Categorie: Security

About Security

Subscribe Feeds

‘Politie kan ip-adressen en telefoonnummers Telegramgebruikers vorderen’

Geplaatst op in Regulering, Security, 2 reacties

De Nederlandse politie zegt bij de chatapp Telegram telefoonnummers op te kunnen vragen die gebruikers juist geheim willen houden, zo ontdekte BNR via een Woo verzoek. Op de eigen website meldt Telegram dat het deze gegevens alleen deelt als het een gerechtelijk bevel ontvangt dat de betreffende gebruiker een terreurverdachte is. Eindelijk een kans me op te winden over die mega-irritante term “gerechtelijk bevel”.

Bij Security.nl leggen ze uit:

Op de formulieren die door de politie zijn gedeeld blijkt dat het om zogenoemde ‘emergency disclosure requests’ gaat. Meerdere chatdiensten bieden opsporingsdiensten deze optie om gegevens van gebruikers op te vragen als er sprake is van onmiddellijk dreigend levensgevaar. Dat opsporingsdiensten deze mogelijkheid ook bij Telegram hebben staat niet op de website van de chatdienst vermeld.
Maar dat iets niet op je website staat, betekent natuurlijk niet dat je het niet hoeft te doen. De wet is de wet, en zeker bij telecom-vorderingen kan de politie heel erg veel. En nee, daar is lang niet altijd tussenkomst van een rechter bij nodig.

Wat me bij mijn irritatie brengt: die term “gerechtelijk bevel” is natuurlijk de letterlijke vertaling van “court order”, de Amerikaanse constructie waarbij een rechtbank oordeelt over een kwestie en dan een -meestal voorlopige- uitspraak doet. Dat kan bijvoorbeeld een gag order zijn, hou je mond hierover, maar ook een bevel tot afgeven van gegevens of verwijderen van een publicatie.

De court order verscheen als term in websitevoorwaarden en dergelijke omdat dit het mechanisme is waarmee je in de VS dingen afdwingt. Niet eens met de publicatie? Wil je weten wie hier achter zit? Zoek je een persoon voor je schadeclaim? Haal maar een court order en dan doen we wat daarin staat. En zónder court order kun je roepen wat je wilt, maar blijven we lekker zitten waar we zitten.

De misvatting is hiermee ontstaan dat áltijd een court order nodig is, oftewel dat er altijd een rechter naar moet kijken. Wat niet waar is: in Nederland is bijvoorbeeld afgifte van NAW-gegevens van klanten zonder rechter verplicht, en je kunt schadeclaims krijgen als je daar niet aan meewerkt.

In het strafrecht is het allemaal iets strenger en vooral formeler. Maar we hebben een gelaagd systeem, waarbij de benodigde checks and balances afhangen van de ernst van de gevorderde maatregelen én van het achterliggende misdrijf. Neem bijvoorbeeld artikel 126na Strafvordering:

In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek een vordering doen gegevens te verstrekken terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van een communicatiedienst. Artikel 126n, tweede lid, is van toepassing.
Volgens dit artikel mag dus iedere politieagent vorderen tot afgifte van NAW gegevens en nummer (ip-adres, telefoonnummer, etc) van een gebruiker wanneer er vermoedelijk een misdrijf is gepleegd. Het maakt niet uit welk misdrijf. Hierbij is dus géén tussenkomst van de rechter nodig, dit mag de agent gewoon vragen en je moet dat dan geven als dienstverlener.

De reden dat dit zo mag, is omdat dit vrij basale gegevens zijn en een misdrijf toch wel iets ernstigs is. Met deze gegevens kan de politie dan bijvoorbeeld nagaan of het ip-adres matcht met het ip-adres dat men op een oplichtingssite vond.

