Juridische vraag: zijn lekke websites strafbaar?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Geregeld ontdek ik triviale beveiligingsfouten bij bedrijven en instellingen. Als ik ze daarop wijs, dan zeggen ze meestal dat ze het gaan fixen, maar maanden later zie ik het dan nog steeds compleet lek online staan. Zijn ze niet verplicht dit te fixen als ze het weten? Wat kan ik doen om ze te dwingen?
Antwoord: Helaas is domheid nog steeds niet strafbaar, net zo min als het online zetten van onbeveiligde applicaties. Er is nu een soort-van meldplicht voor telecombedrijven die gehackt zijn, maar dan moet het gaat om beveiligingslekken waarbij persoonsgegevens zijn buitgemaakt. En voor andere bedrijven geldt zo'n meldplicht niet.
Formeel kun je een bedrijf dus niet dwingen om een beveiligingslek te fixen. Het enige dat je kunt doen, is druk uitoefenen om ze zo te laten inzien dat ze eigenlijk dom bezig zijn.
Binnen de securitywereld is hiervoor de tactiek van "responsible disclosure" ontwikkeld. De ontdekker van een fout meldt eerst het bedrijf waar de fout zit en geeft ze een redelijke termijn om deze te herstellen. Pas na die termijn publiceert de ontdekker zijn bevindingen – maar dat doet hij óók als het bedrijf niet heeft gereageerd of niet met een oplossing voor de fout kan of wil komen.
De wet schrijft geen procedure voor bij responsible disclosure. Het is niet verplicht een fabrikant of ontwikkelaar te informeren over een fout, en ook niet om te wachten tot deze meldt een oplossing voor de fout te hebben. De rechter zal alleen onderzoeken of de gevolgde procedure zorgvuldig is: hoeveel moeite was het om de fabrikant te contacteren, was daar een snelle reactie van te verwachten en hoe belangrijk was het om het publiek te informeren voordat de fout was hersteld? Wat was jouw opstelling, was je een behulpzame bezoeker of vroeg je geld met de ondertoon "anders publiceer ik een exploit"?
Ook zal de mate van gepubliceerd detail meewegen. Publicatie van een theoretische analyse zonder concrete exploit is minder snel een probleem dan publicatie van alleen een stuk software dat de fout misbruikt (of van de complete database met klantgegevens).
Een praktische vuistregel is dat een publicatie van een exploit enkele irrelevante technische details zou moeten weglaten of veranderen, zodat deze niet direct bruikbaar is voor iedereen. Ook zou een exploit eigenlijk alleen op relatief onschuldige wijze moeten laten zien dat het lek bestaat. Een exploit die aantoont dat willekeurige commando’s onder Windows kunnen worden uitgevoerd, kan dat prima demonstreren door het Kladblok te starten in plaats van de System32 directory te wissen. Deze vuistregel werkt niet altijd, en slimme hackers kunnen de exploit vast ombouwen tot iets schadelijkers, maar zo heb je in ieder geval gedaan wat je kon om de schade te beperken.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ben jij wettelijk verplicht om een beter slot op je deur te plaatsen, wanneer ik bij je aanbel, en je laat zien dat ik het slot van je voordeur wel erg gemakkelijk kan openen met een loper ?
Het publiceren van exploits blijft lastig. Door de manier waarop je je exploit uiteenzet ben je dan al niet strafbaar bezig. Wat je dan precies weggeeft aan informatie is vrij irrelevant(zolang het natuurlijk niet die klantendatabase is).
Rechtsonderaan http://www.vliegwinkel.nl staat een icoontje van Thuiswinkel.org, als je daarop klikt kom te terecht op https://beheer.thuiswinkel.org/waarborg/index.asp?bedrijfid=6e21f5dc62713689871903d48a0cbade met het Certificaat Thuiswinkel Waarborg voor Vliegwinkel.nl. Daarin staat onder meer:
Als beheerders zo met security omgaan is zoiets zelden het enige lek. Nb. vorig jaar werd Cheaptickets.nl gehacked (zie http://www.security.nl/artikel/38940/Negeren_Windows_updates_nekt_CheapTickets.nl.html). Vliegwinkel.nl en Cheaptickets.nl vallen onder dezelfde organisatie (Travix International B.V. -naast CheapTickets en Vliegwinkel zijn dit BudgetAir, EasyToBook.com, Vayama, en Flugladen- zie http://www.cheaptickets.nl/persberichten_229).
