Microsoft uit zorgen rond door Rusland geleide VN-verdrag rond cybercriminaliteit

Microsoft en een groeiende aantal organisaties dat afgevaardigden waarschuwt dat de conceptversie van het VN-verdrag inzake cybercriminaliteit er alleen in slaagt staatstoezicht te rechtvaardigen – en niet om criminelen tegen te houden, zoals oorspronkelijk bedoeld zo meldt The Register

Amy Hogan-Burney, associate general counsel voor cybersecuritybeleid en -bescherming bij Microsoft, waarschuwt dat het voorstel in zijn huidige vorm te vaag is. Het verdrag kan gebruikt worden om ethisch hacken en beveiligingspraktijken te criminaliseren.

De brede reikwijdte van het ontwerp-VN-verdrag dat in mei werd vrijgegeven, laat echter te veel aan interpretatie over, aldus Hogan-Burney:

:Het risico is dat het verdrag geen instrument zal zijn voor de vervolging van criminelen, maar eerder een wapen dat indringende gegevenstoegang en surveillance-instrumenten mogelijk maakt. Het resultaat zou een internationale overeenkomst kunnen zijn die autoritaire staten de macht geeft om afwijkende meningen te onderdrukken onder het mom van de bestrijding van cybercriminaliteit.

Staten moeten een verdrag aannemen dat de strijd tegen cybercriminaliteit versterkt. Het mag autoritaire staten geen mogelijkheid bieden om online-inhoud te criminaliseren, nieuwe toezichtsbevoegdheden te introduceren, de grensoverschrijdende toegang van overheden tot persoonsgegevens uit te breiden, of mogelijk gemeenschappelijke veiligheidspraktijken te criminaliseren vanwege dubbelzinnigheid in de tekst.

Het ontwerp introduceert uitgebreide bepalingen voor de toegang van de overheid tot persoonsgegevens, waaronder indringende maatregelen voor real-time surveillance, waardoor een ruime discretionaire bevoegdheid wordt geboden om gegevens op te vragen over elke “misdaad” – niet alleen cybercriminaliteit – die is vastgelegd in de nationale wetgeving. Het ontwerpverdrag bevat ook geen transparantiewaarborgen om gegevensbewaarders in staat te stellen doelwitten van toezicht – of zelfs het land waar het doelwit verblijft – op de hoogte te stellen van een lopend onderzoek. Surveillance zou zich in totale geheimhouding kunnen afspelen, waardoor de mensenrechten en de nationale veiligheid zouden worden ondermijnd. Een dergelijke brede uitbreiding van de toezichtsbevoegdheden van de staat zal onvermijdelijk botsen met de bestaande normen voor gegevensbescherming over de hele wereld, leiden tot aanzienlijke jurisdictiegeschillen en uiteindelijk de mondiale inspanningen om cybercriminaliteit te bestrijden eerder ondermijnen dan stimuleren.

De tekst bevat ook geen taal die wettig cyberbeveiligingswerk beschermt dat het digitale ecosysteem veilig houdt. We moeten ervoor zorgen dat ethische hackers die hun vaardigheden gebruiken om kwetsbaarheden te identificeren, cyberaanvallen te simuleren en systeemverdediging te testen, worden beschermd. De belangrijkste strafbepalingsbepalingen zijn te vaag en bevatten geen verwijzing naar ‘criminele bedoelingen’, wat ervoor zou zorgen dat activiteiten als penetratietesten legaal blijven.

Met andere woorden: tenzij deze kwesties worden aangepakt, zou het verdrag de ideale omstandigheden kunnen creëren waarin cybercriminaliteit kan gedijen."