Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

12 reacties

  1. Komt nog bij dat je zelf al snel dingen moet gaan doen om aan te tonen dat die surfcam versie 1.0.1 van de firmware heeft terwijl 1.1.3 er ook is. Inbreken mag niet dus dan ga je naar de politie. “0.2% van al het DDOS verkeer kwam van dat IP dus gaan jullie even kijken of de firmware up to date is”. En dan nog een lijst met 400 landelijk verspreide devices, of ze die ook even checken? En stel dat het er dan van komt. We hebben 1000 euro omzet gemist dus de schade is 2 euro?

    1. Bij ‘professionele partijen (bedrijven)’ is de gebruikte firmware wat mij betreft niet eens zo heel erg van belang. Tuurlijk, als het enorm outdated is dan heb je sowieso al een punt, maar zelfs als die software wel geupdated is is dat niet waar de verantwoordelijkheid ophoudt wat mij betreft. Bij een bedrijf die die dingen gebruikt ga ik er vanuit dat ze in een afgeschermd vlan zitten, dat er vooraf een assessment gemaakt is hoe veilig die dingen wel/niet zijn, en of er bijvoorbeeld nog een apart IPS/IDS systeem nodig is voor die apparaten.

      Mogelijk dat ik dat te rooskleurig inschat, maar zeker ook met oog op de AVG mag ik toch hopen dat ieder bedrijf beleid voor dit soort dingen opstelt en niet lukraak apparaten gaat aanschaffen en die vervolgens ‘zomaar’ aan het netwerk en internet hangt.

  2. Hoe ga je een iot-apparaat beveiligen als het werkt op gesloten firmware? Mijn raspberrypi’s kan ik nog zelf bijhouden en mijn routers geven een melding bij nieuwe firmware. Tegenwoordig zit echter alles op Internet aangesloten; de stofzuiger, de koelkast, de televisie en je horloge. Veel van die meuk kan je niet eens op inloggen om te checken voor nieuwe firmware en je moet dus maar vertrouwen op de fabrikant. Het enige wat ik kan bedenken is dat je een flood beveiliging naar buiten instelt op je router, zodat een ddos niet meer gaat werken. Mag je als gebruiker (ook zakelijk) van een koelkast van LG niet verwachten dat zo’n grote fabrikant de boel op orde heeft? Als jij schade veroorzaakt door een anderzijds ondeugdelijk product (de kop van je hamer laat zomaar los), dan is de fabrikant toch ook aansprakelijk? Of ligt dat anders?

  3. Het zou al mooi zijn als je zo’n eigenaar van een waardeloos IoT apparaat onder last van een dwangsom kan verplichten zijn beveiliging goed te regelen.

    Als dat een paar keer gebeurt zit de schrik er wel in en kunnen fabrikanten met fire & forget releases hopelijk eindelijk hun deuren sluiten omdat hun klanten onmogelijk nog hun producten kunnen gebruiken.

  4. ‘Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. ‘

    Ja maar wees eerlijk: jij bent technisch en juridisch aanmerkelijk meer dan gemiddeld bekwaam en je bewust van wat er mogelijk is (en misschien ook nog hoe gemakkelijk je een eerste laag beveiliging kunt inbouwen).

    Hoe moet een koeriersbedrijf, of een schoonmaakbedrijf, of een garage of een restaurant in hemelsnaam dat bewustzijn en die kennis hebben? Verwacht je niet veel te veel van die bedrijven? Is je mening misschien gekleurd door je eigen hoge niveau van kennis?

      1. Inderdaad WilleM, maar alleen, ten eerste, als je je bewust bent van het probleem, en ten tweede als je eraan denkt dat het normaal zou zijn dat je voor de installatie van een plug-and-play product van 100€ een dag een IT-er voor 500€ zou moeten inhuren (en dan nog de moeite moet doen om er een te vinden, afspraak maken, ontvangen en begeleiden ter plaatse….)

        Natuurlijk denken IT-ers daaraan, en vinden ze het normaal dat het goed zou gebeuren, maar de gemiddelde garagehouder of restaurantmedewerker is met hele andere dingen bezig.

        Als ik nu de boude stelling poneer: ‘Het feit dat een Denial of Service aanval mogelijk is en zoveel schade kan veroorzaken is een ontwerpfout in het internet, en hoewel ik het betreur voel ik me niet geroepen als restauranthouder om daar maatregelen tegen te nemen. Ik ben niet verantwoordelijk voor de mogelijkheden en beperkingen van de infrastructuur.’, is dat dan zo onredelijk?

        1. Het is niet voor de installatie van het plug-en-play product, het is voor de installatie van de internetverbinding (het gaat nu wel om iot-devices maar botnets kunnen net zo hard op laptopjes draaien).

          Als je als bedrijf een internetverbinding wil dan neem ik aan dat de provider zal adviseren aan het bedrijf dat ze ook een goeie firewall-oplossing moeten hebben.

          1. Ja, om te voorkomen dat ze gehackt worden.

            Maar er zijn er genoeg die ten eerste denken: Ik heb niets interessants dat het hacken waard is, dus het zal zo’n vaart niet lopen, en ten tweede denken: Dat is toch zeker mijn risico en mijn vrije keuze om me daartegen te beveiligen of niet, en ik vind het niet nodig.

          2. Genoeg providers die een modem opsturen en eventueel een monteur sturen om het modem aan te sluiten en dan stoppen met het advies. In je modem zit dan een NAT “firewall” en daarmee zou alles geregeld moeten zijn. Met name bij de niet IT georiënteerde en/of kleinere bedrijven verwacht ik dat ze niet meer zullen doen. Daarnaast moet je eigenlijk als bedrijf ook een firewall beleid gaan volgen en vaak genoeg is daar nog onderdeel van dat verkeer naar buiten per definitie akkoord/goed is.

        2. Plug en play 100€ crap hoort op een geisoleerd vlan te draaien met alleen acces voor mensen die via vpn connecten met dat lan. Niet op het open Internet.

          Als ze open internet toegang vereisen moet je het niet kopen. Tenzij je een digimasochist bent natuurlijk.

  5. Een analogie zou een verbijsterende situatie opleveren: alle auto’s zijn heel makkelijk te stelen. Maar goed, laten we de eigenaar als laakbaar aanmerken omdat hij zijn auto niet op slot doet. De auto wordt gestolen en er wordt iemand mee dood gereden. De eigenaar dan maar aansprakelijk stellen? Waarom niet? Waarom dan wel als het niet om een auto gaat maar om een broodrooster met internetaansluiting?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.