Juridische vraag: Hacker wegens werk aangeklaagd
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Stel, klant A heeft een online applicatie die wordt gehost bij hostingpartij B. In het hostingcontract staat dat A de applicatie mag laten security-testen door derden. Klant A huurt nu penetratietester P in, en verklaart in het inhuurcontract P te vrijwaren van alle juridische claims. B wordt ingelicht en P gaat aan de slag. B blijkt echter te hosten bij partij C, die niet van de test weet. Een medewerker van C heeft de werkzaamheden van P opgemerkt en aangifte gedaan van computervredebreuk (P heeft toegang gekregen tot een admin-applicatie die C aan B aanbood).
Hoe is deze juridische knoop te ontwarren?
Antwoord: Het leuke van contracten voor securitybedrijven schrijven is dat het leuke anekdotes voor de juridische borreltafel oplevert: hoe veel voorwaarden schrijf jij waarin de zinsnede "Indien Opdrachtnemer tijdens de uitvoering van de Opdracht wordt gearresteerd, zal Opdrachtgever zich ogenblikkelijk maximaal inspannen hem op vrije voeten te krijgen" voorkomt?
Contracten helpen echter maar in zekere mate. In deze situatie kan P niets met zijn contract richting C, omdat C geen partij is bij de overeenkomst. P heeft een contract met A, en kan dus alleen A dwingen om zekere dingen te gaan doen. Gelukkig heeft P een vrijwaring. Dat is een juridische clausule waarmee P A kan oproepen bij eventuele rechtszaken om de juridische problemen op te lossen en/of de portemonnee te trekken als A tot schadevergoeding zou worden veroordeeld.
Anders gezegd: A heeft zich contractueel verplicht ervoor te zorgen dat P zijn werk kan doen zonder last met de autoriteiten of andere partijen te krijgen. A heeft dit met B afgedicht door die clausule in het hostingcontract, maar A heeft niet nagevraagd of er achter partij B nog andere partijen staan. Dit lijkt me een wanprestatie van A, zodat P de juridische problemen kan doorschuiven naar het bordje van A.
Mogelijk kan A de afhandeling weer doorschuiven naar B, afhankelijk van hoe het in het hostingcontract staat. Je zou immers kunnen zeggen dat B had moeten melden dat er nog een partij C achter zit, of zelfs dat B na het sluiten van dat hostingcontract een vergelijkbaar beding met C had moeten regelen. Op zijn minst had B even C kunnen inlichten over de komende test.
Het lijkt me dus dat P nu A kan bellen en eisen dat deze de problemen gaat oplossen. Omdat er een contract is met deze partij A, denk ik dat er van vervolging niet veel zal komen. Maar een hoop tijd zal het P wel kosten; en die mag hij aan A doorbelasten.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
A levert hier geen wanprestatie.
A neemt de service af van B (hosting) en dat is zijn Service Provider en single point of contact !!
C is een service provider van B en misschien heeft B er nog wel meer.
Bovenstaande probleem had B dus in de SLA met C moeten afdekken.
Het is NIET de verantwoordelijkheid van A om alle Serviceproviders van B af te gaan voor hun goedkeuring, B zal uit commercieel oogpunt niet eens graag willen dat A notie heeft van C omdat A dan wellicht direct naar C gaat en daar en betere prijs probeert te krijgen. Indien TIJDENS het contract B een servicecontract met C of een andere partij start zal hij A daar geen eens van op de hoogte stellen. A zal dus nooit weten met wie B allemaal zaken doet.
Wellicht pleegt B óók wanprestatie omdat B naar A beloofd had dat dit mocht en vergeten was op C te wijzen als partij die er misschien ook een mening over heeft.
Wellicht pleegt B óók wanprestatie omdat B naar A beloofd had dat dit mocht en vergeten was op C te wijzen als partij die er misschien ook een mening over heeft.
Dan had A wel het bestaan van B moeten weten en daar zal B niet mee te koop lopen !
In een SLA dek je dat af door B verantwoordelijk te stellen voor zijn Serviceproviders en Leveranciers (die ook service provider zijn want ze leveren goederen = service) zowel qua kwaliteit, levering op tijd en wederzijdse communicatie. Prijs is niet zo relevant wat A heeft een prijsafspraak met B als B zijn goederen duurder moet inkopen gaat dat van de winst van B af.
Lees: Itil, Service Management etc.
En waarom moet A redelijkerwijs kunnen vermoeden dat C bestaat ??
Normaal als Hoster (Provider) huur je een Rack of een Ruimte in een DATACenter, dan krijg je connectie op de AMSIX of een tak ervan (daar betaal je voor, ruimte, "het kabeltje", dataverbinding, koeling en stroom, toegang en fysieke bewaking)
Vervolgens zet je in dat Rack of die Ruimte Computers neer en je gaat Services verhuren (Webhosting, Schijfruimte maar ook plek in de kast om zelf hardware neer te zetten en wat al niet meer).
