Tijd voor wettelijke productveiligheidsaansprakelijkheid?

Een brakke ICT-beveiliging is niet strafbaar, maar wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Kun je zoiets regelen? In theorie wel. Dat van dat niet ontploffen is namelijk al wettelijk geregeld. Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.

Even heel simpel copypasten van het wetsartikel en je krijgt “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”. Natuurlijk hou je nog steeds het probleem van hoe je de schade meet van een gelekt persoonsgegeven, maar dat is een andere discussie.

Met zo’n regel zou je dus kunnen zeggen dat het lekken van bedrijfsdossiers door een lekke consumentenrouter geen gebrek is: het beoogde gebruik was een toevallig voorbijfietsende wifizoekende buiten te houden, dit soort industriële spionage valt daarbuiten. Net zoals je geen fietsslot gebruikt om nucleaire wapens te beveiligen (ahem). En met die “stand der techniek”-opmerking voorkom je aansprakelijkheid voor later ontdekte hacks die je niet had kunnen weten bij het bouwen – maar hacks die je hád moeten weten, maken je product wel gebrekkig.

Dat van dat kennisniveau had ik bedacht omdat je bij ICT-producten vaak toch wel enig meedenken mag verwachten. Maar hoe veel, dat hangt dan af van de doelgroep. Die consument wil draadloos internet in z’n huis, en niet hoeven nadenken over wat nu een veilige WPA2 key is en of je nou wel of niet TKIP moest gebruiken en hoe je het serienummer van je Apple-laptop achterhaalt voor op de MAC-whitelist. Die router moet dus gewoon zo veilig mogelijk zijn ingesteld en een lang willekeurig wachtwoord met een sticker op de achterkant hebben.

Nadeel: dit leidt wel tot beperkte functionaliteit, want als die consument dan met een handige forumpost in de hand zijn netwerk gaat tweaken, krijgt hij allemaal disclaimers om z’n oren. (Net zoals ik laatst met mijn nieuwe mp3speler: wil je harder dan standje 15 dan moet je eerst bevestigen dat je dat op eigen gehoorsrisico doet. Want ik zou ze eens productaansprakelijk kunnen houden voor gehoorschade omdat ik het geluid op maximaal zet.)

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Arnoud

24 reacties

  1. Het probleem is volgens mij dat de meeste hacks niet komen door gebrekkige hardware maar door gebrekkige software. En de meeste van die hacks (die in het nieuws kwamen in elk geval) kwamen dan weer door verouderde software of gebruikersfouten.

    Wat ga je doen als er in open source software een fout blijkt te zitten. Wie is er dan aansprakelijk?

    1. Degene die de klant/gebruiker de software heeft geleverd. Hoe hij aan de software komt is voor de klant/gebruiker niet relevant. Net zoals het voor de klant niet uit maakt waar Dixons die laptop van daan heeft. De lverancier kan dan vervolgens zijn leverancier verantwoordelijk stellen. Net zolang tot dat je bij de programmeur (of werkgever van de programmeur) uitkomt.

  2. Kleine nuance mbt kernwapens en PAL.

    Veel kernwapens hadden inderdaad combinatiesloten, soms ook met een eenvoudige code..

    “For the Minuteman ICBM force, the US Air Force’s Strategic Air Command worried that in times of need the codes would not be available, so they quietly decided to set them to 00000000. The missile launch checklists included an item confirming this combination until 1977.” Bron: https://en.wikipedia.org/wiki/PermissiveActionLink

    En zo is het strafbaar stellen van kwetsbare hard/software ook een nuance, want kun je de developer / leverancier aansprakelijk stellen als de gebruiker de software nooit update of volgens de instructies gebruikt?

    1. Ik denk niet dat een software-fabrikant voor veiligheidsinformatie mag verwijzen naar een “application note” die alleen via een link, genoemd in een voetnoot van de handleiding (goed verstopt op de driver cd-rom), te bereiken is. De norm zal moeten zijn dat software en apparaten met “redelijk veilige” standaardinstellingen geleverd worden. Daarnaast hoort een handleiding heldere informatie te verschaffen over hoe de veiligheidsfuncties van een apparaat gebruikt horen te worden en te waarschuwen tegen valkuilen.

      Ik denk niet dat “U doet geen automatische update” een vrijbrief kan zijn van de softwareleverancier om alle aansprakelijkheid af te schuiven. In principe horen er geen veiligheidsgaten in software te zitten en een automatische update werkt niet tegen “zero day” exploits. Updates met licentiewijzigingen zijn geen bugfixes, enz. En wanneer een update zaken op de machine kapot maakt zou de softwareleverancier ook garantie moeten leveren.

