Wie is aansprakelijk voor misbruik van je VoIP-centrale?

| AE 2662 | Security | 7 reacties

voip-telefonie.pngAls iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld ” 33,50 per maand, en de factuur van april 2010 voor ” 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud

Deel dit artikel

  1. Mijn eerste gedachte: Als het een consument ipv een bedrijf geweest was, had het gebrek aan bellimiet dan wel nalatigheid geweest?

    Ik moet zeggen dat bij mijn werkgever (consumer-only, internet en bellen en tv) we inderdaad ook een bellimiet hebben, zodra er over de 300E gegaan wordt gaat VoIP verkeer dicht totdat we contact met de klant hebben gehad. Dat is niet alleen een bescherming van de klant, maar ook een bescherming voor ons, juist tegen dit soort conflicten, om het nog maar niet te hebben over het feit dat mensen het vaak helemaal niet kunnen betalen zomaar ineens, laat staan willen. Wel is die limiet aan te passen indien nodig.

    Het niet instellen van zo’n limiet, waardoor er grote betalingsconflicten ontstaan en zelfs rechtzaken, zou je wel eens kunnen zien als nalatigheid jegens hun aandeelhouders 🙂

  2. Bij consumenten kan ik me eerder voorstellen dat een provider een zorgplicht heeft. In de praktijk ken ik ook daar voorbeelden: mensen die tijdens hun vakantie voor 1000 euro met Roemenië gebeld zouden hebben bijvoorbeeld. En het is héél lastig je telecomprovider te overtuigen van de onjuistheid van zo’n rekening.

    Ik vraag me wel af welke consument een eigen VoIP-centrale heeft. 😉

  3. Het is voor iemand met ’n beetje Linux-kennis niet zo moeilijk om een VoIP-centrale op te zetten in een thuisroutertje. (Of op een computer, maar als je een computer 24/7 aan moet laten staan moet je wel erg veel bellen om alsnog goedkoper uit te zijn.) Zelf heb ik thuis de OpenWRT-firmware met Asterisk als telefooncentrale ingezet. Toegegeven, ik gebruik deze opstelling vooral zakelijk (als backup), maar ook zonder onderneming had ik zo’n opstellinkje wel gebouwd.

    Ook met mijn Asterisk-installatie kan je na het intoetsen van de juiste cijfercombinatie naar willekeurige nummers bellen. Om te voorkomen dat dat uit de hand loopt als een ander mijn cijfercode raadt of een eventueel lek in de software misbruikt, gebruik ik prepaid SIP trunks.

  4. Een eigen server kan van alles zijn, eigenlijk. Een beetje computer met daarin een speciale hardware kaart en Asterisk (open-source) als besturing en je hebt meteen een vrij krachtig systeem. Maar er zijn ook diverse andere systemen, maar die zijn dan ook weer duurder. Nadeel van Asterisk is dat het gebouwd is op Linux en eigenlijk geen anti-virus software bevat, of andere software die kan beschermen tegen hackers. Dergelijke software bestaat wel, maar die moet je er dan wel bij installeren en up-to-date houden. Beveiliging is vaak iets waar velen niet bij stilstaan en soms gewoon totaal negeren. Zeg nou zelf, rijden zonder veiligheidsgordels is prettiger. Motorrijden zonder helm is ook best een goed gevoel. Een broek dragen zonder riem en/of bretels geeft ook een redelijk vrij gevoel. Maar ja, als het mis gaat sta je mooi voor lol met je broek om je enkels… Maar goed, VOIP is handig als je de telefonie-kosten laag wilt houden. Als je dan als provider merkt dat een klant die normaal gesproken erg lage rekeningen heeft en nu opeens vreemde en dure telefoontjes pleegt, dan zou je eigenlijk meteen moeten kijken wat er aan de hand is. Dat is een mooie, extra service richting de klant om dergelijk misbruik te voorkomen maar is natuurlijk geen verplichting. Het gaat om een B2B afspraak en dan moet je zelf maar de extra zorgplicht van de provider afspreken. In dat opzicht vind ik de uitspraak van de rechter ook vrij logisch. Sowieso dom dat er geen limiet is afgesproken. Iets in de vorm van “niet meer dan 100 Euro per maand” of “geen gesprekken naar de volgende landen”.

    Het heeft weinig gescheeld of ik had zelf ook een VoIP centrale in huis gehad! Ik heb enige tijd software geschreven voor het aansturen van PBX systemen en overwoog een tijdje om er thuis meer over te leren. Maar ja, die werkgever ging failliet en daarna eigenlijk nooit meer aan toe gekomen. Toch is het voor veel hobbyisten best eenvoudig om zelf een eigen centrale te bouwen, met een compleet PBX systeem en allerlei extra mogelijkheden zoals een bel-script, wachtmuziek, automatische doorschakeling en zelf het opnemen van gesprekken voor latere archivering. Immers, als je toch maar een consument bent is er volgens mij niemand die mij kan verbieden om alle gesprekken gewoon op te nemen en op te slaan op mijn harde schijf. Toch? 🙂 Overigens, BelCentrale heeft een cloud-PBX systeem, waarbij zij de PBX in hun eigen systeem hosten en waarbij je voor vrij lage prijzen gewoon gebruik van kunt maken. En wie minder technisch is, een eenvoudige PBX met Asterisk is al verkrijgbaar vanaf $1.259,50! En ja, dat is inclusief de server hardware. En die prijs zit hem voornamelijk in de speciale hardware die je nodig hebt… Maar voor zo’n EUR 1.500 kun je als eenvoudige consument zo je eigen PBX centrale in huis hebben! Mogelijk nog goedkoper als je de hardware tweedehands kunt kopen of zo…

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS