In Duitsland deze week de juridische limbo die cyberspace over de hele wereld definieert, was volledig te zien.

Het Federale Bureau voor IT-veiligheid van het land (BSI voor zijn Duitse initialen) volgde sinds begin december een cyberaanval op een aantal parlementsleden van het land. Het leidde uiteindelijk tot de publieke vrijgave van mobiele telefoonnummers, creditcardgegevens en ID-kaartgegevens van honderden parlementsleden, en andere publieke figuren.

Slechts enkele parlementsleden werden door BSI geïnformeerd over de aanslagen, terwijl anderen er pas over hoorden nadat de details in de media waren gepubliceerd. Kamerleden waren verontwaardigd dat BSI hen niet had laten weten dat hun persoonlijke gegevens het doelwit waren, ondanks dat ze tot vier weken lang op de hoogte waren van elementen van de aanval.

Een diepere zorg, opgeworpen door enkele parlementsleden, was dat in dezelfde periode, BSI (dat geen wetshandhavingsinstantie is) heeft de Duitse politie niet laten weten dat er mogelijk een politiek misdrijf van deze ernst was gepleegd. Eenmaal verloofd, de politie vond snel een verdachte die naar verluidt bekende.

Hacken, of gegevens al dan niet openbaar zijn gecompromitteerd, is een misdaad in de meeste landen. Het misdrijf wordt eenvoudigweg gevormd door de onrechtmatige toegang tot gegevens of machines. Maar weinig landen hebben wetten die hun cyberagentschappen die hacking monitoren verplichten om de criminele handelingen te melden - hetzij aan derde slachtoffers of aan de politie.

Dit rechtsvacuüm moet dringend worden aangepakt.

Is hacken een 'ernstige misdaad'?

De uitdaging voor cyberbureaus of bedrijven uit de particuliere sector die een hack detecteren, is dat deze gebeurtenissen heel gewoon zijn. Elke dag vinden er miljoenen plaats, en complexe forensische informatie moet worden verzameld om te beoordelen welke incidenten ernstig genoeg zijn om melding te maken. Dit zorgt voor een defacto, maar slecht gedefinieerd, onderscheid tussen "kleine criminaliteit" (de meeste hacks) en "ernstige criminaliteit".

Wat dit in de praktijk betekent, kan worden geïllustreerd aan de hand van de praktijk in de Australische staat New South Wales. In NSW, er is een verplichting op grond van de Wet misdrijven om aangifte te doen van ernstige misdrijven. Deze worden gedefinieerd als degenen die wettelijke straffen van vijf jaar of meer gevangenisstraf krijgen. Maar als het gaat om cyberhacking, het is vaak niet meteen duidelijk of de omvang van een hack tot zo'n strafdrempel leidt.

Deze onzekerheid speelde in de Duitse hack, waarbij BSI haar verzuim om op de hoogte te stellen rechtvaardigde met de claim dat ze nog steeds probeerde het te analyseren, en kende de volledige omvang ervan niet.

Zelfs na de arrestatie van de verdachte en de omvang van de aanval te kennen, het hoofd cybersecurity van de Federale Politiedienst (BKA) zei dat het nog onduidelijk is of de hack een ernstig misdrijf was ingegeven door politieke motieven. Het vermoeden dat het mogelijk politiek gemotiveerd was, komt voort uit het feit dat de enige politieke partij waarvan de parlementsleden niet het doelwit waren, de extreemrechtse partij was, AfD.

Wat 'verplichte rapportage' betekent in Australië

in 2018, na een lang openbaar debat, Australië heeft de Notifiable Data Breaches (NDB)-regeling ingevoerd als wijziging van de Privacy Act. De NDB eist van bedrijven dat zij het Bureau van de Informatiecommissaris (niet de politie) op de hoogte stellen, evenals eventuele slachtoffers, als de persoonlijke gegevens die zij in hun bezit hebben, worden gecompromitteerd op een manier die een ernstige inbreuk op de privacy vormt.

Deze bepaling van het burgerlijk wetboek is erg zwak vanwege, gedeeltelijk, aan het feit dat het het betrokken bedrijf of agentschap in staat stelt om zelf de ernst van de inbreuk te beoordelen gedurende een periode van 30 dagen voordat de meldingsplicht ingaat.

Het is ook zwak omdat er een algemene vrijstelling is voor wetshandhavingsactiviteiten, en voor de geheimhoudingsbehoeften van de overheid. Australische cyberbureaus, zoals het Australian Signals Directorate en het Australian Centre for Cyber ​​Security, lijken geen enkele verplichting te hebben om de politie of slachtoffers te vertellen dat er een hack of een datalek heeft plaatsgevonden.

Dat betekent, als Australische cyberagentschappen ontdekten dat een buitenlandse regering een Australische burger had gehackt, het slachtoffer mag nooit worden verteld. Of als familiefoto's van een ontkleed kind door een pedofiel van een gezinscomputer zijn gehackt, de familie van het slachtoffer zal het misschien nooit weten.

Een recht om te weten?

In veel landen, cyberbureaus stellen grote bedrijven op de hoogte van bepaalde hackaanvallen, ongeacht de soort of schaal. Er zijn verschillende redenen voor deze veelal vrijwillige praktijk. Een daarvan is om bedrijven te helpen de ernst van door de staat gesteunde spionage tegen hen te beseffen. Een andere is om het cyberbureau zelf te helpen bij het coördineren van een onderzoek naar de hack, en erachter te komen wat er mogelijk verloren is gegaan.

Dat is niet hetzelfde als de politie die het misdrijf onderzoekt.

In de meeste landen, alleen politiediensten zijn bevoegd om misdaden te onderzoeken met het oog op gerechtelijke vervolging. weinig rechtsgebieden, indien van toepassing, hebben formeel verduidelijkt op welke manieren politie en rechtbanken kunnen vertrouwen op informatie over cyberhacks die is verzameld door cyberinstanties of beveiligingsbedrijven.

Australië moet nog een serieus debat voeren over het melden van cybercriminaliteit, en de forensische complexiteit:wie is verantwoordelijk voor wat, en waar de prioriteiten moeten liggen. Het is minstens een decennium te laat.

Hoewel wordt erkend dat er enig onderscheid moet worden gemaakt tussen kleine en ernstige cybercriminaliteit, een dergelijk debat zou het recht van burgers moeten erkennen om door onze cyberagentschappen te worden geïnformeerd wanneer ze in cyberspace zijn aangevallen en, zo mogelijk, door wie.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.