Cybercrime – recht op zijn scherpst

admin

Auteurs: Jan Kerkhofs en Philippe Van Linthout

Cybersecurity wordt steeds belangrijker voor risicomanagement alsook voor BCM. De BCM organisaties leggen almaar meer nadruk op het opnemen van cyberveiligheid in hun gamma. Veelal gaat dit om technische aspecten van cybersecurity en hoe technisch een cyberaanval kan worden afgeslagen. Velen vergeten echter dat er een juridisch plaatje vasthangt aan cybersecurity. Wat kan er juridisch en wat niet? De auteurs zochten het uit en publiceerden een boek dat up-to-date was tot en met 1/dec/2013. Het gaat over juridische aspecten en een deel van het boek is geïllustreerd adhv een casus waarin YAHOO! betrokken was. Of hoe een wetgeving kan geïnterpreteerd worden.

Het volgende bleef bij:

  • Criminelen van nu hebben hun werkwijzen veranderd: ze hebben niet allemaal een revolver, maar wel een smartphone.
  • Cyberspace is voor criminaliteit een ongelofelijk braakliggend terrein met (nog steeds) ongekende mogelijkheden die kunnen geperfectioneerd worden.
  • Wellicht dringt Cyberspace zich op als een apart juridisch territorium. Want daar zijn geen landsgrenzen zichtbaar.
  • Misdaden bestaan uit (niet limitatieve lijst) o.a.:
    • Illegale transferts van data of fondsen etc
    • Vervalsing
    • Hinderen van computersystemen en telecommunicatiesystemen
    • Misbruik van beschermde software
    • Onderscheppen van berichten
    • Fraude
    • Schade aan hardware, software of data
    • Sabotage
    • Oneigenlijke toegang
    • Plagiaat
  • De evolutie van ICT gaat steeds te snel voor de wetgever.

Deel 1 van het boek gaat over materieel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het is economische wetgeving.
  • Er is een afzonderlijke strafbaarstelling voor het opzettelijk vermommen van de waarheid via datamanipulatie mbt juridisch relevante data.
  • Er dient iets ingevoerd, gewijzigd, gewist of veranderd te worden om te spreken van een misdrijf van informaticavalsheid. Omissiedelicten zijn echter ook mogelijk.
  • Men spreekt van informaticavalsheid indien er het oogmerk aanwezig was om te schaden of indien er bedrieglijk opzet was.
  • Indien iemand wetens en willens gegevens gebruikt waarvan hij weet dat ze vals zijn, is strafbaar alsof hij de dader van de valsheid was. Een mislukte poging is niet strafbaar.
  • Een poging is wel strafbaar indien economisch voordeel beoogd wordt met het plegen van informaticabedrog. (Dit is niet hetzelfde als valsheid in informatica waar het in hoofdzaak gaat om het vermommen van de waarheid.)
  • Naast valsheid in informatica en informaticabedrog bestaat er ook het begrip van ongeoorloofde manipulaties ten aanzien van een machine. Bijv. computerfraude.
  • Het strafwetboek hecht veel belang aan misdrijven tegen confidentialiteit, integriteit en beschikbaarheid, begrippen die niet toevallig terugkomen in ISO 2700x. Een van de gevolgen is dat er onderscheid gemaakt wordt tussen externe en interne hacking.
  • Niet alleen het feitelijke hacken is strafbaar, maar ook een aantal verwante zaken, zoals het ter beschikking hebben van hackertools, aanzetten tot hacking etc.
  • Er bestaat eveneens informaticasabotage: het invoeren, wijzigen of wissen van gegevens of hun normale aanwending veranderen door enig technologisch middel. Bijv.: een virus.
  • Opvallend is dat straffen voor een overheidsvertegenwoordiger bij illegale communicatie-interceptie bij de uitoefening van zijn bediening zwaarder zijn dan daarbuiten of door een burger.
  • Niet alleen de uitvoerder van een illegale tap is strafbaar, maar ook de heler van de illegaal gecapteerde data.
  • Cyberstrafrecht bevat ook regels betreffende elektronische communicatie. Het gaat om het gebruik van 1) een elektronisch netwerk, 2) of een elektronische communicatiedienst of 3) andere elektronische communicatiemiddelen waarmee het misdrijf zal kunnen gepleegd worden. Dit laatste dekt een zeer breed instrumentarium. Het vaakst wordt dit aspect van cyberstrafrecht gebruikt voor overlast. Schade, waaronder psychologische schade, is ook mogelijk.
  • Digitale verspreiding wordt gelijkgesteld met vermenigvuldiging via een drukpers.
  • Gebruik maken van gegevens van elektronische communicatie, zonder toestemming van alle communicerende partijen, is strafbaar.
  • Er bestaat zoiets als een informatiemaatschappij, waarbij ISP’s (Internet Service Providers) en IAP’s (Internet Access Providers) een belangrijke rol spelen. Deze dienstverleners hebben geen algemene toezichtsverplichting, maar kunnen in een specifiek geval wel een tijdelijke toezichtsverplichting opgelegd krijgen. Bij vermeend misbruik dienen zij echter wel de administritatieve autoriteiten onverwijld op de hoogte brengen. Tevens meten zij op vraag van de autoriteiten alle informatie verschaffen die nuttig is voor de opsporing en vaststelling van inbreuken gepleegd door hun tussenkomst.