  3. Er valt wat voor te zeggen, in ieder geval voor business-to-consumer. Business-to-business moet onderling kunnen afspreken hoe ze de aansprakelijkheid regelen, en voor consumer-to-consumer en consumer-to-business (bijv. open source projecten) moet een “gebruik op eigen risico” constructie mogelijk blijven.

    Aan de andere kant: waarom zouden mensen niet ALTIJD zelf mogen kiezen? Alleen voor zaken waar mensen gedwongen aan meedoen (zoals overheidsdiensten) moeten zeer strenge regels gelden. Voor andere zaken moet de consument vooral goed geïnformeerd worden. Ik denk dat er een keurmerk voor elektronische producten moet komen, dat o.a. keurt hoe de aansprakelijkheid is geregeld.

    1. Ik zou zeggen dat je het keuzerecht moet opzeggen/intrekken als de kans reëel is dat men de verkeerde keuze maakt én de gevolgen van die keuze aanzienlijk kunnen zijn. Autogordels hebben we verplicht gesteld om die reden: mensen doen ‘m vaak niet om en de schade voor de maatschappij is groot (ook aan anderen dan de bestuurder). Producten mogen niet ontploffen want de gemiddelde consument kan niet goed inschatten wat “op eigen risico” in die situatie betekent én de gevolgen – zaakschade en letsel – zijn aanzienlijk. Abseilen mag wel op eigen risico want je kunt inschatten of je zoiets kan, en de gevolgen zijn eigenlijk alleen voor jezelf aanzienlijk.

      1. Je hebt volgens mij twee argumenten:

        de gemiddelde consument kan niet goed inschatten
        Daarvoor stel ik dus een keurmerk voor. Een keurmerk vereenvoudigt de inschatting, terwijl het niet de vrijheid beperkt (wat wel het geval is bij een verbod/verplichting).

        de schade voor de maatschappij is groot (ook aan anderen dan de bestuurder)

        Ik denk dat dat vooral een punt is voor zover het derden betreft, die helemaal op geen enkele manier ergens mee akkoord zijn gegaan (zoals bijv. medeweggebruikers bij verkeersveiligheid). Dit geldt dus niet tegenover de ontvanger bij gewone levering van elektronische producten en diensten. Kan je voorbeelden bedenken waarbij ICT-veiligheid tegenover buitenstaanders van belang is?

  4. Ik ben het met je eens. Er is te veel prutswerk in de industrie. Niet alleen tegenover consumenten, but ook op de zakelijke markt. En niet alleen met betrekking tot beveiliging, maar ook met correctheid. Om zoiets in te voeren wordt moeilijk (zou op zijn minst op Europees niveau moeten), en met waarschijnlijk een lange lead time (hoe kan een leverancier zijn risico’s beperken). Misschien met certificering van sommige van de ontwikkelaars (verantwoordelijken) (een indicatie van zorgvuldigheid)?

  5. LOL deze stond een regel onder jouw artikel in mij rss lezer. https://www.security.nl/posting/362302/Fabrikant+IP-camera%27s+erkent+lakse+beveiliging

    Even zoekende naar concrete voorbeelden Arnoud: Is er iets geregeld rondom bv chip tuning van autos en evt schade Te hard rijden op banden die daar niet voor bedoeld zijn Ehhh zit hard te denken over dingen die ik in de winkel koop en dan kan (laten) ombouwen. Ik mijn wasmachine op 95 graden laat draaien en dan alle was gekrompen is

  6. Een brakke ICT-beveiliging is niet strafbaar, maar wordt dat niet eens tijd?
    Jazeker! Maar leg wel de verantwoordelijkheid bij de juiste persoon! Veel software-gebruikers zijn namelijk zelf de boel flink aan het verklooien, waardoor zelfs de beste beveiliging faalt. Het Britse Parlement, bijvoorbeeld, wordt geacht zeer vertrouwelijk met hun data om te gaan maar als je dan ziet hoeveel pornosites vanuit dat parlement bezocht worden dan ga je toch echt twijfelen of ze de beveiliging niet zelf saboteren. In de Telegraaf (bezoeken op eigen risico!) staat een artikel over hoe een mailbox werd gehackt en er vertrouwelijke artikelen op straat komen te liggen. Verrassend genoeg geeft mijn McAfee virusscanner een popup boven de pagina die mij waarschuwt dat er verdachte zaken op de pagina zijn geblokkeerd wat zou betekenen dat een bezoek aan de Telegraaf op zich al een risico vormt! Maar hoe hack je een mailbox? Eigenlijk heel simpel: of je lokt de eigenaar ervan in een val om jou het wachtwoord te vertellen of je doet een brute-force aanval met de meest voorkomende wachtwoorden. “1234”, “ABCDEF”, enzovoorts. “Broeke1977” zou ook een mogelijkheid kunnen zijn als combinatie van haar achternaam en geboortejaar. (Kun je op Wikipedia vinden!) Het is maar een gok maar desondanks eentje die regelmatig raak schiet. Weinig mensen die “KBB42qwlu%$zx@p87” als wachtwoord selecteren…

