Hoe erg is het dat onze loginbanner “Welkom” zegt tegen mensen?

| AE 11713 | Security | 6 reacties

Een lezer vroeg me:

Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te zijn. Dus het moet worden “Verboden toegang – uitsluitend geautoriseerd personeel – misbruik wordt vervolgd als misdrijf”. Dat vind ik niet echt vriendelijk naar mijn personeel, is er een tussenweg? Is dit echt zo krom, juridisch?

Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo’n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.

Natuurlijk komt dit verhaal uit Amerika, maar ook daar lijkt het nergens op een werkelijke zaak te herleiden (deze en deze bijvoorbeeld zijn vrij oude bronnen al). Ik kan in Nederland geen enkele rechtszaak rond computervredebreuk vinden waarbij het zelfs maar een discussie was wat de loginbanner of MOTD vermeldde.

Het recht kijkt nooit naar één specifiek aspect van de zaak, zoals zo’n logintekst. Bij rechtszaken wordt altijd gekeken naar de volledige omstandigheden van het geval. Het criterium is immers of de inbreker had moeten weten dat hij op verboden terrein was toen hij de handeling verrichte die hem ten laste werd gelegd. Dat zal nooit afhangen enkel van een zo’n tekstje. Je moet bijvoorbeeld nog steeds inloggen op het systeem van de vraagsteller, en als je een wachtwoord raadt dan moet je weten dat dat niet mag. Dus ga je alsnog nat.

Ik kan werkelijk geen situatie bedenken waarin die tekst relevant is. Heel misschien als er een gast/gast account is op zo’n systeem én je dingen kunt doen die niet gewenst zijn vanaf zo’n gastenaccount. Dan mocht je naar binnen (“welkom”) en mocht je inloggen zonder bekend te zijn (gast/gast) en was je in staat iets te doen dat niet de bedoeling was, hoe kon je dan weten dat dat laatste het geval was. Maar dat voelt weinig realistisch.

Arnoud

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant is een team van zo’n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen. Ik kreeg in de kerstvakantie vele mails van met name studenten over waar ze nu staan met bijvoorbeeld hun afstuderen, maar de interessantste vraag kwam van een lezer die zich afvroeg of de verzekeraar van de universiteit gaat betalen. Dat schijnt namelijk normaal te zijn?

Net voor de kerst werd de universiteit getroffen door het Clop virus, dat zich blijkt te richten op grote instellingen en overheden. Het virus versleutelt niet alleen individuele bestanden (zoals de meeste ransomware) maar ook netwerken: alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. Dan heb je best wel een probleem als organisatie, zoals nu ook blijkt uit de enorme inspanning die de universiteit samen met Fox-IT levert om alles weer te herstellen.

Het plan was om begin januari weer gewoon open te gaan, zij het met natuurlijk nogal wat beperkingen qua netwerkverkeer, toegang tot studie-informatie en ga zo maar door. Er is nog niets over regelingen bekend, maar dit lijkt me zo’n evident geval van overmacht dat zaken als deadlines of inleverdata zonder problemen opgeschoven kunnen worden.

Die ene lezer had nog best een punt: het is niet ondenkbaar dat een verzekeraar het losgeld betaalt wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.

Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega’s). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.

Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo’n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden – bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.

Arnoud

Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

| AE 11666 | Regulering, Security | 20 reacties

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van de ACM. Die viel daar binnen omdat het bedrijf werd verdacht van overtreding van de Mededingingswet, zeg maar kartelvorming. En dan is het natuurlijk wel héél erg de bedoeling dat iedereen van zijn spullen afblijft en geen bewijs gaat zitten vernietigen.

De inval gebeurde in 2018, het bedrijf wordt niet genoemd omdat het onderliggende onderzoek naar die kartelvorming nog niet is afgerond. Het bedrijf zou met andere bedrijven samenspannen om de markt te verpesten, maar vanwege anonimisering is niet precies duidelijk op welke manier. Het zou bijvoorbeeld prijsafspraken kunnen zijn (samen gelijkluidende offertes maken, of afspreken dat de rest even wat hoger offreert zodat jij deze keer de opdracht krijgt), of samen coördineren hoe een concurrent uit de markt te houden, of ga zo maar door.

In ieder geval iets dat de ACM ernstig genoeg vond om een onaangekondigde inval te doen. Doel daarvan is om bewijs te vergaren om de zaak rond te krijgen, iets wat lastig is omdat dergelijke verboden afspraken (“onderling afgestemde feitelijke gedragingen”) natuurlijk niet formeel in notulen vastliggen. In dit geval bleken medewerkers dus WhatsApp in te zetten om af te stemmen met die andere partijen – althans waarschijnlijk, want vlak na de inval bleken mensen uit relevante groepen te zijn gestapt en chats te hebben gewist.

De ACM was daar natuurlijk niet blij mee, maar het is goed te lezen dat de directie zelf dat ook niet was:

Volgens de advocaat hebben zij, toen hij en de leidinggevende medewerker rond 13:30 uur erachter kwamen dat één van de hierboven genoemde werknemers chats had gewist, de relevante werknemers van de Onderneming onmiddellijk de instructie gegeven van al hun app-berichten af te blijven en uit geen enkele app-groep te stappen dan wel berichten te wissen.

Het bedrijf gaf vervolgens volledige medewerking aan het onderzoek en verstrekte zelfs meer informatie dan waar ze van de wet verplicht toe waren. Dat laat voor mij wel zien dat dit geen bewuste tactiek was om die berichten te laten wissen en dan te zeggen “ja sorry eigengereide medewerker, had niet mogen gebeuren”.

Desondanks kiest de ACM er voor om een boete van 1.8 miljoen euro op te leggen, als duidelijk signaal dat dit écht niet door de beugel kan. En vooral als signaal dat je als werkgever moet zorgen dat je werknemers dit niet kunnen doen, ook niet op eigen houtje. Ik verwacht dus dat de nodige bedrijven nu beleid gaan maken dat WhatsApp niet meer mag en/of dat de chats centraal gelogd moeten worden. Maar ja, als mensen de Mededingingswet willen gaan overtreden dan verzinnen ze daar ook weer een oplossing voor.

Arnoud

Is met dat cameradatalek die camera zelf nu ondeugdelijk geworden?

| AE 11505 | Security | 9 reacties

Een datalek bij de ‘slimme’ camera’s van merken Apexis en Sumpple treft 14.000 exemplaren in Nederland, meldde onder meer Tweakers en RTL. De database van de fabrikant waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken bij willekeurige camera’s. Bepaald pijnlijk, laakbaar en juridisch zonder… Lees verder

Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me: In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo? Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and… Lees verder

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade? Wanneer je in Nederland… Lees verder

Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder

Is een maximale wachtwoordlengte in strijd met de AVG?

| AE 11378 | Security | 32 reacties

Een lezer vroeg me: Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen…. Lees verder