Deel 2 van het boek gaat over procedureel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het gaat om het procedure-instrumentarium waarmee cybercriminaliteit kan bestreden worden.
  • Wapens waarover de internetrecherche in het opsporingsonderzoek beschikt:
    • Databeslag als bewijslast.
    • Beslag en het uitlezen van een GSM of smartphone.
    • Kopiëren van data op dragers van de overheid zonder verlies van bewijslast.
    • Kennisgeving van het beslag of de kopiëring van gegevens.
    • Het ontoegankelijk maken van het internet of delen ervan. Bijv. in het kader van negationisme of of aanzetten tot racisme of xenophobie enz.
    • Reverse IP domain check.
    • Identificatie van internauten met medewerking van ISP’s en IAP’s en operatoren en dienstverstrekkers.
    • Een officier van de gerechtelijke politie kan in geval van hoogdringendheid binnen bepaalde spelregels zelf gegevens opvorderen.
    • Er is de wettelijke verplichting tot medewerking en geheimhouding door operatoren van elektronische communicatienetwerken en verstrekkers van elektronische communicatiediensten.
    • Er is registratieplicht van internetcommunicatie en internetgebruik. Inhoud mag echter nooit worden opgeslagen, enkel bepaalde metadata.
    • Data-interceptie en netwerkzoeking is voor hen mogelijk via mini-instructies.
    • Sociale media en hun inhoud kunnen gebruikt worden als onderzoeksmiddel, als bron van informatie voor politie en justitie.
    • Geotagging en facerecognition.
    • Publiek toegankelijke delen van het internet kunnen door politie bekeken worden. Zij kunnen er bovendien in participeren.
    • Inkijkoperaties met zoekend rondkijken in private delen van het internet, mits voldoen aan bepaalde randvoorwaarden.
    • Politie en justitie knnen tappen, observeren en infiltreren op het internet en in de sociale media.
  • Echter, er is ook privacywetgeving van toepassing, alsook het recht op anonimiteit. Tevens bestaan er cyber-privéclubs
  • Daarnaast bestaat er internetrecherche in het gerechtelijk onderzoek. Het heeft een aantal (juridisch-technische) wapens gemeenschappelijk met het opsporingsonderzoek.
    • Het kan een heimelijke fase bevatten alsook een openlijke. Bijv. bij het onderscheppen van webmail.
  • Een van de sterke wapens voor justitie is de medewerkingsplicht inzake internetrecherche.
    • Dit geldt voor operatoren, dienstverstrekkers, maar ook voor houders van kennis. (zowel van informaticasysteemkennis als kennis van machinewerking als kennis van diensten om gegevens te versleutelen of te beveiligen)
    • Hierin wordt het voorbeeld gestart van de Yahoo !-zaak nav een proces verbaal op 3 oktober 2007.
    • Secundaire internetverstrekkers hebben minder verplichtingen.
    • Verdachten kunnen niet verplicht worden tot het verstrekken van inlichtingen.

