Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Internetrecht | 32 reacties

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgEen Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk de eerdere aanval op securityjournalist Brian Krebs). Amerikaanse regels voor internetproviders maken het alleen mogelijk om apparatuur van internet te weren als deze schadelijk (harmful) is, en Warner maakt het argument dat een triviaal hackbaar IoT-apparaat daaronder valt. Hoe zit dat bij ons?

Ik blijf me erover verbazen dat het niet verboden is om brakke apparatuur met internettoegang uit te brengen. Ja, specifiek als het apparaat persoonsgegevens lekt dan zou je heel misschien iets kunnen doen met de Wbp maar formeel legt ook die wet de verantwoordelijkheid bij de eigenaar van het apparaat. De leverancier van een datalekveroorzakend apparaat doet niets verkeerd onder de Wbp (en ook niet onder de nieuwe Europese privacywet). Wat mij betreft komt er zo snel mogelijk een wet op productsecurity.

Specifiek bij internetapparatuur is er misschien nog een optie, analoog aan die Amerikaanse senator z’n plan. In de Telecommunicatiewet staat namelijk (art. 11.3 Telecomwet:

[Internet]aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

Dit gaat met name over persoonsgegevens beveiligen, maar de norm is breed genoeg om ook bescherming tegen malware hieronder te laten vallen. Al in 2009 bepaalde de OPTA (nu ACM) beleidsregels die hierover gaan. Dat ging nog met name over informatieplichten (een folder “Hoe voorkom ik dat ik een zombie word”) maar volgens mij kunnen op dit artikel ook best hardere maatregelen worden gebaseerd.

Dat botst alleen een beetje met netneutraliteit (art. 7.4a Telecomwet), want in die wet staat weer dat een provider niet zomaar mag afsluiten bij uitgaande malware en dergelijke bij zijn klanten. Hij moet ze informeren en een kans geven het zelf te herstellen. Alleen wanneer dit wegens de vereiste spoed niet voorafgaand mogelijk is, mag hij direct ingrijpen. Dit is bedoeld als uitzondering, maar misschien wordt het tijd dit maar eens als hoofdregel te gaan zien. Malware en zombies tegenhouden vereist dan per definitie spoed en je merkt het vanzelf als je dan in quarantaine wordt gezet omdat je webcam of NAS iemand aan het ddossen is.

Wat mij betreft de hoogste tijd, het is te bizar voor woorden dat je anno 2016 nog steeds zó veel rotzooi brakende IoT-devices op de markt hebt.

Arnoud

Is encryptie een mensenrecht? #vrijmorefi

| AE 8902 | Internetrecht | 36 reacties

sleutel-key-encryptie-decryptieBegin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een van die issues waardoor internetrecht/ICT-recht voor mij toch écht meer is dan een hippe naam voor nieuwigheden in het recht.

Encryptie of versleuteling is als technologie al ongeveer zo oud als het recht. Wie iets belangrijks over te brengen heeft, wil graag voorkomen dat ongewenste derden dat ook lezen. Van boodschappen tatoeëren op het hoofd van je slaaf tot de boodschap uitschrijven op een lange rol die alleen te lezen is door ‘m om één specifieke houten stok te wikkelen, de creativiteit is eindeloos.

Maar eigenlijk was encryptie wel altijd iets van de elite: regeringen, militairen en hele grote industrie. De belangen bij het geheim houden van berichten waren daar het grootste, en de kosten om encryptie te realiseren waren daar te dragen. Voor ‘gewone’ mensen (al dan niet als ondernemer) was encryptie nauwelijks te realiseren, in ieder geval niet op een praktische manier. Na de bredere opkomst van chips en daarna software kon je wel iets met encryptie doen, maar onder strenge regels waaronder het makkelijk kraakbaar maken van je encryptie.

In 1991 kwam daar verandering in. Philip Zimmerman bracht toen het softwarepakket Pretty Good Privacy oftewel PGP uit. Dit programma implementeerde hele krachtige cryptografische technieken middels een (naar de normen van die tijd) eenvoudig te gebruiken interface. De belangrijkste innovatie die PGP op de markt bracht, was die van publiekesleutelcryptografie. Wilde je met een willekeurige persoon veilig communiceren, dan kon je diens sleutel opvragen via een onbeveiligde verbinding. Een meeluisterende aanvaller had daar niets aan, want die sleutel was alleen te gebruiken om berichten te versleutelen en niet om ze te ontsleutelen. Voor dat laatste had iedereen nog een eigen private sleutel.

PGP was een schok in overheidskringen. Zimmerman werd vervolgd voor het exporteren van wapens en munitie, want cryptografie viel in de VS onder de wapenwet (ITAR). Hij werd vrijgesproken, terwijl ondertussen een stel slimmeriken de broncode van PGP uitprintten in een boek dat vervolgens geheel legaal naar Europa gestuurd werd – boeken zijn vrijheid van meningsuiting immers, haha dank u First Amendment – alwaar ze keurig ingescand en ge-OCR’d werden. Daarmee was de geest uit de fles. PGP werd opgevolgd door het vrijesoftwareproject Gnu Privacy Guard (GPG) en vele anderen implementeerden ook sterke, onkraakbare cryptografie.

Deze periode wordt wel de Crypto Wars genoemd: pogingen van overheden om de opkomst en vrije beschikbaarheid van encryptie in te dammen, onder meer door bepaalde cryptografie te verplichten (de Clipper Chip, met achterdeur), sterke encryptie te verbieden en stiekeme pogingen vanuit met name de NSA om encryptie te verzwakken (zoals naar verluidt in DES zou zijn gebeurd, en volgens Snowden-documenten ook de random number generator DualECDRBG). Dat leverde uiteindelijk weinig op: sterke encryptie is goeddeels de norm vandaag de dag.

Volgens sommigen zitten we nu in Crypto Wars 2.0. Die Snowden-onthullingen lieten namelijk ook zien hoe diep geheime diensten in de grote tech-bedrijven zaten mee te luisteren. De reactie daarop was om dan ook alles gelijk cryptografisch dicht te timmeren, niet alleen de interne netwerken maar ook de communicatiekanalen van klanten. (Er waren natuurlijk meer redenen, zoals compliance met persoonsgegevenswetgeving, bescherming van klantcommunicatie tegen meelezende dictators en enigszins cynisch het voorkomen dat je je netwerk hoeft af te laten tappen door Justitie.)

Overheden pushen nu met enige regelmaat het inbouwen van achterdeuren, variërend van lopers (master keys) voor encryptie tot het hebben van een extra sleutel die door Justitie kan worden gevorderd. Techbedrijven en cryptografen zijn daar fel op tegen: dit verzwakt per definitie de beveiliging, en misbruik is niet te detecteren. Daar is niet tegenop te programmeren.

Valt hier juridisch wat van te maken? Als je zegt, het communicatiegeheim is een essentieel deel van de privacy, dan is encryptie een afgeleid grondrecht: een geheim dat triviaal kan worden gebroken, is geen geheim. Encryptie moet dus alomtegenwoordig en sterk zijn om dat grondrecht privacy in de informatiesamenleving te kunnen borgen.

Tegelijk: grondrechten zijn (zelden tot) nooit absoluut. Als er een voldoende diepgaande noodzaak is, dan mag een grondrecht worden ingeperkt of tijdelijk op het tweede plan gezet. Ben je verdachte in een ernstig misdrijf, dan mag je huis worden doorzocht zonder jouw toestemming bijvoorbeeld. Een inbreuk op je privacy (je huis valt daar ook onder) maar legaal want de opsporing van ernstige strafbare feiten vinden we in principe een diepgaande noodzaak.

Vanuit dat perspectief is ook het ontsleutelen van je berichten ‘gewoon’ een maatregel die genomen kan worden bij strafbare feiten. Bepaal bij welke feiten, weeg de voors en tegens af en leg dat vast in een wet en je bent er (de meelezende grondrechtjuristen eisen dat ik nu “noodzakelijkheid, proportionaliteit en subsidiariteit” zeg, dat is formeel de norm).

Heb je nog de praktische implementatie over. Want waar een huis altijd wel te openen is door een goede slotenmaker of desnoods een dikke stormram, en een dikke map met administratie met voldoende mankracht echt wel door te ploegen is, is een versleuteld bestand in principe met mathematische zekerheid niet te openen zonder de sleutel. Heb je mazzel dan is er een foutje gemaakt in de cryptografische software, of staat de sleutel op een geel briefje naast de monitor, maar daar kun je niet op rekenen.

We hebben nu in de wet staan dat wie kennis heeft van de versleuteling van berichten, deze moet ontsleutelen als daar aanleiding toe is (zo’n ernstig misdrijf dus). Dat werkt bij bijvoorbeeld zakelijke e-mail, die vaak versleuteld wordt maar vrijwel altijd met een achterdeur voor de bedrijfscontinuïteit – als Piet ontslag neemt of onder lijn 5 komt, dan moet zijn collega bij zijn mail kunnen. Maar steeds meer software is écht onkraakbaar. Neem WhatsApp, dat end to end encryptie toepast. Alleen afzender en ontvanger kunnen het bericht lezen, WhatsApp zelf kan er gewoon niet bij en die collega ook niet (tenzij hij bij de telefoon kan).

Daarmee heeft de wet een probleem. Want dan kun je wel zeggen “wie kennis heeft”, maar die hééft niemand dan meer (behalve de verdachte, en die kun je niet zomaar verplichten mee te werken – los van dat ‘ie wel gek zou zijn om dat te doen). En dan ontstaat er dus een fundamenteel heel lastige situatie: dat grondrecht privacy is nu wel prachtig gewaarborgd, maar de ruimte die er is om dat grondrecht te beperken voor de opsporing van strafbare feiten, die is nu verdwenen. Weggeprogrammeerd. Code as Constitution: het communicatiegeheim is onschendbaar, punt.

Wat hiermee te doen, weet ik nog niet. Het voelt juridisch een beetje raar dat je een absoluut recht hebt, waar geen inbreuk op gemaakt kán worden. Maar het kan dus kennelijk wel. Fascinerend.

Arnoud

Hoe werkt recht dat altijd buigzaam is? #dimorefi

| AE 8861 | Internetrecht | 15 reacties

internetrechtVandaag is mijn laatste vakantiedag, en toevallig trof ik in mijn inbox een ietwat filosofische vraag over het recht. Eens zien waar we uitkomen.

Een lezer vroeg me:

Dit zit me al een tijdje dwars. Ik lees al een paar jaar je blog, en elke keer als ik denk dat ik snap hoe het recht werkt, blijkt het weer net anders te zitten op grond van een of andere vage regel. Neem die “redelijkheid en billijkheid”: daar kun je alles wel mee rechtbreien of juist verbieden, lijkt het. En als dat niet lukt, dan zeg je gewoon dat het maatschappelijk onzorgvuldig is of tegen de goede zeden. Dat werkt toch helemaal niet op die manier? Hoe kun je nou ooit zekerheid krijgen binnen het recht als het recht altijd te verbuigen is?

Ik herken de frustratie; voor mij is dit hét onderscheid tussen IT-denken en juridisch denken. Of misschien wel alfa- en beta-denken. Waar beta-regels hard en duidelijk zijn, zijn alfa-regels zacht en buigzaam. (Ik moet nu denken aan Bul Super: “Recht is iets kroms dat verbogen is.”)

Dit is voor het recht een feature. Het recht reguleert de samenleving, en de samenleving is niet hard en duidelijk. Er zijn geen wiskundige formules, natuurwetten of axioma’s die het menselijk gedrag duiden. Alle uitspraken over mens en maatschappij zijn dus noodzakelijkerwijs benaderingen, vuistregels.

Wetgeving, en daarvan afgeleid het recht, is daarmee een poging om zo goed mogelijke vuistregels te geven. Ze zijn opgezet als een groots raamwerk dat alles probeert te regelen, geformuleerd als harde regels die duidelijke lijnen zetten. Dat kan de indruk geven dat het harde regels zijn, maar dat is dus niet zo.

Dat de regels soms verbogen moeten worden, is vanuit juridisch perspectief nodig. Soms kom je er gewoon niet uit met de regels. Een situatie is niet voorzien, er zijn hele bijzondere omstandigheden of de regels waren gewoon niet bedoeld voor dit geval. En dan pakken dingen héél onrechtvaardig uit. Je hebt dan een noodrem nodig, of een ventiel zo je wilt, om de uitkomst te corrigeren. Want regulering moet uiteindelijk wel werken, en dat betekent je soms aanpassen aan de realiteit in plaats van de realiteit dwingen in het hokje van de regels.

Een nobel streven, maar echt voorspelbaar is het niet. Neem de matigingsbevoegdheid van de rechter: die mag een schadevergoeding of boete omlaag doen als de billijkheid dat kennelijk eist, zo zegt de wet. In moderne taal: dit bedrag vind ik echt bizar, dat gaan we even niet doen. Ook al staat in het contract keurig een formule hoe je aan die boete komt of is de schade prima onderbouwd. Gewoon, omdat het moet.

In het algemeen kom je op heel weinig plekken harde regels tegen in de wet. De Wegenverkeerswet kent de meeste volgens mij, en dat is vooral omdat handhaving anders gewoon te ingewikkeld wordt. Het zou ahem interessant worden als de Wvw zou zeggen “Rij zoals je wil maar breng niemand in gevaar”. Maar ook daar zijn er uitzonderingen mogelijk: je mag te hard rijden als je met een medisch spoedgeval naar het ziekenhuis rijdt, bijvoorbeeld.

Dit soort vaagheden wreekt zich bij internetdingen, waar regels wel hard en duidelijk moeten zijn omdat ze in software gebouwd moeten worden. Je kunt geen nieuws-scraper bouwen die “het redelijkerwijs benodigd aantal” zinnen overneemt van krantensites, er moet een getal komen. “Onwelvoeglijk taalgebruik” is niet te filteren, maak alsjeblieft een woordenlijst. En wat je dan dus krijgt is een benadering in formulevorm van een vuistregel die juist niet als formule opgezet was. Met automatisch als gevolg dat je de flexibiliteit kwijtraakt die het recht nu net ingebouwd had.

Tegelijk snap ik dat het knap ingewikkeld is om iets te bouwen dat wél die benadering realiseert die het recht ingebouwd heeft. En je moet toch iets. Misschien zijn lerende netwerken (zoals spamfilters) een oplossing. Voer een systeem genoeg testinvoer en het kan op zeker moment zelf fuzzy onderscheid maken. Maar ook dat blijft beperkt, want zo’n systeem zal niet perse dezelfde uitkomst geven als een rechter in een geval dat beiden nog nooit gezien hebben.

Dus nee, het recht is niet rechtlijnig en er zal altijd ruimte zijn waar vooraf weinig zinnigs over te zeggen is. Dit is een feature waar je mee om moet kunnen gaan als ICT-jurist. Daarbinnen vuistregels en benaderingen formuleren die harde uitkomsten leveren is prima, zolang je maar altijd die juridische exception handler hebt voor de rare gevallen.

Arnoud

Gastpost: Radiopiraterij, verleden en toekomst

| AE 8835 | Internetrecht | 17 reacties

Deze week ben ik met vakantie. Traditiegetrouw dan ook een aantal gastposts. Vandaag Sophia Sipkens over het fenomeen radiopiraterij. De radio is met zijn brede aanbod van programma’s niet meer weg te denken uit onze maatschappij. Ondanks het brede aanbod echter, kennen we nog steeds het fenomeen van de radiopiraterij. Hoewel het iets van de… Lees verder

Waarom hebben we eigenlijk nog steeds handtekeningen op papier?

| AE 8769 | Internetrecht | 21 reacties

Het is buitengewoon merkwaardig dat we anno 2016 nog steeds onleesbare krabbels op papier zetten met de gedachte dat dat juridisch belangrijk is. Date las ik bij Slate en ik ben het er helemaal mee eens. Juridische cargoculterij, dat is het. We zetten allemaal elke dag wel onze handtekening een keer. Een pakketje aannemen, een… Lees verder

Lycamobile krijgt boete van 196.000 euro voor te hoge roamingtarieven

| AE 8722 | Internetrecht | 8 reacties

De Nederlandse mobiele provider Lycamobile krijgt een boete van 196.000 euro voor het berekenen van te hoge roamingtarieven in 2011 en 2012. Dat meldde Tweakers. De boete is hoog: 7 procent van de relevante omzet. Want ja, boetes mogen pijn doen. Lycamobile heeft in een deel van 2011 en 2012 te hoge roamingkosten in rekening… Lees verder

Rechter Richard Posner zeer geërgerd door juridisch jargon

| AE 8705 | Internetrecht | 40 reacties

De bekende Amerikaanse hogerberoepsrechter Richard Posner ergert zich dood aan het juridisch jargon waar zijn collega’s mee smijten, meldde de Wall Street Journal onlangs. “Judicial opinions are littered with stale, opaque, confusing jargon,” schreef hij in een recent arrest. “There is no need for jargon, stale or fresh. Everything judges do can be explained in… Lees verder

Marathon oplezen gebruikersvoorwaarden apps duurt bijna 32 uur

| AE 8681 | Internetrecht | 22 reacties

Een marathon gebruikersvoorwaarden van populaire apps voorlezen in Noorwegen, is na 31 uur en 49 minuten afgerond. Dat meldde Nu.nl vorige week. De Noorse Consumentenbond had deze actie georganiseerd om de absurditeit van de app EULA aan te tonen: niemand leest ze, redelijkerwijs kán niemand ze lezen, dus waar zijn wij met zijn allen mee… Lees verder