    Hoe kun je 100% veiligheid bieden indien gebruikers zelf de boel saboteren? De enige manier waarop je als ICT-bedrijf een veilig systeem kunt bieden is door zelf de volledige controle te hebben over de software en de hardware. En ja, dan denk ik meteen aan cloud-oplossingen hoewel je dan toch weer met het probleem zit dat gebruikers hun login gegevens slordig opbergen of deze op een phishing site gebruiken. Veiligheid wordt sowieso teniet gedaan als er op de monitor van een PC een geel Post-It briefje hangt met daarop alle login-gegevens.

    Indien gebruikers voorzichtiger omgaan met dit soort gegevens dan is zelfs een brakke beveiliging vaak voldoende om de meeste aanvallen tegen te houden. Virusscanner installeren, je software altijd updaten, lange, complexe wachtwoorden gebruiken en bij voorkeur voor iedere account een ander wachtwoord gebruiken. Wachtwoorden niet op je computer opslaan maar als je geheugen lek is, schrijf ze dan op in een boekje dat je in een beveiligde kluis kunt leggen. Het alternatief is namelijk dat je fabrikanten dwingt om belachelijk zware beveiligings-maatregelen te nemen die de gebruiker alleen maar meer geld kosten. Krijg je dingen zoals een RSA Token die ontwikkelaars veel geld kosten en wat ze dus aan de klant doorberekenen. Of speciale scanners voor je vingerafdruk of retina. Misschien wel een DNA check voor je mag inloggen. Moet je een druppel bloed inleveren op je computer voor je Notepad kunt starten. Of vergelijk het met je fiets. Fietsen worden vaak gestolen dus hoeveel sloten garanderen de veiligheid van je fiets? Enkel een hangslot? Een hangslot met een tweede kettingslot? Een stuurslot? Of het losmaken van je voorwiel zodat de dief niet kan wegfietsen? Een vouwfiets die je in een rugtas mee kunt nemen? Een beveiligde Brinks-auto die achter je aan rijdt en waarin je je fiets neerzet als je een winkel in gaat? Er is gewoon een grens aan het redelijke, als het gaat om beveiliging. En een consument moet zichzelf gewoon goed informeren over de beveiliging van een systeem, de risico’s en vooral ook wat de fabrikant garandeert indien de beveiliging alsnog wordt verbroken. En verder, gevoelige informatie niet bewaren in je mailbox maar downloaden en op een encrypted USB stick plaatsen. Maar ja, voor veel gebruikers is dat al teveel moeite.

  7. Nog een mooi voorbeeld van het lakse gedrag van gebruikers: Einde Windows XP ramp voor scholen. Snapt iemand dat nou? Windows XP is ondertussen al 10 jaar oud en staat niet echt bekend om zijn veiligheid. Maar deze scholen hebben al jaren niet geinvesteerd in de beveiliging van hun software en hardware, wat eigenlijk wel zou moeten. En nu klagen ze over het feit dat dit een ramp gaat worden. Een ramp die ze vele jaren geleden al aan hadden kunnen zien komen… Natuurlijk zouden deze scholen gewoon de hardware kunnen behouden en overstappen op Linux, maar dat is een enorm gevoelige discussie. Sowieso is dat geen garantie dat ze veiliger zullen zijn, mede ook omdat veel mensen gewoon onbekend zijn met Linux. Maar naarmate er meer cloud-toepassingen komen is Linux een steeds beter alternatief omdat je dan eigenlijk alleen nog een web browser nodig hebt. En een login account. Oeps! Niemand lijkt overigens begrip te hebben voor de situatie van deze scholen, terwijl deze scholen hun beveiliging steeds zwakker hebben zien worden en de beveiliging nu feitelijk helemaal verdwijnt. Is dat de schuld van de fabrikant? Of van de gebruiker die niet meeloopt met de nieuwste ontwikkelingen?

