2-102 | 2-102 |
M. le président. - Mme Annemie Neyts-Uyttebroeck, secrétaire d'État au Commerce extérieur, répondra au nom de M. Marc Verwilghen, ministre de la Justice.
De heer Vincent Van Quickenborne (VU-ID). - Mijn vraag sluit goed aan bij de interessante vraag van mevrouw Willame. Over het onderwerp is al meer dan eens gediscussieerd in de Senaat, onder meer naar aanleiding van de stemming in de Senaat van de wet van 28 november 2000 en waarvan de uitslag door de Kamer ongedaan werd gemaakt.
Het thema van de veiligheid op internet zorgt voor heel wat ophef, onder andere in verband met de strijd tegen de pornografie, maar ook in verband met de strijd tegen virussen en het voorkomen van systeeminbraken.
Een hele reeks vragen die ik destijds in de commissie aan de minister heb gesteld, werden slechts onvolledig beantwoord. Daarom wil ik meer in het bijzonder mijn vragen over drie vormen van inbraak in computersystemen herhalen, ook omdat bedrijven mij daarover vragen stellen.
Een portscan is het zoeken naar openstaande `poorten' op één of meerdere systemen. Er wordt een connectie gemaakt naar de desbetreffende poort om na te gaan of deze open of dicht is. Als de poort `open' is, wil dit zeggen dat er op het systeem in kwestie een bepaalde dienst wordt aangeboden, bijvoorbeeld een webserver.
Bij het zoeken naar openstaande poorten verschaft men zichzelf geen toegang tot een systeem, en wordt er evenmin een aanval gepleegd op de beschikbaarheid en de integriteit van het systeem. Een portscan is meestal wel de voorbode van een aanval. Er wordt gecontroleerd of de deur openstaat of niet.
Is een portscan met toepassing van de wet van 28 november 2000 strafbaar of niet? Inzonderheid, is dit een handeling beoogd door artikel 550bis, paragraaf 1, van het Strafwetboek?
Bij een vulnerability probe wordt nagegaan of een systeem onderhevig is aan een aanval. Dat gebeurt zowel via eenvoudige tests met een web browser als via ingewikkelde tests waarbij een serie specifieke pakketten moeten worden verstuurd.
Met de eenvoudige test voegt men in een web browser een paar karakters toe aan de locatie van webpagina, de URL, waardoor onmiddellijk duidelijk wordt of de website gevoelig is voor een bepaalde aanval.
Bij een vulnerability probe wordt geen toegang gezocht tot een systeem. Er is meestal geen gevaar voor de beschikbaarheid en de integriteit van het systeem. Ook de probes zijn vaak de voorbode van een aanval. De vraag is of vulnerability probes strafbaar zijn? Inzonderheid, is dit een handeling beoogd door artikel 550bis, paragraaf 1, van het Strafwetboek?
Sommige systemen worden totaal onbeveiligd aangesloten op een publiek netwerk, bij voorbeeld het internet. Volgens de Nederlandse wetgeving is een aanval op een bedrijf dat zich onbeschermd aansluit op het internet, niet strafbaar. Volgens de Belgische wetgeving is elke indringing strafbaar. Een systeem dat op internet aangesloten is, verleent bepaalde diensten aan de gebruikers van het publieke netwerk, meestal meer dan hetgeen de systeemeigenaar bedoelt. Die `onvrijwillige' diensten zijn voor iedereen toegankelijk.
Een voorbeeld is het aanzetten van de functie "Bestanden en printers delen" in Microsoft Windows 98 zonder wachtwoordbeveiliging. Als de internetverbinding van een gebruiker actief is, heeft iedereen op het internet toegang tot de gedeelde mappen, terwijl het niet in de bedoeling ligt van de gebruiker om iedereen toegang te geven, maar zijn besturingssoftware biedt wel deze diensten aan!
Is het gebruik van dergelijke `onbedoelde' diensten strafbaar? Inzonderheid, is dit een handeling beoogd door artikel 550bis, paragraaf 1, van het Strafwetboek?
Mevrouw Annemie Neyts-Uyttebroeck, staatssecretaris voor Buitenlandse Handel. - Artikel 550bis, paragraaf 1 stelt de toegang tot een informaticasysteem waartoe men niet gerechtigd is, strafbaar.
De heer Van Quickenborne vraagt of portscan en vulnerability probe, technieken die de beveiliging van een informatiesysteem aftasten en vaak een aanval voorafgaan, onder het toepassingsgebied van artikel 550bis, paragraaf 1 vallen. Met geen van beide technieken verschaft men zich toegang tot het systeem, maar afhankelijk van de concrete feiten zou wel kunnen worden gesteld dat daartoe een poging wordt ondernomen. In dat geval stelt artikel 550bis, paragraaf 4 deze poging tot het verkrijgen van een ongeoorloofde toegang strafbaar.
Ten slotte moet erop gewezen worden dat het niveau van beveiliging van een informatiesysteem geen criterium is voor de toepassing van artikel 550bis, paragraaf 1. Het al dan niet onrechtmatige karakter van de toegang is dat wel.
-L'incident est clos.