Een agent mag hiermee echter géén inhoud van bijvoorbeeld mailboxes vorderen, want die gegevens staan hier niet genoemd. Daarvoor zou je bijvoorbeeld artikel 126nd inzetten:

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.
Dit mag dus alleen als het gaat om een ernstig misdrijf – artikel 67 Strafrecht bevat een lijst met wat we “ernstig” vinden. En de vordering moet gedaan worden door een officier van justitie, dus niet door iedere willekeurige opsporingsambtenaar. Dat is dus een iets hogere lat.

De rechter-commissaris komt in beeld als het nóg wat strenger moet, bijvoorbeeld bij het vorderen van gegevens die aan te merken zijn als bijzondere persoonsgegevens. Die zijn in artikel 126nd uitgesloten (lid 2) van de vordering. Wil de officier dat toch, dan moet zhij naar artikel 126nf:

  1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in artikel 126nd, tweede lid, derde volzin, deze gegevens vorderen.
  2. (…)
  3. Een vordering als bedoeld in het eerste lid kan slechts worden gedaan na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. Artikel 126l, zevende lid, is van overeenkomstige toepassing.
Hier bepaalt lid 3 dus dat een rechter-commissaris nodig is, deze machtigt de officier om de vordering te doen. Maar er is hier nóg een eis bijgekomen: het ernstige misdrijf moet nu ook nog eens “een ernstige inbreuk op de rechtsorde” opleveren, wat een nog weer hogere inhoudelijke toets betekent.

En om dan weer het bericht van BNR erbij te pakken: het gaat hier dus om telefoonnummers, wat een ‘licht’ gegeven is en waarvoor dus iedere opsporingsambtenaar een vordering mag doen bij verdenking van enig misdrijf. Daarvoor is dus zeer zeker geen rechter-commissaris nodig. Waarom Telegram dit niet op de site vermeldt, weet ik niet.

Arnoud

 

 

 

Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Geplaatst op in Ondernemingsvrijheid, Security, 13 reacties

Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?

De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.

Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?

Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.

De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.

De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.

De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.

De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.

Arnoud

Britse encryptiewet wordt niet gehandhaafd omdat ‘encryptie scannen niet kan’

Geplaatst op in Regulering, Security, 1 reacties

Een Brits wetvoorstel dat het mogelijk moet maken om versleutelde chats te scannen op kindermisbruikmateriaal is flink afgezwakt. Dat meldde Tweakers vorige week. Pas als het ’technisch mogelijk is’ om chats te scannen ondanks versleuteling, komt men hierop terug. Wel moet markttoezichthouder Ofcom zijn macht gebruiken om van bedrijven te eisen dat ze ‘hun best doen’ om oplossingen voor het probleem te vinden.

De Online Safety Bill, zoals de wet heet, was al geruime tijd zeer controversieel vanwege haar plicht aan techbedrijven om desgevraagd versleutelde chats toegankelijk te maken voor Justitie. Bedrijven als Signal en WhatsApp hadden gedreigd hun product uit het VK terug te trekken als deze plicht in de wet zou komen.

De voorgestelde constructie was dat men onder de wet verplicht zou zijn achterdeurtjes of dergelijke in te bouwen, zonder het adequate karakter van de beveiliging te beschadigen. Dat dit niet kan, is een waarheid als een koe, maar dat heeft nog nooit een publiciteitsbeluste politicus tegengehouden het toch te eisen.

Het nieuwe voorstel is wat afgezwakt, aldus Wired:

Under the bill, the regulator, Ofcom, will be able “to direct companies to either use, or make best efforts to develop or source, technology to identify and remove illegal child sexual abuse content—which we know can be developed,” Scully said.
De toezichthouder moet dus uitzoeken welke technologie er zoal beschikbaar is, en dan van de techbedrijven eisen dat die een “best effort” (goeie inspanning) maken om te kijken of dat kan werken. Daar zitten genoeg mensen die daar met goede motivatie jaren over doen om te concluderen dat het niet kan werken, dus ik snap wel dat de conclusie is dat de wet hiermee effectief om zeep geholpen is.

