image

Juridische vraag: Hacker wegens werk aangeklaagd

woensdag 9 december 2009, 12:22 door Arnoud Engelfriet, 16 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Stel, klant A heeft een online applicatie die wordt gehost bij hostingpartij B. In het hostingcontract staat dat A de applicatie mag laten security-testen door derden. Klant A huurt nu penetratietester P in, en verklaart in het inhuurcontract P te vrijwaren van alle juridische claims. B wordt ingelicht en P gaat aan de slag. B blijkt echter te hosten bij partij C, die niet van de test weet. Een medewerker van C heeft de werkzaamheden van P opgemerkt en aangifte gedaan van computervredebreuk (P heeft toegang gekregen tot een admin-applicatie die C aan B aanbood).

Hoe is deze juridische knoop te ontwarren?

Antwoord: Het leuke van contracten voor securitybedrijven schrijven is dat het leuke anekdotes voor de juridische borreltafel oplevert: hoe veel voorwaarden schrijf jij waarin de zinsnede "Indien Opdrachtnemer tijdens de uitvoering van de Opdracht wordt gearresteerd, zal Opdrachtgever zich ogenblikkelijk maximaal inspannen hem op vrije voeten te krijgen" voorkomt?

Contracten helpen echter maar in zekere mate. In deze situatie kan P niets met zijn contract richting C, omdat C geen partij is bij de overeenkomst. P heeft een contract met A, en kan dus alleen A dwingen om zekere dingen te gaan doen. Gelukkig heeft P een vrijwaring. Dat is een juridische clausule waarmee P A kan oproepen bij eventuele rechtszaken om de juridische problemen op te lossen en/of de portemonnee te trekken als A tot schadevergoeding zou worden veroordeeld.

Anders gezegd: A heeft zich contractueel verplicht ervoor te zorgen dat P zijn werk kan doen zonder last met de autoriteiten of andere partijen te krijgen. A heeft dit met B afgedicht door die clausule in het hostingcontract, maar A heeft niet nagevraagd of er achter partij B nog andere partijen staan. Dit lijkt me een wanprestatie van A, zodat P de juridische problemen kan doorschuiven naar het bordje van A.

Mogelijk kan A de afhandeling weer doorschuiven naar B, afhankelijk van hoe het in het hostingcontract staat. Je zou immers kunnen zeggen dat B had moeten melden dat er nog een partij C achter zit, of zelfs dat B na het sluiten van dat hostingcontract een vergelijkbaar beding met C had moeten regelen. Op zijn minst had B even C kunnen inlichten over de komende test.

Het lijkt me dus dat P nu A kan bellen en eisen dat deze de problemen gaat oplossen. Omdat er een contract is met deze partij A, denk ik dat er van vervolging niet veel zal komen. Maar een hoop tijd zal het P wel kosten; en die mag hij aan A doorbelasten.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (16)
09-12-2009, 13:07 door Syzygy
nders gezegd: A heeft zich contractueel verplicht ervoor te zorgen dat P zijn werk kan doen zonder last met de autoriteiten of andere partijen te krijgen. A heeft dit met B afgedicht door die clausule in het hostingcontract, maar A heeft niet nagevraagd of er achter partij B nog andere partijen staan. Dit lijkt me een wanprestatie van A, zodat P de juridische problemen kan doorschuiven naar het bordje van A.

A levert hier geen wanprestatie.

A neemt de service af van B (hosting) en dat is zijn Service Provider en single point of contact !!

C is een service provider van B en misschien heeft B er nog wel meer.
Bovenstaande probleem had B dus in de SLA met C moeten afdekken.
Het is NIET de verantwoordelijkheid van A om alle Serviceproviders van B af te gaan voor hun goedkeuring, B zal uit commercieel oogpunt niet eens graag willen dat A notie heeft van C omdat A dan wellicht direct naar C gaat en daar en betere prijs probeert te krijgen. Indien TIJDENS het contract B een servicecontract met C of een andere partij start zal hij A daar geen eens van op de hoogte stellen. A zal dus nooit weten met wie B allemaal zaken doet.
09-12-2009, 14:48 door Arnoud Engelfriet
A heeft in het contract gezegd dat P ongehinderd aan het werk kan. P wordt toch gehinderd, dat is dus wel degelijk wanprestatie. A had immers met B kunnen (en moeten) afspreken dat B het weer met C (en verder) afstemt. A heeft dat nagelaten. A weet misschien niet dat C bestaat maar had redelijkerwijs moeten vermoeden dat er best een C kan zijn. A had dus naar eventuele C moeten informeren en dan moeten eisen dat B dit voor de rest van de keten gaat regelen.

