Van fysieke naar digitale oorlogsvoering

24 februari 2022. In een opgenomen videoboodschap kondigt Vladimir POETIN een ‘speciale militaire operatie’ in Oekraïne aan. De eerste raketaanvallen op Oekraïense steden worden gelanceerd en wat voor het Westen eerder nog ondenkbaar leek, wordt helaas toch werkelijkheid: een nieuwe oorlog op Europese bodem barst los.

Een kleine rewind in de tijd leert ons echter dat deze oorlog lang niet zo ‘nieuw’ is als gedacht, noch is hij zuiver Europees van aard. Wat voorafging zijn immers jaren van zogenaamde online Russische cyberaanvallen op Oekraïne, die de klassiek gedefinieerde dimensies van land, water, lucht en ruimte overstegen en plaatsvonden in cyberspace. Samen met fysieke wapens werden en worden zodoende ook hun digitale ‘broertjes’ massaal ingezet in (geo)politieke conflicten. Tegenwoordig lijken net die ‘cyberwapens’ menig burger erg te verontrusten, allicht omwille van hun potentieel alomvattende desastreuze maatschappelijke en economische impact.

Niet het minst staan ondernemingen mede daardoor (terecht) meer en meer stil bij de gevolgen en gevaren van de toenemende online vormen van oorlogsvoering. Het besef groeit dat cyberwarfare – als onderdeel van de ruimere categorie cybercriminaliteit – geen ‘ver-van-ons-bed-show’ meer is, maar wel een hedendaags reëel bedrijfsrisico.

(Externe) hacking: wie, wat en vooral … waar?

In de strijd tegen dat risico staan Belgische burgers sinds 28 november 2000 gelukkig niet langer alleen. De Belgische wetgever maakte toen werk van zijn niet mis te verstane ambitie om de actoren van justitie de juiste juridische instrumenten aan te reiken om het hoofd te kunnen bieden aan het (destijds nog recente) fenomeen van cybercriminaliteit. Het resultaat was o.m. de invoering in het Strafwetboek van vier nieuwe ‘informaticamisdrijven’.

Een van die misdrijven beoogde de bestraffing van ‘het zich ongeoorloofd toegang verschaffen tot een informaticasysteem van een ander’ – in de volksmond beter bekend als (externe) (1) hacking – en vereist volgende constitutieve bestanddelen (art. 550bis, §1 Sw.):

• zich toegang verschaffen of handhaven in een informaticasysteem;
  M.a.w. wordt de ongeoorloofde toegang of de handhaving als zodanig beteugeld. Daarnaast is het evenmin vereist dat een beveiligingssysteem zou worden doorbroken.
• zonder toestemming, en
• met een algemeen opzet.
  Het volstaat dus dat de ‘hacker’ weet dat hij niet gerechtigd was om zich toegang te verschaffen tot het informaticasysteem. Als er wordt gehackt met bedrieglijk opzet, dan wordt voorzien in een strafverzwaring.

Of men met deze strafbaarstelling tegemoet komt aan het probleem van het groeiend aantal internationale hacking-netwerken in (onder andere) oorlogscontext, is nog maar de vraag.

Vanuit zuiver materieelrechtelijk (theoretisch) oogpunt kan dat alvast wel het geval zijn. De voormelde constitutieve elementen doen in de eerste plaats immers besluiten tot een eerder laagdrempelig misdrijf, waardoor een ruim arsenaal aan handelingen potentieel strafbaar is.

Ook de ogenschijnlijk complexe problematiek van het lokaliseren van internetgerelateerde misdrijven in de ruimte, lijkt met een arrest van eigen bodem redelijk eenvoudig op te lossen. Zo oordeelde de correctionele rechtbank van Dendermonde (2) dat het feit dat een slachtoffer, woonachtig in Dendermonde, zijn computer aldaar had aangezet om in te loggen op zijn mailaccount, hetgeen mislukte ingevolge een gepleegde hacking, voldoende was om te besluiten dat de Dendermondse rechter inderdaad territoriaal bevoegd was. M.a.w. worden de gevolgen van de hacking aldus geacht een ondeelbaar geheel te vormen met de door de ‘hacker’ gestelde gedragingen, ook al vonden die gedragingen elders plaats.

Het mag duidelijk zijn dat bovenstaande rechtspraak, in wezen een toepassing van de objectieve ubiquiteitstheorie en de leer van de ondeelbaarheid, de Belgische rechter een soort universele cybercrime-bevoegdheid geeft. In het licht van een zo effectief mogelijke bestrijding van informaticacriminaliteit valt zulke ruime bevoegdheidsbenadering dan ook zeker en vast toe te juichen.

Op praktisch en procedureel vlak gooit het gebrek aan (voldoende) internationale afspraken hieromtrent nochtans wel roet in het eten. Als verschillende landen immers dezelfde benaderingswijze i.v.m. territorialiteit zouden hanteren, zullen meerdere locus delicti zonder twijfel leiden tot gelijktijdige onderzoeken naar dezelfde feiten – en dus tot (mogelijke) spanningen.

Uitdagingen in cyberspace

Nog procedureel gezien lijken de uitdagingen ‘in het algemeen’ op het vlak van cybercrime niet allemaal even evident op te lossen. Uiteindelijk kunnen noch het eerder aangehaalde (veelal) grensoverschrijdend karakter van internetcriminaliteit, noch de razendsnelle evolutie van de modernste technologieën die deze criminaliteit in alle anonimiteit mogelijk maken, onderschat worden.

Zeker in tijden zoals deze waarin bepaalde politieke conflicten de bovenhand nemen en de kans op cyberaanvallen doen toenemen (waarbij zowel grote overheidsinstellingen als kleinere spelers (al dan niet als collateral damage) worden geviseerd), is en blijft de boodschap voor zowel professionelen als particulieren dan ook om maximaal in te zetten op cyberbeveiliging.

Julie Petersen
Waeterinckx.law

Referenties

(1) Art. 550bis Sw. maakt een onderscheid tussen enerzijds aantastingen van buiten het systeem (externe hacking) en anderzijds aantastingen door gebruikers die bepaalde toegangsbevoegdheden hebben, maar die bevoegdheden overschrijden (interne hacking). Enkel de externe hacking wordt in deze tekst verder besproken.

(2) Corr. Dendermonde 29 september 2008, T. Strafr. 2009, nr. 2, 111-112.