Arnoud

 

 

Mag een vingerafdruk voor authenticatie wel als deze op de laptop blijft in een speciale chip?

Geplaatst op in Privacy, Security, 22 reacties

Een lezer vroeg me:

Mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning. Echter, mij is nu onduidelijk of dit als verwerking van biometrische gegevens telt onder de AVG. Immers: er wordt geen foto van de vingerafdruk opgeslagen maar een vectorpatroon dat niet (her-)gebruikt kan worden als vingerafdruk. Dat vectorpatroon wordt opgeslagen in een speciale chip waar het niet uitgehaald kan worden. De “vingerafdruk” verlaat dus nooit de laptop, zelfs niet de chip.
Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

Het vectorpatroon blijft in een speciale plek, een chip die op een veilige manier een nieuw vectorpatroon (van een nieuw aangeboden vinger) vergelijkt met het opgeslagen patroon. Daar komt een “ja” of “nee” uit en daar kan de rest van het systeem mee verder. Dit is qua beveiliging van de persoonsgegevens prima, en het lijkt me ook meer algemeen een keurige implementatie.

Het is alleen niet zo dat je daarmee geen biometrische persoonsgegevens verwerkt. Je doet dit heel adequaat, veilig en zorgvuldig, maar je doet het uiteindelijk wel. En dat is dan verder prima, mits je maar je houdt aan de algemene regels over biometrie.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan “ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop” en in die kleine context lijkt me dat verdedigbaar.

Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een ‘iemand’ en dat is genoeg om van een persoonsgegeven te spreken.

Hoge Raad: rechter mag Frans bewijs uit gehackte cryptotelefoons gebruiken

Geplaatst op in Regulering, Security, 12 reacties

Nederlandse rechters mogen erop vertrouwen dat in Frankrijk ontsleutelde berichten uit gehackte cryptotelefoons als bewijs kunnen dienen in strafzaken. Dat meldde de NOS alweer een maandje geleden. De Hoge Raad bevestigt daarmee dat de vele Nederlandse zaken met afgetapte cryptogesprekken door kunnen gaan, en gaat voorbij aan de bezwaren van de vele verdachten in die zaken.

Sinds 2021 worden er vele strafzaken gevoerd waarbij chats uit de diensten Encrochat en SkyECC worden gebruikt als bewijs. Ik blogde toen:

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.
De discussie gaat erover of de Franse justitie dit wel legaal (naar Frans strafvorderingsrecht) had uitgevoerd. En als dat niet het geval bleek, wat de Nederlandse rechter dan zou mogen doen met dit onrechtmatig verkregen bewijs.

De Hoge Raad beëindigt nu de discussie door uit te gaan van nationale soevereiniteit:

Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop het onderzoek onder verantwoordelijkheid van de buitenlandse autoriteiten is uitgevoerd, strookt met de rechtsregels die gelden in het betreffende land voor het uitvoeren van dat onderzoek. Zou de Nederlandse strafrechter wel tot zo’n toetsing overgaan, dan levert dat een aantasting op van de soevereiniteit van dat land. … Om deze redenen worden de beslissingen van de buitenlandse autoriteiten die aan het verrichte onderzoek ten grondslag liggen, gerespecteerd en wordt ervan uitgegaan dat het onderzoek rechtmatig is verricht. Dat is uitsluitend anders als in het betreffende land onherroepelijk is komen vast te staan dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht.
Dit geldt ook wanneer je als verdachte stelt dat het onderzoek van die buitenlandse autoriteit je grondrechten schendt uit het EVRM of andere verdragen. Want ook een toetsing van zo’n schending is een schending van soevereiniteit – daar mogen de Fransen zélf over nadenken.

Het maakt hierbij niet uit of er Nederlandse politiemensen hebben meegeholpen bij het onderzoek. Als het onderzoek formeel wordt uitgevoerd door Frankrijk, dan vallen die Nederlanders onder het Franse strafprocesrecht en wordt het geheel beoordeeld naar Frans recht.