Zie ook http://www.security.nl/artikel/40317/1/Thuiswinkel.org_biedt_geen_garantie_tegen_hackers.html en http://www.security.nl/artikel/36753/vliegwinkel.nl_onbeveiligd%3F.html.
Wat is voldoende ? Bedenk daar ook bij dat een site die vandaag veilig is, morgen weer kwetsbaar kan zijn t.g.v. een nieuwe vulnerability. Verder is patchen ook afhankelijk van de vraag of er compatibiliteitsproblemen zijn met gebruikte software.
Wat is voldoende ? Bedenk daar ook bij dat een site die vandaag veilig is, morgen weer kwetsbaar kan zijn t.g.v. een nieuwe vulnerability. Verder is patchen ook afhankelijk van de vraag of er compatibiliteitsproblemen zijn met gebruikte software.
Hoewel "voldoende" dus niet heel precies is, zijn sommige beveiligingslekken wel van dien aard dat dat "voldoende" absoluut niet gehaald wordt.
Het vliegwinkel-voorbeeld van hierboven valt hieronder; er is al jaren beveiliging mogelijk maar er wordt toch geen encryptie toegepast.
Echter, veel succes gewenst met het melden bij het CBP (geen idee overigens of dat "voldoende" verhaal in de Wet Bescherming Persoonsgegevens staat, maar zoiets lijkt me wel zinnig)... lijkt me een beetje een tandeloze tijger..
Wel leuk als media e.d. het zouden oppakken; daarom ook belangrijk dat je het zo integer/onpartijdig mogelijk brengt...
In het vliegwinkel geval is bewijs nog makkelijker omdat vliegwinkel op hun website vermeldt dat ze voldoen aan de eisen van die thuiswinkelorganisatie... dus encryptie.
Dat is een afweging die de rechter moet maken, op basis van de onderbouwing van beide partijen (net zoals bijvoorbeeld bij akties van Undercover in Nederland, waarbij men regels overtreedt om de beveiliging van bijv. Schiphol of een legerbasis uit te testen).
Maar ondertussen sta je nog steeds in de rechtzaal. Helaas is het voor jezelf nog steeds het beste gewoon niets te doen, je mond te houden en er met een grote boog omheen te lopen. Bijna niemand houdt van klokkenluiders.
Zelf noem ik dat geen domheid. Ik noem dit onverantwoordelijkheid. Ik zou er zelfs het woord medeplichtigheid op plakken.
Met andere woorden. Als er zich een beveiligingslek bevind in een site van een bank . Via dat lek worden klantgegevens gestolen en rekeningen geplundert, kan de bankinstelling niet gedwongen worden om het lek te dichten. Dan zijn we inderdaag zeer goed bezig !!!
(zeker als daardoor geld van je rekening kan worden gehaald, tot nu toe geeft de bank je het nog terug )
"Zelf noem ik dat geen domheid. Ik noem dit onverantwoordelijkheid. Ik zou er zelfs het woord medeplichtigheid op plakken."
Medeplichtig ? Volgens mij ben je een beetje de weg kwijt.
"Met andere woorden. Als er zich een beveiligingslek bevind in een site van een bank . Via dat lek worden klantgegevens gestolen en rekeningen geplundert, kan de bankinstelling niet gedwongen worden om het lek te dichten. Dan zijn we inderdaag zeer goed bezig !!!"
Is het niet aan de bank om te bepalen of ze het risico accepteren, of dat ze het probleem verhelpen, zolang de klant niet met de kosten wordt opgezadeld ?
Immers is ultieme beveiliging niet de doelstelling van een bedrijf, en als de kosten om systemen verder te beveiligen hoger zijn dan de kosten waarmee men geconfronteerd wordt wanneer men het risico accepteert, dan is dat uiteindelijk een keuze.
Indien de bank fraude volledig zou kunnen uitbannen, door een bedrag van 1000 euro per klant extra te investeren, en deze kosten aan ons door te berekenen, zou je dat dan accepteren ? Of zou je dan liever de schade accepteren, zeker indien de bank garant staat voor geleden schade ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
