Herbert Blankesteijn
In dezelfde week dat de maker
van het Melissa-virus, David Smith, voor twintig maanden in de gevangenis werd
opgesloten, ging de maker van het Anna Kournikovavirus in hoger beroep. Jan de
W. vond 150 uur taakstraf teveel.
Melissa heeft in 1999 voor
een astronomisch bedrag schade aangericht. De ene bron houdt het op 80 miljoen,
een andere noemt 1,2 miljard. Het was een van de eerste virussen die zich
verspreidde als attachment en gebruik maakte van het adresboek van Outlook.
David Smith had tenminste nog een origineel idee en kon programmeren. Hij kreeg
een derde van de maximumstraf van vijf jaar.
Huiskamervraag
1: Wat is een redelijker straf voor een virusverspreider: 20 maanden of 150
uur?
Het virus van Jan de W. had
hetzelfde verspreidingspatroon als Melissa. Je kunt veilig aannemen dat hij ook
voor tientallen, misschien wel honderden miljoenen schade heeft aangericht.
Maar zijn virus was niet zelfgemaakt. Jan de W. kan niet programmeren. Hij
gebruikte de Visual Basic Worm Generator, een soort virusautomaat waarbij je
alleen maar knopjes hoeft in te drukken en er rolt een virus uit (zie
'Flutvirusmaker' en 'Eerste terrorist veroordeeld'). Zijn enige verdienste was
dat hij zijn virus een verleidelijke naam gaf, zodat vooral mannen zonder
aarzelen op het attachment klikten. De maximumstraf voor het tenlastegelegde
was vier jaar cel; wat hij kreeg was een vermaning.
Jan de W. gebruikte het
excuus dat hij niet de bedoeling had om schade aan te richten. Dat excuus had
David Smith nog met enig recht kunnen gebruiken, want ervaring met dit soort
virussen was er toen nog niet. Maar Jan de W. wist heel goed wat voor ravage
hij kon aanrichten, juist omdat Smith hem was voorgegaan - om maar te zwijgen
van bijvoorbeeld het Love-Lettervirus
Om de vergelijking even voort
te zetten: David Smith was een tovenaarsleerling, wiens proefje uit de hand
liep. Jan de W. is een pure vandaal die wist dat hij met ontplofbare stoffen
speelde. Hij verzamelde zelfs virussen. Stel dat een of andere voetbalbaviaan
voor tientallen miljoenen schade aanricht met een bom naar een recept dat-ie op
internet.heeft gevonden. Zou een rechter dan 'Oh, sorry, dat was niet de
bedoeling' als excuus accepteren? Ik denk van niet.
Melissa, Bubbleboy,
LoveLetter, Code Red, Badtrans, Magister, Sircam, Nimda, Klez, de lijst is
eindeloos. Virussen kosten de maatschappij verschrikkelijk veel geld. Het is
een onacceptabele vorm van vandalisme. Gelukkig is er een kentering te zien:
Microsoft heeft veiligheid tot prioriteit verheven en de meeste bedrijven hebben
technisch hun zaakjes goed voor elkaar.
Maar er kan veel meer worden
gedaan dan nu gebeurt. In het computerrijbewijs moet een zwaar onderdeel
viruspreventie en -bestrijding komen. Vervolgens moet dat rijbewijs verplicht
worden voor een baan, en ook voor een breedbandverbinding thuis. De kwestie is
namelijk dat laks gedrag op het gebied van veiligheid anderen meer schade doet
dan de nalatige persoon zelf. Er moeten sancties komen tegen werknemers die zo
stom zijn om bij de baas een virus te openen. Gewoon aansprakelijk stellen.
Providers moeten worden verplicht mail op virussen te scannen. Met een paar van
dit soort maatregelen heb je het virusprobleem zo onder controle. Nationale
wetgeving is daarvoor voldoende; ik krijg bijna nooit virusmail uit het buitenland.
Huiskamervraag 2: Wie weet
er betere maatregelen tegen virussen?
Maar vooral moet justitie een
signaal geven dat het maken van virussen niet wordt geaccepteerd. Virusmakers
zijn moeilijk genoeg te pakken. Als de pakkans heel klein is, maak dan tenminste
de straf zwaar. Anders komt er nooit een einde aan de ellende. Jan de W. is uit
op een lichtere straf, maar in hoger beroep kan de rechter natuurlijk ook een zwaardere
straf geven. En dat is precies wat hij moet doen.