Een vervolgpunt is de controleerbaarheid van het bewijs. Als verdachte moet je kunnen controleren wat er tegen je wordt gebruikt, maar in de praktijk blijkt dat nogal moeilijk met die berichten. Hoe veel rechten heb je, moet je volstaan met de Excelsheet die het OM je geeft of mag je de ruwe data door een eigen onderzoeksinstelling laten doorzoeken?

De Hoge Raad danst een beetje om het punt heen:

Voor de beoordeling of een verzoek van de verdediging tot het voegen van stukken bij de processtukken voldoende is onderbouwd, is mede van belang of en, zo ja, op welke wijze door het openbaar ministerie al faciliteiten aan de verdediging zijn geboden om de in de zaak beschikbare digitale databestanden te raadplegen. Waar het gaat om de beoordeling door de rechter-commissaris op grond van artikel 34 lid 4 Sv of om de uitvoering door de rechter-commissaris van het door de zittingsrechter gelaste nadere onderzoek, staat geen rechtsregel eraan in de weg dat, in het geval dat voor het raadplegen of onderzoeken van grote digitale databestanden specifieke technische kennis is vereist, de rechter-commissaris zich laat bijstaan door een op dat terrein deskundige persoon.
Hiermee lijkt de HR genoeg ruimte te laten voor de huidige praktijk: je krijgt een lijst met de chats die men als primair bewijs tegen je gebruikt, je mag concrete vragen stellen waar je dan nadere datadumps van krijgt, maar de ruwe data die blijft in het systeem.

Arnoud

 

Minister: client-side scanning is geen aantasting van end-to-end encryptie

Geplaatst op in Privacy, Regulering, Security, 14 reacties

Client-side scanning, waarbij de inhoud van chatberichten van burgers op hun telefoon wordt gecontroleerd, is geen aantasting van end-to-end encryptie, zo stelt minister Weerwind voor Rechtsbescherming. Dat las ik bij Security.nl. Vorig jaar mei kwam de Europese Commissie met een voorstel dat chatdiensten en andere techbedrijven verplicht om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Eerst met het idee dat je “end-to-end encryptie met een achterdeur” zou hebben – wat niet kan – en nu dus client-side scanning.

Al in oktober 2001 werd uitgebreid gewaarschuwd voor de risico’s van een contentscanner op je telefoon:

Een groep van gerenommeerde beveiligingsexperts, hoogleraren en onderzoekers heeft een document gepubliceerd waarin ze waarschuwen voor de risico’s van client-side scanning (CSS) zoals Apple en Europese Unie willen invoeren. Bij CSS wordt erop het toestel van gebruikers naar bepaalde content gezocht, iets wat volgens de experts tot massasurveillance kan leiden. Het document is onder andere opgesteld door Ross Anderson, Jon Callas, Whitfield Diffie, Peter G. Neumann, Ronald L. Rivest en Bruce Schneier. [AE: meer expert dan deze vind je ze niet, in de securitywereld]
Het idee achter client-side scanning is dat er een probleem is voor de opsporing van strafbare feiten nu vrijwel alle communicatiediensten met end-to-end encryptie werken. Daarbij kunnen tussenpersonen – zoals Facebook als eigenaar van WhatsApp – niet meelezen, hoewel de berichten via hun servers worden verstuurd. Alleen afzender en ontvanger kunnen erbij. Daar achterdeurtjes in bouwen gaat niet werken, want die zijn hoe dan ook een zwakke plek in de beveiliging. Vandaar een andere aanpak:
Sometimes called “endpoint filtering” or “local processing,” this privacy-invasive proposal works like this: every time you send a message, software that comes with your messaging app first checks it against a database of “hashes,” or unique digital fingerprints, usually of images or videos. If it finds a match, it may refuse to send your message, notify the recipient, or even forward it to a third party, possibly without your knowledge.
Het grote punt van kritiek is natuurlijk dat je er hier vanuit gaat dat alleen de “gewenste” strafbare inhoud in die database zit. Technisch gezien is dit een algemeen filtersysteem: iedere content die matcht met zo’n hash wordt tegengehouden, en van iedere content kan een hash worden aangeleverd. Een bekende slippery slope bij wetgeving: eerst misbruikmateriaal, daarna terrorisme, en dan roept u maar wie ook een blokkade wil.

Ook een enorm probleem is dat om dit te controleren, iedere telefoon bij elk bericht de database moet raadplegen. Zet je die op ieders telefoon, en zo ja hoe houd je ‘m actueel zonder dat kwaadwillenden je kunnen frustreren? Of zet je die centraal in de overheidscloud, maar hoe weet je dan dat iedereen die bij elk bericht (let op: elk bericht, ja elk bericht) raadpleegt? En hoe weten we dat de logs van wat er dan allemaal gedeeld wordt, niet centraal bijgehouden wordt?

Arnoud

De VVE wil hulpverleners geen toegang tot de voordeur geven, mag dat?

Geplaatst op in Security, 9 reacties

Een lezer vroeg me:

Mijn op leeftijd zijnde ouders willen gebruik gaan maken van een persoonsalarmering. Ze zijn appartementseigenaar in een kleinschalig complex. Om hulp gedurende nachtelijke uren veilig en eenvoudig toegang te geven zijn er diverse oplossingen, waaronder de meest veilige waarbij de hulp instantie middels een code die op een beveiligde app verschijnt een zender activeert welke een toegangsdeur van het slot haalt. Zo kan men de centrale toegang in om bij het appartement te komen. Het bestuur van de VVE is niet van plan om dit toe te staan, vanwege “veiligheidsredenen”. Kunnen ze dit zomaar doen?
Er zijn inderdaad vele oplossingen waarbij hulpverleners op een makkelijke manier zonder hulp van de bewoner de deur kunnen openen. Een simpele vorm is een klein sleutelkluisje dat met een pincode geopend kan worden, waarna de voordeur als gewoon opengemaakt kan worden. Uiteraard wordt de toegang tot die code beperkt en wordt gebruik gelogd.

De hier geschetste oplossing (het klinkt als een “slim elektronisch slot” zoals van Telelock) vereist montage van iets speciaals op de voordeur, het huidige slot wordt vervangen maar er zijn mogelijkheden dezelfde sleutel te blijven gebruiken.

Er zijn geen specifieke regels dat een vereniging van eigenaren moet meewerken aan ieder verzoek omtrent de sleutels of sloten, maar ook niet dat ze zomaar alles mogen weigeren. Ook als er van alles in het huishoudelijk reglement staat: in Nederland geldt de norm van redelijkheid en billijkheid in zakelijke relaties zoals deze.

De belangen van de VVE zijn dat de veiligheid goed blijft en dat de VVE (en bewoners) niet op kosten wordt gejaagd. De bewoner in kwestie wil vanuit haar persoonlijke veiligheid dat zorgverleners in noodgevallen naar binnen kunnen, ook als ze alleen is en er geen medebewoner open wil doen.

De redelijke uitkomst lijkt me dat de VVE hieraan mee moet werken, uiteraard op kosten van de bewoner die dit wil en zonder gedoe voor andere bewoners. Ik kom dan al snel uit bij dat simpele sleutelkluisje, aangezien dat onmerkbaar is voor andere bewoners. Dat slimme slot vereist montage en er zit een raar nieuw ding op de deur. Plus, wat doe je als een tweede bewoner óók deze oplossing aanvraagt?

Arnoud

Met welke juridische argumenten overtuig ik de Salesafdeling dat we aan security moeten gaan doen?

Geplaatst op in Security, 8 reacties
jarmoluk / Pixabay

Een lezer vroeg me:

Ons bedrijf (een middelgrote managed service provider) wil meer focus op security introduceren, ik ben aangewezen als de kwartiermaker van het nieuwe team. Het probleem is dat mijn team weinig voor elkaar krijgt, omdat alles te duur gevonden wordt en security geen selling point is voor de klant. Zijn er juridische argumenten waarmee ik het belang van mijn team meer naar voren kan brengen?
Deze vraagsteller is niet de eerste of enige die worstelt met security als deel van commerciële dienstverlening. Het lastige is immers dat security primair een kostenpost is, en als deze dienst goed geleverd wordt dan merk je niets van de security. Pas als het niet goed gaat, dan komen er klachten, maar dan is het natuurlijk al te laat.

De insteek om wetgeving – oftewel dreiging met boetes – te gebruiken als argument is een goede. We hebben bijvoorbeeld sinds 2018 de AVG, die een adequate beveiliging van persoonsgegevens eist. Die regels gelden ook voor MSPs die voor hun klanten data met persoonsgegevens opslaan of verwerken.

Meer algemeen is de Network and Information Security (NIS2) Richtlijn, die afgelopen januari van kracht werd en voor oktober 2024 in de Nederlandse en andere Europese wetten moet komen te staan. Ook deze regels eisen passende en proportionele security bij zo ongeveer iedereen in de IT-sector, op straffe van forse boetes. Voor IoT-apparaatmakers (en hun leveranciers) komt er de Cyber Resilience Act, wie met AI werkt krijgt ook een berg regels over zich heen, en ga zo maar door.

Genoeg argumenten dus om van security een selling point te maken: Koop bij ons want dan voldoet u aan de wet.

Ik zie dat alleen niet zo goed werken als het bedrijf security als een aparte kostenpost neerzet, op afstand van de ‘echte’ dienstverlening. Want die belofte moet je wel waar kunnen maken, en dat kan alleen als je samenwerkt in de productontwikkeling en -verbetering.

Verder is er het probleem dat al deze wetgeving vrij nieuw is, en dus weinig praktische impact heeft laten zien. Daardoor kan een organisatie nog vrij makkelijk kiezen voor “we merken het wel als andere, grotere bedrijven beboet worden en dan passen we ons aan” en daar is weinig tegenin te brengen.

Wat wel kan werken is wanneer het bedrijf zich wil gaan richten op grote klanten. Die zijn hier namelijk wél serieus mee bezig, en zullen van leveranciers garanties vragen dat ook zij aan de nieuwe regels voldoen. Inclusief documentatie en mogelijk audits om het te onderbouwen. Dat vertaalt zich naar een commercieel argument: je krijgt de offerte of aanbesteding niet als we de security niet aantoonbaar op orde hebben, dus daarom heb ik budget nodig om dit te regelen.

Arnoud

Whoa, mag antivirussoftware dingen nog wel “kwaadaardig” noemen?

Geplaatst op in Security, Uitingsvrijheid, 8 reacties

Het Amerikaanse Hof van Beroep (9th Circuit) heeft geoordeeld dat termen als “malicious” of “threat” in de context van virusbestrijding feitelijke uitspraken zijn, las ik bij The Register. Antimalwarebedrijf Malwarebytes had de software van haar concurrent Enigma een “potentially unwanted program” genoemd, inclusief dus die termen. Waarop Enigma naar de rechter stapte wegens smaad.

Malwarebytes heeft dit soort zaken vaker gehad; in 2020 wonnen ze nog een rechtszaak tegen softwarebedrijf Asurvio (PC Driver) met als argument dat het gewoon hun mening is dat bepaalde software kwaadaardig is. Maar in de Enigma-zaak oordeelde de rechter eerder anders: omdat Enigma een concurrent is, is het denkbaar dat de mening van Malwarebytes ingegeven is door commerciële motieven in plaats van gewoon hun mening, en dat is niet eerlijk naar de markt toe.