    1. Waarom mag Microsoft eenzijdig besluiten het fixen van XP bugs te stoppen? De verantwoordelijkheid om conforme software te leveren vervalt niet na 10 jaar! Waarom biedt MS niet een gratis upgrade aan naar Windows 7 (met benodigde hardware update)?

      Ik weet dat Microsoft’s verdienmodel anders is, maar autofabrikanten doen ook recalls van modellen die niet meer in productie zijn.

      1. Waarom zouden ze dat niet mogen? Indertijd was XP best een goed en redelijk veilig systeem. Microsoft heeft daarnaast van alles gedaan om de beveiliging te verbeteren in de vorm van nieuwere versies. Wil je veilig blijven dan zul je mee moeten upgraden. Vergeet niet dat hackers iedere keer weer opnieuw nieuwe kwetsbaarheden kunnen vinden in Windows XP die indertijd niet eens voor mogelijk werden geacht. Videokaarten blijken tegenwoordig zo krachtig dat ze makkelijk ingezet kunnen worden om wachtwoorden te kraken en allerlei beveiligingsmaatregelen te doorbreken. Grote netwerken van botnets houden zich ook bezig met het steeds verder kraken van de beveiliging en steeds meer potentiele kwetsbaarheden worden bekend gemaakt en misbruikt. Tel daarbij op dat veel moderne software eigenlijk niet meer werkt onder XP omdat fabrikanten zich richten op de nieuwste versies en het mag een wonder zijn dat Microsoft het na 12 jaar nog steeds ondersteunt. Alsof je na 12 jaar nog steeds fabrieksgarantie eist op je BMW…

        1. Alsof je na 12 jaar nog steeds fabrieksgarantie eist op je BMW…

          Het verschil is dat fysieke apparaten (zoals BMW’s) slijten, terwijl software niet slijt. Alle beveiligingsfouten die ontdekt worden, hebben er altijd al in gezeten. De leverancier moet gewoon die fouten herstellen, totdat alle fouten er uit gehaald zijn.

          Een manier om dat te doen is om een gratis upgrade naar een nieuwe versie aan te bieden. De functionaliteit van die nieuwe versie moet dan wel 100% van de functionaliteit van de oude versie hebben, inclusief compatibiliteit met oude hardware (die bijv. weinig geheugen heeft) en oude software.

          Zo bekeken is aansprakelijkheid bij commerciële software een ramp. Ik denk dat er een alternatief is dat redelijker is voor de leverancier: * publiceer de broncode (evt. pas op het moment dat je zelf wilt stoppen met support) onder licentievoorwaarden die 3rd parties in staat stellen om veiligheids-updates te maken * zeg tegen klanten dat ze hun support maar moeten kopen bij 3rd parties Dit had je eigenlijk wel van te voren moeten afspreken met je klanten.

  8. Met hardware heb je ook dat je kunt kiezen uit tig kaarten die in een moederbord kan stoppen. Vijftien apparaten die met elkaar kunnen communiceren lijkt misschien heel complex, maar dat werkt gewoon met één of enkele eenvoudig systeem. Het is dus prima door te testen. Een blackbox test op ieder apparaat afzonderlijk is een goed begin.

    1. Tja, maar hoeveel combinaties staat een moederbord uiteindelijk toe? Mijn NVidea-kaart neemt al twee sloten in beslag (okay, het is een monster) maar in totaal mag je blij zijn met 4 tot 6 sloten voor extra hardware. En daarnaast alles wat je op de USB poort kunt aansluiten en hopen dat de stroomvoorziening in je PC het allemaal aan kan. Dit beperkt de hoeveelheid hardware. Software is in principe onbeperkt. De 4 TB in mijn nieuwe PC zorgt ervoor dat ik duizenden software-pakketten op mijn PC kan installeren. (Ik zit zo rond de 80 applicaties op dit moment.) Daardoor ontstaan er veel meer combinaties dan wat je kunt uittesten. En waarom is het zo van belang om software-combinaties goed te testen met elkaar? Simpel: Visual Studio 2012 installeert bepaalde .NET assemblies die mogelijk door de installatie van Office 2013 weer worden overschreven. Een virusscanner installeert mogelijk enkele “hooks” voor het toetsenbord en netwerk om daarmee de boel in de gaten te houden terwijl je VPN software dit ook wil doen. De installatie van “Age of Empires III” overschrijft mogelijk de gedeelde C++ DLL’s die je nodig hebt om je Flight Simulator te laten draaien. En je HP Printer driver bevat misschien een kwetsbaarheid die misbruikt kan worden als je HP Netwerk-printer via het netwerk wordt gehackt en daarna je PC besmet. Voor de komst van .NET werd er al gesproken van de DLL-hell, simpelweg omdat ieder programma wel bepaalde DLL’s nodig had die andere programma’s ook nodig hadden. Alleen, die konden niet straffeloos worden bijgewerkt. Om dit soort problemen dan uit de weg te gaan gingen veel fabrikanten deze DLL’s gewoon plaatsen bij hun eigen applicatie zodat deze gedeelde DLL’s op 10 of meer plaatsen konden voorkomen. En vaak ook nog met verschillende versies. Met .NET zijn deze problemen enigszins verdwenen maar desondanks komen vergelijkbare problemen nog steeds voor. Zeker indien twee fabrikanten gebruik maken van componenten van een derde fabrikant, en daarbij wel verschillende versies gebruiken. Een mooi .NET voorbeeld zijn de DevExpress componenten die regelmatig van versie veranderen, maar die door veel andere partijen gebruikt worden zodat er alsnog versie-conflicten kunnen ontstaan…

