Juridische vraag: wie is aansprakelijk voor gehackt systeem?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Deze week een bezemwagen-editie van de Juridische vraag, waarbij Arnoud elke dag kort een vraag behandelt
Vraag: Recent is een van onze servers gehackt. Dit was te herleiden tot een lek in de CMS-software van een klant, waar een cracker misbruik van maakte. Mijn algemene voorwaarden eisen dat men "alles doet dat redelijkerwijs mogelijk is om te voorkomen dat een computervirus of ander kwaadwillig programma schade aanricht". Kan ik hem nu aansprakelijk stellen op grond van deze voorwaarden?
Antwoord: In principe kan dat, maar het feit dat iemand gehackt is betekent nog niet dat er dús sprake is van een overtreding van die voorwaarde. De vraag zal zijn of het redelijkerwijs mogelijk was om deze hack te voorkomen.
Daar komt bij dat je vervolgens moet nagaan of alle schade inderdaad direct het gevolg was van die nalatigheid. Het lijkt me namelijk niet normaal dat een hack bij klant A leidt tot schade bij klant B. De provider moet daar toch voor iets tussen zitten. Dus er zal zeker een component "eigen schuld" aanwezig zijn.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Het is een bug of manco in het CMS.
Minder relevant is dus wie het CMS installeerde.
En in bijna alle softwareovereenkomsten staat dat deze wordt geleverd 'as-is'.
Inclusief alle tekortkomingen.
Ik ken genoeg hosters trouwens die best een CMS willen installeren maar vervolgens er geen onderhoud op doen, "want het was unmanaged" of "dat is volgens mij AV de verantwoordelijkheid van de klant". Door een CMS te installeren wek je echter wel verwachtingen.
Vind dit weer eens een goede vraag,want wat ik in mijn omgeving zo af en toe mee maakt,is droevig.
Er wordt een computer gekocht,vaak bij een bedrijf wat niet gespecialiseerd is in computers,maar alleen deze handel er bij heeft.
Eerste fout,want van deskundige uitleg is hier geen sprake,personeel is hier ook niet voor opgeleid.
Dan gaat men thuis aan werk,zo snel mogelijk op de sociale netwerken,want je kan toch niet zonder tegenwoordig????
Ik ken er zelfs meerdere die geen benul hebben van,welke software en of er een virus scan op de computer staat,erger nog,met welk bestuursringsysteem er wordt gewerkt.
En dan wat u zegt:Het redelijkwijs voorkomen van problemen en de daarbij behorende schuldvraag.is voor mij wel duidelijk,
maar toch,wie is hier nu schuldig,de verkoper/winkel zonder goede instructies/uitleg de persoon die geen benul heeft waar hij/zij mee bezig is of de provider die ook zijn systeem niet voldoende beschermd.
Persoonlijk vind ik,dat als je een computer koopt er verplicht een soort van een korte cursus aan vast moet zitten.
Ik heb kort geleden een nieuwe gekocht,maar bij de installatie thuis werd er ook duidelijke uitleg gegeven,maar dat werd ook gedaan door een goed bekend staande computer leverancier en koste 35 euro exstra.
Henk.
Dat is ongeveer het zelfde als je wachtwoorden meteen zichtbaar op je voorpagina neer zetten.
alle dozen die ik ooit huurden waren voorzien van een goede cms.
Wat voor lek was een ? Een 0day, nog niet gedicht lek, of een lek dat al jaren oud is ?
"Mijn algemene voorwaarden eisen dat men "alles doet dat redelijkerwijs mogelijk is om te voorkomen dat een computervirus of ander kwaadwillig programma schade aanricht"."
Dat is wel een hele generieke omschrijving, die op tal van manieren te interpreteren is. Is het voldoende indien een klant 2 keer per jaar updates installeert ? Of is het nodig dat dit dagelijks of wekelijks gebeurt ?
Heel veel CMS producten hebben "passthru" achtige zaken nodig, moeten sockets kunnen maken voor uitgaand tcp verkeer en allerlei andere "handige" maar onveilige technieken die zorgen voor een stuk "gebruikscomford".
Echter betekent dit dat er dan diverse veiligheidsinstellingen, zoals PHP hardening, filesystem permissions, RBAC policies, firewall rules etc moeten worden uitgeschakeld om een dergelijk CMS te kunnen laten draaien.
Deze beslissing ligt volgens mij als afspraak tussen hoster en klant en de verantwoordelijkheid zal gewoon contractueel moeten zijn vastgelegd. Zoniet zijn wat mij betreft beide partijen verantwoordelijk, alleen al omdat de verantwoordelijkheid is doodgezwegen.
Mij lijkt dat een klant mag verwachten dat een beveiligingsprobleem in door hem/haar geïnstalleerde software binnen de grenzen van zijn hosting account ('sandbox') blijft.
Afzonderlijke accounts op de server zouden nooit bij elkaars omgeving of gegevens moeten kunnen komen. En zeker niet bij de overkoepelende server omgeving. Het aanbrengen van een dergelijke scheiding van omgevingen op een server lijkt me de verantwoordelijkheid van de server/hosting aanbieder (?)
Zelfs binnen een sandbox zijn lekke CMS producten om te bouwen tot fishing platforms, spam automaten, ddos bots en drive-by trojan verspreiders. De website bezoeker is doorgaans de klos, niet de andere systemen of accounts van die hoster.
Wil jij die verantwoordelijkheid bij de hoster leggen? Dat is hetzelfde als je sleutel in je voordeur laten zitten, je spullen laten jatten en dan je huurbaas aanklagen voor nalatigheid want die had het in de gaten moeten houden..!?
Kom op zeg ...
Via een bericht op security.nl eerder deze week las ik dat de automatische updatefunctie van Wordpress vereist dat de Wordpress-files eigendom zijn van de user waaronder de webserver draait en door die user overschreven kunnen worden. Zodra je twee of meer Wordpress-sites op dezelfde server plaatst (onder hetzelfde webserver-proces of onder verschillende processen die met dezelfde user draaien) geeft een lek in de ene site de aanvaller toegang tot de andere sites. Wordpress stelt dan ook dat op shared hosts de Wordpress-files geen eigendom van de webserver moeten zijn.
Is dit (of iets vergelijkbaars) de situatie? Dan is wat mij betreft de klant verantwoordelijk voor de schade aan zijn eigen site en de provider voor de schade aan de andere sites. De provider heeft dan nog ernstiger geblunderd dan de klant.
Daarnaast kan schade ontstaan doordat het gehackte account spam uitstuurt of aan een botnet deelneemt, waardoor het shared IP adres geblacklist wordt. Dat heeft ook impact op andere klanten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