De zaak is nu door het Hof terugverwezen naar de rechtbank voor een hernieuwde feitelijke beoordeling. Maar let wel: het Hof heeft niet gezegd dat de terminologie smadelijk is of niet meer gebruikt mag worden. Het oordeel is alleen dat het denkbaar is dat deze termen als feitelijk opgevat worden in de context van een mededeling van antimalwaresoftware. En dat is een factor bij het beoordelen van commerciële uitingen als oneerlijke reclame of misleiding van de consument.

In Nederland kennen we niet zo’n hard onderscheid tussen feiten en meningen. In de VS is een mening gewoon te allen tijde beschermd, vandaar de discussie hoe je “kwaadaardig” of “bedreiging” moet opvatten. Bij ons is “ik vind” er voor zeggen niet genoeg. Eventuele feitelijke aspecten van je uiting moeten gewoon kloppen of onderbouwd zijn, bijvoorbeeld met een methodologie waarbij je van “vrijwel onschuldig” naar “het grootste kwaad sinds het Cascade-virus” (plaatje) gaat met criteria.

Dit vereiste wordt sterker naarmate je meer als een autoriteit wordt gezien. Dus een willekeurige securityresearcher die een stuk software “kwaadaardige rotzooi” noemt in een boze tweet, dat zal geen problemen geven, maar wanneer het gaat om een officiële security advisory van een toonaangevend antivirusbedrijf dan moet die term wel ergens op gebaseerd zijn.

Arnoud  

OM wilde slachtoffers Genesis Market niet doorsturen naar Have I Been Pwned

Geplaatst op in Security, 20 reacties

Het Openbaar Ministerie (OM) wilde de tienduizenden Nederlandse slachtoffers van de Genesis Market niet naar de Australische website Have I Been Pwned doorsturen, las ik bij Security.nl. Bij Genesis Market werden onder meer persoonsgegevens van zo’n 50.000 Nederlanders verhandeld, en na het oprollen van deze dienst ontwikkelde de politie de site Check Je Hack waar men kan nagaan of de eigen gegevens er ook in zitten. Maar deze uitleg doet wel enige wenkbrauwen fronsen.

De site Have I Been Pwned is wereldwijd volgens mij de bekendste zoekmachines om na te gaan of je mailadres in een bekend datalek voorkomt. Sinds 2021 is het bij de Amerikaanse FBI bijvoorbeeld standaard om dergelijke datasets te delen met de dienst. Het doet dus wat gek aan als men in Nederland dan zegt, wat is dat voor vage site:

“Bovendien wil je mensen die zich zorgen maken over hun onlineveiligheid, mensen bij wie mogelijk alle alarmbellen rinkelen, niet doorverwijzen naar een onbekende Engelstalige website en hen vragen om daar hun gegevens in te voeren. Zoiets wil je alleen doen op een website die je vertrouwt. Bovendien mogen wij dit soort gegevens niet zomaar delen met een private website. En dat willen we vooral ook niet”, laat [officier van justitie Jacqueline] Bonnes verder weten.
Ik zie hier twee argumenten. Allereerst dus het “onbekend” argument, en ten tweede een juridisch argument. Om met dat laatste te beginnen: het is inderdaad niet direct duidelijk op welke AVG-grondslag de politie of het OM persoonsgegevens naar een niet-Europese private partij mag verstrekken. Al is het maar omdat overdracht van persoonsgegevens naar buiten de EU momenteel wat ingewikkeld ligt.

Het “onbekend” argument doet voor de lezer hier denk ik gek aan, omdat ‘iedereen’ die site kent als de plek waar je moet wezen. De site wordt overal gepromoot waar het gaat over gelekte wachtwoorden, zoals in het standaardwerk Laat je niet hack maken van journalist Daniel Verlaan. Maar ik kan niet ontkennen dat de site in het Engels is en niet dezelfde huisstijl heeft als een Nederlandse overheidssite. Ook weet ik niet hoe veel Nederlanders weten wat ‘gepwnd’ zijn betekent. Dus ik snap dat je dan als overheidsdienst even achter de oren krabt of het handig is deze dienst aan te raden.

Arnoud