Wellicht pleegt B óók wanprestatie omdat B naar A beloofd had dat dit mocht en vergeten was op C te wijzen als partij die er misschien ook een mening over heeft.
09-12-2009, 15:18 door Syzygy
Door Arnoud Engelfriet: A heeft in het contract gezegd dat P ongehinderd aan het werk kan. P wordt toch gehinderd, dat is dus wel degelijk wanprestatie. A had immers met B kunnen (en moeten) afspreken dat B het weer met C (en verder) afstemt. A heeft dat nagelaten. A weet misschien niet dat C bestaat maar had redelijkerwijs moeten vermoeden dat er best een C kan zijn. A had dus naar eventuele C moeten informeren en dan moeten eisen dat B dit voor de rest van de keten gaat regelen.

Wellicht pleegt B óók wanprestatie omdat B naar A beloofd had dat dit mocht en vergeten was op C te wijzen als partij die er misschien ook een mening over heeft.



Dan had A wel het bestaan van B moeten weten en daar zal B niet mee te koop lopen !
In een SLA dek je dat af door B verantwoordelijk te stellen voor zijn Serviceproviders en Leveranciers (die ook service provider zijn want ze leveren goederen = service) zowel qua kwaliteit, levering op tijd en wederzijdse communicatie. Prijs is niet zo relevant wat A heeft een prijsafspraak met B als B zijn goederen duurder moet inkopen gaat dat van de winst van B af.

Lees: Itil, Service Management etc.

En waarom moet A redelijkerwijs kunnen vermoeden dat C bestaat ??
09-12-2009, 15:35 door Arnoud Engelfriet
A had moeten vermoeden dat C bestaat omdat het volstrekt gebruikelijk in de branche is dat mensen hosten bij weer andere partijen. Vrijwel niemand heeft een eigen datacenter dat direct op de backbone gaat. A heeft dus een onderzoeksplicht.
09-12-2009, 16:01 door Syzygy
Door Arnoud Engelfriet: A had moeten vermoeden dat C bestaat omdat het volstrekt gebruikelijk in de branche is dat mensen hosten bij weer andere partijen. Vrijwel niemand heeft een eigen datacenter dat direct op de backbone gaat. A heeft dus een onderzoeksplicht.

Normaal als Hoster (Provider) huur je een Rack of een Ruimte in een DATACenter, dan krijg je connectie op de AMSIX of een tak ervan (daar betaal je voor, ruimte, "het kabeltje", dataverbinding, koeling en stroom, toegang en fysieke bewaking)
Vervolgens zet je in dat Rack of die Ruimte Computers neer en je gaat Services verhuren (Webhosting, Schijfruimte maar ook plek in de kast om zelf hardware neer te zetten en wat al niet meer).
09-12-2009, 17:27 door Anoniem
Ik begon al een beetje bang te worden, maar gelukkig blijken ook hier de beste stuurlui weer aan wal te staan.

Syzygy: Het overgrote deel van de 'hostingbedrijven' in Nederland is niet meer dan een als kantoor ingericht overtollig kamertje, een merknaam en wederverkochte ruimte van 'anderen'. Soms drie, vier of vijf lagen dik. Er is maar een zeer beperkt aantal bedrijven met eigen RIPE-lidmaatschap, en zelfs die huren nog delen van hun infrastructuur van anderen, zoals datacenters en verbindingen.
09-12-2009, 18:02 door Syzygy
Door Anoniem: Ik begon al een beetje bang te worden, maar gelukkig blijken ook hier de beste stuurlui weer aan wal te staan.

Syzygy: Het overgrote deel van de 'hostingbedrijven' in Nederland is niet meer dan een als kantoor ingericht overtollig kamertje, een merknaam en wederverkochte ruimte van 'anderen'. Soms drie, vier of vijf lagen dik. Er is maar een zeer beperkt aantal bedrijven met eigen RIPE-lidmaatschap, en zelfs die huren nog delen van hun infrastructuur van anderen, zoals datacenters en verbindingen.

Mee eens maar de apparatuur staat dan wel in een Colo, Telecity, Redbus, ik ken de meeste van binnen hier in de buurt van Amsterdam.
Bedrijven met een eigen DATA centertje (ik ken er hiervan ook een paar) hebben dan een connectie met een datacenter (gebaseerd op het data verkeer wat hun klanten nodig hebben).
Waar het om gaat is dat daar de websites gehost worden.
10-12-2009, 11:10 door spatieman
ik moest het hele verhaal 3x lezen..
rustig, en bij een lekker bakkie koffie.
Maar wat als C een stijfkop is, en toch P BLIJFT vervolgen..
10-12-2009, 11:20 door Arnoud Engelfriet
Dan moet A dat op zien te lossen, desnoods door C een rechtszaak aan te doen.
10-12-2009, 11:45 door Syzygy
Ja bewijs verzamelen, SLA's en relevante documentatie er bij zoeken, advocaat in de hand nemen (Arnoud in de andere hand ;-) en
naar de rechter.
10-12-2009, 14:36 door Anoniem
Maar stel P wordt veroordeeld, dan heeft hij dus wel een strafblad. En stel P wordt zelfs veroordeeld tot gevangenisstraf, dan zal hij die gewoon moeten uitzitten.