Syzygy: Het overgrote deel van de 'hostingbedrijven' in Nederland is niet meer dan een als kantoor ingericht overtollig kamertje, een merknaam en wederverkochte ruimte van 'anderen'. Soms drie, vier of vijf lagen dik. Er is maar een zeer beperkt aantal bedrijven met eigen RIPE-lidmaatschap, en zelfs die huren nog delen van hun infrastructuur van anderen, zoals datacenters en verbindingen.
Syzygy: Het overgrote deel van de 'hostingbedrijven' in Nederland is niet meer dan een als kantoor ingericht overtollig kamertje, een merknaam en wederverkochte ruimte van 'anderen'. Soms drie, vier of vijf lagen dik. Er is maar een zeer beperkt aantal bedrijven met eigen RIPE-lidmaatschap, en zelfs die huren nog delen van hun infrastructuur van anderen, zoals datacenters en verbindingen.
Mee eens maar de apparatuur staat dan wel in een Colo, Telecity, Redbus, ik ken de meeste van binnen hier in de buurt van Amsterdam.
Bedrijven met een eigen DATA centertje (ik ken er hiervan ook een paar) hebben dan een connectie met een datacenter (gebaseerd op het data verkeer wat hun klanten nodig hebben).
Waar het om gaat is dat daar de websites gehost worden.
rustig, en bij een lekker bakkie koffie.
Maar wat als C een stijfkop is, en toch P BLIJFT vervolgen..
naar de rechter.
Leuk dat A dan wanprestatie heeft geleverd, zijn best had moeten doen om C op andere gedachten te brengen, eventuele schadevergoedingen moet betalen, maar dat gaat puur over de rechtsverhouding tussen A en P. En dan kan P wel roepen dat A vervolging had moeten stoppen, maar daar zal A niet altijd toe in staat zijn. P zal dus, als het even tegenzit, gewoon strafrechtlijk vervolgd kunnen worden.
Als het echt niet mogelijk is om de aangifte ongedaan te maken of de veroordeling tegen te houden, dan zal A een forse schadevergoeding aan P moeten ophoesten voor de emotionele schade en het strafblad waar P dan mee zit.
A gaat failliet. Gezien het amateurisme van A dat al een gegeven in de casus is, en de opkomende schadeclaims, niet eens zo vergezocht. Dan kan het goed zo zijn dat P de (in mijn ogen al magere) bescherming van het contract met A mist.
Of C zo makkelijk van aangifte is af te houden door A valt ook te betwijfelen. Wat heeft C immers met de eerdere fouten te maken? Door van vervolging af te zien, stelt zij zich in feite bloot aan aanvallen, mits ze maar binnen het kader van vage contracten van derden zijn uitgevoerd. Dat zou betekenen dat partij A2 ook een pentester (P2) kan inhuren om weer de beveiliging van een (fake) applicatie gehost bij B te testen, en via die weg weer bij C kan inbreken, zonder risico voor op strafvervolging. Dat A2 indirect, en B direct, een klant is van C zal weinig uitmaken; C zal ze liever kwijt dan rijk zijn. Zelfs als je dit risico niet hoog inschat, staat nog steeds vast dat het risico in ieder geval moeilijk in te schatten is.
Dit zijn slechts twee voorbeelden. De enige echte waarborg voor P zal uit een andere constructie dan simpelweg een contract met alleen A moeten volgen.
beetje off topic maar omdat dit uit jouw mond/keyboard komt toch even een aantekening
Zonder aangifte geen vervolging,
In het verleden heb ik wel een zitten brainstormen over de ideale kraak (aan de hand van een diamant roof)
Mijn idee was toen het volgende:
Je rooft voor 2 miljoen aan diamanten, vervolgens bel je de eigenaar dat hij ze terug kan kopen voor een miljoen als hij de aangifte intrekt. Stel de eigenaar gaat om wat voor reden akkoord want hij was bijvoorbeeld niet verzekerd of wat dan ook.
Dan blijf je toch wel strafbaar voor de roof, justitieel gezien.
Hopelijk hebben jullie nu geen verkeerd beeld van mij, ik filosofeer wel eens wat ;-)
Ik ga nu even een uurtje luchten, tot straks hahahaha
Maar laten we verder ON TOPIC blijven !!
Stel je rooft voor 10000000 miljoen (!) aan diamanten. Vervolgens loop je langs de eigenaar, want misschien kan hij het toevallig niet over zijn hart krijgen om aangifte te doen tegen aardige mensen, en je doet even aardig, dus hij doet geen aangifte, dan heb je dus 10000000 miljoen (!) aan diamanten en wordt je niet vervolgd. IDEAAL!!
M.a.w. die modellen zien er wel mooi uit voor een bedrijf, maar de juridische gevolgen/risico's gaan veel verder dan velen op het eerste gezicht zullen bedenken...
Bedankt weer voor een mooie les in "awareness"...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
