreden en wilde ook de schade op de vier verhalen.

Een lezer/tipgever uit de dubbeldiamantklasse wijst er op dat de rechtbank in Breda vandaag Ictu slechts voor een klein deel in het gelijk heeft gesteld. De kosten die Ictu moest maken voor noodvoorzieningen, bijna 11.000 euro, moeten de vier inderdaad vergoeden. Maar Ictu eiste een half miljoen, zijnde het bedrag dat een betere beveiliging van de overheidssites heeft gekost. Daar gaat de rechtbank niet in mee. Dit zijn investeringen die Ictu volgens de rechtbank ook zonder de DDoS-aanvallen op enig moment zou hebben gedaan. 'Deze dienen dan ook voor rekening van Ictu te blijven', aldus de Bredase rechter.

Het verzoek van Ictu leek ook wat vreemd. Alsof je eist dat inbrekers de kosten van veilige deursloten, alarminstallaties en, oh ja, doet u de verzekeringspremies er ook maar bij, zouden moeten ophoesten. Dat lukt niet, al was het maar omdat die investeringen er juist toe moeten leiden dat er niet wordt ingebroken. En dan heb je dus niemand bij wie je een rekening kunt indienen.

Als de rechter anders zou hebben besloten, en de hackers wel tot de kosten van de verbeteringen zou hebben veroordeeld, zou dat bovendien een ongewenst bij-effect hebben gehad. Je zou dan sitebeheerders gaan belonen als zij onveilige sites net zo lang in stand zouden houden totdat hackers er zouden toeslaan, waarna de beheerders de rekening voor hun al lang nodige beveiliging bij de hackers zouden kunnen indienen. Dat zou bijna uitlokking zijn.

Nederland is, met dank aan de Bredase rechter en dit eerdere e-vonnis, weer een stukje verder op de weg naar een internet-bestendige rechtspraak.

Hebt u ook een tip over een voor het internet van de toekomst principiële of anderszins cruciale ontwikkeling? Mail me via internet30@trouw.nl!

Lees hier alle posts van Internet 3.0

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden