Cyberhulp aan Oekraïne; makkelijk gezegd, moeilijk gedaan?

Alleen defensief

Ronald Prins, grondlegger van Fox-IT en mede-oprichter van Hunt & Hackett, reageert kort en duidelijk. "Eigenlijk alleen helpen met dingen veilig maken en onderzoeken", is zijn advies voor hackers die Oekraïne digitaal willen bijstaan. Prins legt uit dat offensieve activiteiten strafbaar zijn: "Aanvallen, binnendringen, DDoS'en is allemaal verboden".

Dat betreft niet alleen reguliere wet- en regelgeving rondom cybercrime, maar heeft ook een internationale kant. "Daarnaast als je het in georganiseerd verband doet zoals bijvoorbeeld de IT-minister [van Oekraïne - red.] heeft gevraagd en zijn wensenlijsten de tyfus hackt dan zou je ook vervolgd kunnen worden voor het dienen onder een vreemde mogendheid."

Ethisch hacker en beveiligingsonderzoeker Rickey Gevers uit soortgelijke bedenkingen. De vraag wat hackers in Nederland kunnen of mogen doen, en wat juist niet, vindt hij een hele lastige vraag. Daar zijn namelijk juridische consequenties aan verbonden "en die ken ik niet", reageert hij.

Wees bewust

Een andere door AG Connect benaderde securitytopman laat weten dat hij niet on-te-record wil reageren met zijn aanbevelingen voor hackers in Westerse landen. CEO Dave Maasland van securityleverancier ESET waagt zich wat verder en noemt de mogelijkheid - "Geen advies van ESET." - dat Nederlanders op grote schaal schade kunnen aanrichten door middel van "DDoS-aanvallen, hacking met datalekken tot gevolg, en het serieus lastig maken voor [digitale] infrastructuur".

DDoS-aanvallen en andere verstorende hackactiviteiten hebben echter juridische gevolgen, wat enkele juristen ook uitleggen aan AG Connect. Experts op het snijvlak van tech en wet stippen dat hier verderop aan, maar eerst vervolgt Maasland nog zijn betoog. "De kracht van het collectief moet niet onderschat worden", waarbij hij verwijst naar "vrij succesvolle acties van verschillende groepen".

Het blijft voorlopig de vraag wat wel of niet verstandig is, nuanceert de securitytopman van ESET. "Wij brengen geen advies uit voor aanvallen of operaties maar vragen iedereen goed en bewust na te denken voor men wat doet." Het belangrijkste is volgens hem om "heel bewust iets te doen, ongeacht wat men doet. Gebruik niet roekeloos apparatuur van werkgever, etcetera".

Kaspersky

AG Connect heeft ook beveiligingsleverancier Kaspersky om een reactie gevraagd. Die van oorsprong Russische leverancier van securitysoftware is in 2018 formeel verhuisd naar het neutrale Zwitserland en heeft die verhuizing eind 2020 afgerond. Oprichter en miljardair Eugene Kaspersky heeft zich deze week wel uitgelaten over de oorlog in Oekraïne. Hij spreekt daarbij van "de huidige situatie" in dat land en zegt onderhandelingen tussen Rusland en Oekraïne te verwelkomen.

"Wij menen dat vreedzame dialoog het enige mogelijke instrument is om conflicten op te lossen. Oorlog is voor iedereen niet goed", tweet de Russische topman die zijn shock uit. "Het voornaamste dat we kunnen doen in deze situatie is ononderbroken functioneren van onze producten en diensten wereldwijd te leveren." Zijn tweets hebben flink kritische reacties opgeleverd.

DDoS-tool

Ondertussen zijn AG Connect uiteenlopende initiatieven ter ore gekomen, waaronder ook de ontwikkeling van een tool voor DDoS-aanvallen (distributed denial of service) om Russische digitale doelen te bestoken. Dit zou dan vergelijkbaar kunnen zijn met een klassieke hackerstool als LOIC (low orbit ion cannon) waarmee jaren terug al ICT-verstorende aanvallen zijn uitgevoerd op regimes zoals in Egypte.

De Oekraïense overheid heeft wel openlijk de oproep gedaan aan hackers wereldwijd om te helpen met digitale inzet. Daarbij wordt niet alleen gevraagd om aan digitale defensie te doen, maar ook aan offensieve handelingen. Voor dit 'IT-vrijwilligersleger' heeft Oekraïne een lijst van 31 interessante doelwitten gepubliceerd. Daarop staan Russische overheidsorganisaties, banken en grote bedrijven die kritieke infrastructuur ondersteunen.

DDoS-aanvallen zijn echter strafbaar volgens de Nederlandse wet, legt de politie uit in een informatiepagina voor (gamende) hackers. Artikel 138b in het Wetboek van Strafrecht bestrijkt dit type digitale aanval. Maar niet alleen het afvuren van verkeersstromen om digitale diensten te verstoren is verboden. De politie stipt aan dat het óók illegaal is om stress- of booter-services te hebben, waarmee DDoS-aanvallen zijn uit te voeren.

Hoe ver mag je gaan?

ICT-jurist Arnoud Engelfriet heeft in een blogpost al de online gestelde vraag behandeld hoe ver je mag gaan als burgervrijwilliger in de Oekraïense invasie. "Zeker na de berichtgeving over Anonymous dat Rusland terug wil aanvallen heb ik veel mails gekregen van mensen die mee wilden doen. Of die lid willen worden van het Oekraïense IT-leger, of zelfs het fysieke leger (for lack of a better term)", schrijft hij.

Wettelijk gezien is het Nederlanders toegestaan om in dienst te gaan bij een buitenlands leger, legt Engelfriet uit. Uitzonderingen gelden voor Nederlandse militairen en voor strijd tegen Nederland of een andere NAVO-land. Voor een toegestaan militair dienstverband in het buitenland is dan wel formele inschrijving bij die vreemde krijgsmacht nodig.

"Maar let op: het werven van Nederlanders voor vreemde krijgsdienst is wél strafbaar (art. 205 Strafrecht). Een website bouwen waarin mensen zich kunnen organiseren om samen te gaan vechten, is dus juridisch zeer onverstandig." Ook strafbaar is het gewoon, op eigen houtje gaan vechten, of dat nu fysiek en ter plaatse of digitaal en al dan niet op afstand is.

"Als je als gewoon burger bijvoorbeeld DDoS-aanvallen uitvoert, dan is dat gewoon een strafbaar feit – net zoals iemand omleggen moord is, ook al zou die iemand bezig zijn met Kiev aanvallen of verboden clustermunitie laden voor een bombardement. Heel misschien kom je dan weg met een beroep op overmacht of noodweer, maar ik zou er niet op rekenen."

Bijkomend 'risico' is nog dat het Openbaar Ministerie in Nederland een digitale aanval zou kunnen interpreteren als een poging om ons land te betrekken bij de oorlog in Oekraïne. Rusland kan digitale sabotage of hindering namelijk zien als oorlogshandeling, en Nederland daar dan op aanspreken.

'Niet anders dan Russische hackers'

Juridisch adviseur Micha Groeneveld van BDO Legal stipt in reactie op vragen van AG Connect ook de 'status' van 'digitale hulptroepen' aan. "Hackers die Oekraïne willen helpen verkeren helaas niet in een andere positie als Russische hackers." Hij wijst erop dat je als hacker formeel aanloopt tegen diverse wettelijke restricties op het moment dat je ongevraagd probeert om netwerken binnen te dringen of die via bijvoorbeeld DDoS-aanvallen probeert plat te leggen.

Kort gezegd loopt een hacker juridisch risico bij een reeks van hackhandelingen, die uiteenlopen van inbreken in een account of (bedrijfs)server, via ontoegankelijk maken of verwijderen van gegevens, tot aan aftappen van gegevens. Voor elk van die handelingen zijn verschillende wetsartikelen van toepassing.

Deze opsomming wordt door Groeneveld nog aangevuld met mogelijke civielrechtelijke kwesties. Deze betreffen dan bijvoorbeeld omzeiling van beveiligingsmaatregelen, waarbij bijvoorbeeld licentievoorwaarden voor software worden geschonden. "Dit zullen ook geen handelingen zijn die vervolgens door de hacker via een 'responsible disclosure' gemeld worden aan de betreffende partij bij wie een kwetsbaarheid is gedetecteerd, dus ik vrees dat alleen hackers die worden ingehuurd door overheden om specifieke aanvallen te stoppen of maatregelen te treffen hun gang kunnen gaan."

'Meld je bij Defensie'

Groeneveld sluit zijn reactie af met de conclusie dat hij dus weinig openingen ziet "om in het kader van deze ellende de Oekraïense kant te kiezen en los te gaan op Russische doelen". ICT-jurist Engelfriet komt alles in beschouwing nemende tot een soortgelijk advies als Ronald Prins: "Doe het niet. Gewoon niet. Helpen bij opvang van vluchtelingen of het verzorgen van noodhulp lijkt me veel productiever. En als je écht unieke skills hebt waarmee Oekraïne gediend zou zijn, meld je dan bij Defensie."

Laatstgenoemde kan wat nutteloos lijken voor hackers die Oekraïne digitale hulp willen bieden, want het Nederlandse ministerie van Defensie is immers niet direct deelnemer aan de oorlog. Hoewel, het ministerie heeft wel cyberhulp aangeboden, die Oekraïne heeft geaccepteerd. Dit valt onder het EU-project Cyber Rapid Response Team waarbij Nederland nu als bijdrage één specialist gereed heeft staan voor mogelijke inzet. Dat kan vanuit Nederland gebeuren, maar mogelijk ook in Oekraïne.