Deel 3 gaat over dataretentie van de ISP’s en IAP’s. Deel 4 gaat over territoriale bevoegdheid in Cyberspace. Daarbij kan het Belgisch gerecht een rechtstreekse vraag stellen aan ISP’s en IAP’s die diensten aanbieden op het Belgisch grondgebied, of een rogatoir onderzoek instellen. De dataretentie is minimaal 6 maanden en maximaal 2 jaar, waarbinnen elk land zijn eigen regels dient te stellen. Zo geldt voor België bij koninklijk besluit een dataretentie van 1 jaar. ISP’s of IAP’s die niet wensen mee te werken met het juridisch onderzoek hebben altijd de vrijheid om hun diensten niet langer aan te bieden op het Belgisch grondgebied.

Invloed – De zes geheimen van het overtuigen

admin

Auteur: Robert B. Cialdini

In dit boek geeft de auteur een aantal wapens aan die een verkoper kan inzetten om zijn verkoop te doen stijgen. Net zo goed zou een aantal van deze zaken ingezet kunnen worden om gedrag uit te lokken dat een CRO wenselijk vindt. De psychologische principes zijn veelal dezelfde. Het gaat er om de ander iets te laten doen dat jij wil dat zij/hij doet. Het gaat eigenlijk de hele tijd over het gedrag aanpassen van de ander naar uw wens.

Om deze gedragswijzigingen te realiseren heeft de “initiatiefnemer” zes wapens ter beschikking:

  1. Wederkerigheid
  2. Commitment en consistentie
  3. Sociale bewijskracht
  4. Sympathie
  5. Autoriteit
  6. Schaarste

Hoe interpreteer je dit voor Risicomanagement?

Wederkerigheid is het aloude principe van geven en nemen: jij doet iets voor hem/haar en de psychologie van het menselijk brein verplicht hem/haar iets voor u terug te doen. Zo zou je om een aspect van informatieveiligheid door te drukken een broodje kunnen geven tijdens een awareness sessie.

Commitment en consistentie kan je bij bvb weerom diezelfde informatieveiligheid een gesprek kunnen aanvragen met een team, en hen om advies vragen wat betreft informatieveiligheid: wat vinden zij zelf belangrijk?

Sociale bewijskracht is moeilijker te gebruiken, als je van scratch moet beginnen. Het principe werkt immers op het feit dat de anderen het gewenste gedrag reeds vertonen. Dit lokt hetzelfde gedrag uit bij de nieuwelingen. Immers, als iedereen er in gelooft, dan moet het wel juist zijn om het zo te doen, niet?

Sympathie is het principe dat een of ander graag gezien persoon, vaak een acteur of actrice, het gedrag zou aanbevelen. Dit komt vaak voor in marketing, als een bekend en geliefd persoon een product aanbeveelt waar hij/zij verder eigenlijk helemaal geen uitstaan heeft. Of een mening. Zo wordt in het boek aangehaald dat de ratings van Obama fenomenaal stegen toen Oprah Winfrey zich bij zijn verkiezingscampagne aansloot. Je kan je afvragen of je een awareness filmpje laat opnemen met je CEO in de hoofdrol, of een geliefde acteur/actrice.

Autoriteit is eveneens een zeer gekende techniek in de marketing: verkoop je tandpasta? Laat de verkoper een doktersjas aantrekken ! Dus verkoop je veiligheid? Laat de veiligheidsconsulent toespraken houden. Het grote gevaar van dat laatste is dat hij/zij gemakkelijk kan vervallen in jargon waarvan iedereen in slaap valt. Of laat een externe consultant een speech geven waarin hij als expert optreedt en een aantal tips meegeeft die voor iedereen gemakkelijk te snappen zijn.