Leuk dat A dan wanprestatie heeft geleverd, zijn best had moeten doen om C op andere gedachten te brengen, eventuele schadevergoedingen moet betalen, maar dat gaat puur over de rechtsverhouding tussen A en P. En dan kan P wel roepen dat A vervolging had moeten stoppen, maar daar zal A niet altijd toe in staat zijn. P zal dus, als het even tegenzit, gewoon strafrechtlijk vervolgd kunnen worden.
10-12-2009, 14:47 door Arnoud Engelfriet
A moet er dan voor zorgen dat C de aangifte intrekt, en als A de portemonnee trekt en flink door 't stof gaat dan lukt dat wel. Zonder aangifte geen vervolging, want computervredebreuk is niet te bewijzen als de eigenaar van de computer meldt dat er bij nader inzien toch toestemming tot binnendringen was.

Als het echt niet mogelijk is om de aangifte ongedaan te maken of de veroordeling tegen te houden, dan zal A een forse schadevergoeding aan P moeten ophoesten voor de emotionele schade en het strafblad waar P dan mee zit.
10-12-2009, 15:01 door Anoniem
Vanuit het perspectief van P zit je dan toch met een vrij groot risico lijkt me, bijvoorbeeld:

A gaat failliet. Gezien het amateurisme van A dat al een gegeven in de casus is, en de opkomende schadeclaims, niet eens zo vergezocht. Dan kan het goed zo zijn dat P de (in mijn ogen al magere) bescherming van het contract met A mist.

Of C zo makkelijk van aangifte is af te houden door A valt ook te betwijfelen. Wat heeft C immers met de eerdere fouten te maken? Door van vervolging af te zien, stelt zij zich in feite bloot aan aanvallen, mits ze maar binnen het kader van vage contracten van derden zijn uitgevoerd. Dat zou betekenen dat partij A2 ook een pentester (P2) kan inhuren om weer de beveiliging van een (fake) applicatie gehost bij B te testen, en via die weg weer bij C kan inbreken, zonder risico voor op strafvervolging. Dat A2 indirect, en B direct, een klant is van C zal weinig uitmaken; C zal ze liever kwijt dan rijk zijn. Zelfs als je dit risico niet hoog inschat, staat nog steeds vast dat het risico in ieder geval moeilijk in te schatten is.

Dit zijn slechts twee voorbeelden. De enige echte waarborg voor P zal uit een andere constructie dan simpelweg een contract met alleen A moeten volgen.
10-12-2009, 15:06 door Syzygy
Arnoud:

beetje off topic maar omdat dit uit jouw mond/keyboard komt toch even een aantekening

Zonder aangifte geen vervolging,

In het verleden heb ik wel een zitten brainstormen over de ideale kraak (aan de hand van een diamant roof)
Mijn idee was toen het volgende:

Je rooft voor 2 miljoen aan diamanten, vervolgens bel je de eigenaar dat hij ze terug kan kopen voor een miljoen als hij de aangifte intrekt. Stel de eigenaar gaat om wat voor reden akkoord want hij was bijvoorbeeld niet verzekerd of wat dan ook.
Dan blijf je toch wel strafbaar voor de roof, justitieel gezien.

Hopelijk hebben jullie nu geen verkeerd beeld van mij, ik filosofeer wel eens wat ;-)
Ik ga nu even een uurtje luchten, tot straks hahahaha

Maar laten we verder ON TOPIC blijven !!
10-12-2009, 15:14 door Anoniem
Dan heb ik nog een ideale kraak:

Stel je rooft voor 10000000 miljoen (!) aan diamanten. Vervolgens loop je langs de eigenaar, want misschien kan hij het toevallig niet over zijn hart krijgen om aangifte te doen tegen aardige mensen, en je doet even aardig, dus hij doet geen aangifte, dan heb je dus 10000000 miljoen (!) aan diamanten en wordt je niet vervolgd. IDEAAL!!
11-12-2009, 12:06 door Anoniem
Interessante case... Volgens mij heeft dit hele concept ueberhaupt veel impact op de relatie van bedrijven die outsourcen volgens ASP, SAAS, etc. modellen, en dat gaat veel verder dan alleen penetratietesten.
M.a.w. die modellen zien er wel mooi uit voor een bedrijf, maar de juridische gevolgen/risico's gaan veel verder dan velen op het eerste gezicht zullen bedenken...

Bedankt weer voor een mooie les in "awareness"...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.