  9. “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”

    Ik vind ’t een goede. Ik zit alleen nog wel even met de doelgroep. Wat als een partij A een website maakt voor senioren in opdracht voor partij B. Hoewel de doelgroep senioren zijn, zullen die 20-jarige hackers zich daar niet per se door laten weerhouden, en dat is wel een categorie waar A (of B) rekening mee moet houden.

    1. Als de site gebouwd wordt voor senioren, dan moet het product rekening houden met het kennisniveau van senioren. Of wat bedoel je? Het moet bestand zijn tegen hackers van alle leeftijden. HEt gaat er meer om dat je van senioren wellicht niet mag verwachten dat ze zelf weten wat een veilig wachtwoord is (dus bouw je een sterkte-indicator in) of juist dat ze wel gephist worden (dus bouw je een IP-detectie in voor het beheer).

      1. Ik denk dat @Freeaqingme het anders had moeten stellen: Indien een site wordt gebouwd voor ervaren ICT’ers dan dient de beveiliging ook anders te zijn dan b.v. die voor senioren, studenten of welke andere groep dan ook. Maar naar mijn mening moet beveiliging passen bij het soort data dat beschermd moet worden. Online bankieren behoort veilig te zijn, maar het kunnen inzien van je rekening hoeft niet zo veilig te zijn als het online kunnen betalen vanaf je rekening. (En betaald worden, daar hoef je toch niemand voor te beschermen? 😉 ) Persoonsgegevens behoren ook beschermd te worden, maar simpele NAW gegevens hoeven niet zo veilig bewaard te worden vergeleken met je medische geschiedenis of je strafblad. Een site voor senioren die hen in staat stelt online met elkaar te klaverjassen heeft ook weinig bescherming nodig maar een site voor jongeren met vragen over seksualiteit zou weer wel beter beschermd moeten worden. Maar wat ik vaak niet begrijp is dat er een laptop kan verdwijnen met daarop de gegevens van 10.000 patienten of zo. Dat snap ik dan niet, want welke gebruiker is zo dom om dergelijke gevoelige gegevens op te slaan op een apparaat dat heel gemakkelijk gejat kan worden?

  10. Is er niet nog een relevant verschil tussen producten en software, of in ieder geval softwarebeveiliging?

    Het gebruikte voorbeeld van productaansprakelijkheid, schade door een ontploffende laptop, treedt immers op zonder dat iemand de bedoeling heeft om de laptop te laten ontploffen. Bij lekke beveiligingen ligt dit anders: Lekke software lekt immers niet uit zichzelf persoonsgegevens (uitzonderingen daargelaten wellicht), maar laat een mogelijkheid open dat iemand anders het lek misbruikt.

    Of moeten we het vergelijken met een voordeurslot? Is de Gamma aansprakelijk ogv 6:186 als hun huismerk-voordeurslot niet bestand is tegen lockpick-experts van de FBI? Of tegen een gehaaide inbreker? Niet zonder meer lijkt me, in ieder geval is het behoorlijk afhankelijk van prijs/presentatie etc. van het slot in de winkel.

    Daarnaast gaat het toch om de stand van techniek ten tijde van het uitbrengen van het product, dus ik vraag me af hoeveel zin een dergelijke regeling als voorgesteld heeft. Veel beveiligingsgaten komen immers pas (ruim) na release aan het licht. Die zijn de producent denk ik niet meer (zonder meer) aan te rekenen. Dus dan heb je nog steeds lekke software in omloop.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.