En tot slot is er schaarste. Hiervoor heb ik niet direct een voorbeeld hoe dit van toepassing kan zijn op risicobeheer. Tenzij misschien een idee geven van het aantal bedrijven dat effectief en efficiënt werkt aan risicobeheer voor hun organisaties, vergeleken met de levensduur van organisaties. Wil je bij de enkelingen schitteren? Integreer dan resilience in uw organisatie !

Kortom, het is een boek met tips en trics vol met voorbeelden over hoe men zijn/haar eigen overtuigingskracht kan vergroten. Onafgezien van het beoogde doel.

The Changing Face of Strategic Crisis Mngt

admin

Auteur: OECD – OESO

Overheden spelen een cruciale rol in het verbeteren van de resilience van de bevolkingsgroepen, gemeenschappen, en kritieke infrastructuur-netwerken; het managen van crisissen is daar een essentieel onderdeel van. Recente crisissen, zoals industriële ongevallen, grote overstromingen, wereldwijde pandemieën, aardbevingen en tsunamis hebben het politiek leiderschap en de risicomanagers uitgedaagd in veel landen.

In 4 hoofdstukken vertelt dit boekwerk van OESO over welke crisissen er bestaan, wat hun kenmerken zijn, hoe de overheid haar aanpak kan wijzigen tav veranderingen in crisissen, hoe strategische crisissen kunnen aangepakt worden met early warning systemen, wat van leiders in strategische crisissen verwacht wordt, en dat strategische crisiscapaciteiten moeten geoefend worden.

Enkele sleutelboodschappen zijn:

  • Overheden moeten crisismanagement capaciteiten ontwikkelen.
  • Noodplannen zijn een nodige tool met betrekking tot gebeurtenissen uit het verleden en werken prima voor “routine crisissen”. Nieuwe aanpak is nodig voor “black swan” gebeurtenissen.
  • Nationale raamwerken van overheden voor crisisaanpak zijn nodig om de nodige structuren en institutionele raamwerken te garanderen om zowel klassieke als nieuwe crisissen aan te kunnen.
  • Multi-disciplinaire expertise is nodig om een tijdig begrip van de crisis te verwerven.
  • Leiderschap is nodig voor het herstellen van het vertrouwen. Professionalisme wordt verworven door gespecialiseerde training.
  • Multi-stakeholders en multi-vormelijke publieke, private en niet gouvernementele organisaties hun respons moet kunnen geleid worden om (hun) crisisrespons te kunnen versterken.
  • (Internationale) samenwerking kan vele functies van crisismanagement ondersteunen en moet warden versterkt.
  • Ontwikkeling en aanschaf van early warning systemen neemt toe aan belang.
  • Het oordeel van experten moet in gewone taal opgesteld worden (zonder teveel jargon en acroniemen enz) en moet een antwoord bieden aan tegenovergestelde blikken op de crisissen en hun oplossingen.
  • Begripvormende processen moeten aangepast worden aan de crisissen, overload van informatie voorkomen, de tijdsdruk in acht nemen alsook de stressniveaus van de mensen, en ruimte laten voor overpeinzingen en beoordeling door de strategische leider(s).
  • De crisismanagement teams moeten de kans krijgen om hun begripsvormende en waarschuwing skills in praktijk te brengen via oefeningen.
  • Strategische crisis management oefeningen zijn essentieel voor de ontwikkeling en het stresstesten van de capaciteiten van de leiders.
  • Oefeningen moeten toegespitst zijn op de leiders en overtuigend zijn, om de leiders te betrekken in de oefeningen.
  • Goede oefeningen moeten eenvoudig lijken, terwijl ze hun complexiteit maskeren. Verrassingselementen moeten ingebouwd worden.
  • Crisis management oefeningen moeten samen uitgevoerd worden zowel met overheden als de private sector, om het wederzijds vertrouwen te laten toenemen.
  • Het uitvoeren van internationale oefeningen is nodig voor het verbeteren van de afhandeling van complexe, grootschalige crisissen over de landsgrenzen heen.
Icoon

The changing face of strategic crisis mngt - presentation

1 file(s)   130.58 KB

Hoe discipline 5 voorbereiden op spontane burgerhulp

admin

Eindwerk in het kader van het postgraduaat rampenmanagement

Auteur: Yves Stevens

De samenvatting vooraan in het werk opent m.i. met de essentie van het eindwerk:

“Tijdens noodsituaties stelt men vast dat de solidariteit onder de mensen toeneemt. Burgers bieden spontaan hulp aan de getroffenen en zijn bereid om de overheid te ondersteunen in het beheren van de noodsituatie. In de meeste gevallen wordt deze hulp positief geëvalueerd door de hulpdiensten.

Opmerkelijk is echter dat de overheid zich niet of amper voorbereid op deze spontane burgerhulp.”

In zijn eindwerk onderzoekt de auteur de volgende probleemstelling:

“Hoe kan discipline 5 zich voorbereiden en organiseren tijdens een acute fase om de burgerhulpverlening tijdens noodsituaties zo efficiënt mogelijk aan te wenden in het beheren van de noodsituatie?”

Daartoe werkt hij met twee methoden: literatuurstudie en interviews.

Uit het werk zijn me volgende zaken bijgebleven:

  • De literatuur probeert komaf te maken met drie mythen:
    • Burgers raken in paniek.
    • Burgers zijn apathisch, hulpeloos en afhankelijk.
    • Tijdens een ramp wordt er geplunderd.
  • Mensen helpen mensen spontaan
  • Burgerhulp is essentieel in het “golden hour” voor de overlevingskansen van getroffenen.
  • Tijdens een noodsituatie ontstaat er een consensus bij burgerhulpverleners die prioriteiten bepaalt. Er ontstaan tevens spontaan ‘leiders’.
  • Het ontbreekt de burgers meestal aan gespecialiseerde kennis en materiaal.
  • De timing in de noodsituatie bepaalt in grote mate de handelingen van burgers: bij aanvang levensreddende handelingen, later op de ramp vooral opvang van slachtoffers en primaire levensbehoeften.
  • Burgerhulp is tevens een vorm van psychologisch verwerkingsproces voor de algemene bevolking.
  • Zelfredzaamheid en burgerhulp zijn sterk afhankelijk van geografische aspecten.
  • Burgers overschatten wellicht het eigen kunnen.
  • Een nadeel van burgerhulp is het gebrek aan coördinatie.
  • Burgers zijn niet opgeleid of voorbereid op rampen.
  • Het juridisch vraagstuk tussen burgers en overheid is onopgelost.
  • Burgers kunnen eenvoudige taken overnemen van de hulpdiensten.
  • Burgers hebben vaak een betere terreinkennis.
  • Verslaggeving van de media over burgerhulp is gekleurd door de drie mythen.
  • De ANIP’s (Algemene Nood en InterventiePlannen) van de Belgische provincies hebben geen ruimte voor burgerhulp.
  • Het PIP (Politionele InterventiePlan) en het MIP (Medisch InterventiePlan) houden beperkt rekening met spontane burgerhulp.
  • Burgers engageren zich bijna niet voor oefeningen.
  • De overheid kan zich de vele onzekere factoren van burgerhulp niet veroorloven.
  • Sociale media zijn voor burgerhulp zeer belangrijk.

In hoofdstuk VIII bespreekt de auteur de interviews, waarbij hij volgende hypothesen bespreekt:

  1. Onze noodplannen houden geen rekening met burgerhulp.
  2. De voordelen van burgerhulp wegen niet op tegen de nadelen.
  3. De overheid gaat uit van de militaire doctrine “chaos – command – control”.
  4. De toegenomen juridisering verhindert de overheid om burgerhulp op te nemen in de noodplanning.
  5. Burgerhulp kan je sturen door communicatie.

Een van de vruchten van het eindwerk wordt geleverd in hoofdstuk IX waar de auteur het werkproces Crisiscommunicatie bespreekt (WPCC). Daarbij duidt hij de burgerhulpverleners als een van de doelgroepen van discipline 5 en haar rollen. Ook de rol van de Burgemeester, Gouverneur of Minister komt daarbij aan bod.

Icoon

Hoe discipline 5 voorbereiden op spontane burgerhulp - Yves Stevens

1 file(s)   1.80 MB

Boosting Resilience through Innovative Risk Governance

admin

OECD, Rolf Alter

Hoofdstuk 1 bespreekt de rationale voor het verhogen van resilience tegen toekomstige rampen ondanks de financiële beperkingen vanwege de economische crisissen in OECD-landen de laatste jaren. Het toont aan dat niet alleen de frekwentie maar vooral de mogelijke schade van rampen de laatste jaren gestaag toeneemt. Daarbij treden vele variaties op sociale en economische factoren op de voorgrond die deze trend voeden.

Zelfs als de resources beperkt zijn, zijn investeringen in resilience nodig omdat rampen een onvoorzienbare schuldenlast kunnen veroorzaken, alsook zeer grote problemen kunnen geven aan de overheid, de bedrijfswereld en de huishoudens. Het hoofdstuk geeft ook aan dat een hoge onzekerheid het maken van een goed beleid ondermijnt. Dit omdat de ‘opbrengst’ er van niet direct zichtbaar is voor de overheid, en vaak slechts indirect nuttig is voor de bedrijven en de burgers.

In hoofdstuk 2 evalueert het rapport de resilience van OECD landen alsook het success van maatregelen voor het verhogen ervan. OECD landen zijn relatief resilient tegen grote gebeurtenissen, vergeleken met andere landen. Veel hiervan is te danken aan de vooruitgang op economisch en institutioneel vlak. Er is echter ruimte voor verbetering. Een aantal institutionele tekortkomingen verhinderen een volle aanvaarding van de investeringen in resilience bij publieke en private belanghebbenden. De strategische oorzaken van dit falen kan uitgelegd worden als een slecht afstellen van de drijfveren van actors, dat heeft geleid tot gefaalde acties. Het hoofdstuk stelt om deze tekortkomingen aan te pakken, een raamwerk voor.

Hoofdstuk 3 wil de nadruk leggen op een aantal maatregelen die overheden kunnen nemen om hun eigen resilience te verhogen alsook die van private en niet-gouvernementele belanghebbenden.

In een eerste stap toont dit hoofdstuk aan dat non-actie geen optie is, en zelfs zeer duur kan uitdraaien. Hetzelfde geldt wanneer een overheid overwegend reactief te werk gaat. Een reactieve benadering leidt trouwens vaak tot de verkeerde investeringen en daarmee tot een hogere kost voor de maatschappij. Het hoofdstuk geeft als advies mee om pro-actief te zijn en kosten efficiënt te werk te gaan. Het toont daarbij tevens het belang aan van vertrouwen in de overheid.

Veel overheden hebben in het kader van vertrouwensverlies door de economische crisissen in het verleden zeer dure maatregelen moeten nemen.

Eerder dan dat het vertrouwen moet doen verliezen, zouden crisissen een opportuniteit moeten worden voor overheden die commitment tonen op lange termijn en die een prospectief beleid aantonen. Ook transparantie in het vormgeven van het beleid leidt tot vertrouwen. Om de transparantie en aansprakelijkheid te verhogen is participatie van de burger in het beslissingsproces van maatregelen om de resilience te verhogen wellicht een mogelijkheid. Tenslotte is het van belang om actief belangenconflicten tussen alle partijen te managen.

Enkele adviezen van de auteur zijn:

  • Verzeker het eigenaarschap van risico’s.
  • Het afstellen op elkaar van de drijfveren van actors.
  • Versterk de rol van beloningen.
  • Faciliteer de actie van private sector.
  • Moedig samenwerken aan tussen alle actors.
  • Verhoog het verzamelen en delen van risico-informatie en maak gebruik van de voordelen van ‘Big Data’.
  • Mobiliseer alle belanghebbenden: overheidsdiensten, private sector, en de burgers. Awareness is daarbij van belang.