Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 11 reacties

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Hoe laten we zien dat we oude software hebben gedeïnstalleerd?

| AE 8305 | Intellectuele rechten | 24 reacties

software-disc-cd-dvd-dragerEen lezer vroeg me:

We hebben (eindelijk) een legacy-softwarepakket kunnen vervangen door iets nieuws. Nu wil de leverancier daarvan de garantie dat we deze volledig hebben verwijderd, en daarvoor willen ze hun auditor langs laten komen. Zijn wij verplicht hieraan gehoor te geven? En mag deze dan ook backups en dergelijke bekijken?

Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd. Het is anders immers triviaal om de software te blijven gebruiken.

Moderne software heeft vaak een constructie met licentiesleutels of periodieke activatie. Dan is het buiten gebruik stellen van die software vrij eenvoudig; maak de sleutel ongeldig of deactiveer de code. Dan is het in principe gewoon onmogelijk de software nog te blijven gebruiken.

Deze software heeft een dergelijke feature nog niet, dus zal men iets anders moeten verzinnen. Een schriftelijke verklaring vanuit de klant “Wij hebben alles gewist, beloofd” is dan wel het minste dat je kunt doen. Veel wat oudere softwarelicentiecontracten bevatten ook een clausule die bepaalt dat een dergelijke verklaring gegeven moet worden, vaak met de Amerikaanse toevoeging “under penalty of perjury” wat bij ons niets doet maar het punt wel duidelijk maakt.

Als de leverancier dat niet kan of wil accepteren, dan is een audit de logische vervolgstap. Gebruikelijk is wel dat een onafhankelijk iemand die audit uitvoert, ook omdat er dan geen bijvangst (wat draaien jullie nu) bij de leverancier terecht komt.

Een audit is iets dat expliciet afgesproken moet zijn. Zonder afspraak is er eigenlijk geen grond om een audit uit te mogen voeren. De enige manier waarop dat eventueel wel zou kunnen, is via artikel 843a Rechtsvordering. Dit artikel kan een partij verplichten bepaalde documenten af te geven. Inzage in de administratie dus, en dat kan ook de administratie van de geïnstalleerde licenties betreffen. maar dat gaat niet zo ver dat je kunt afdwingen dat je langs mag komen om documentatie te máken.

Als er een audit is afgesproken, dan lijkt het me logisch dat deze ook de backup betreft. Als je immers zegt, alle kopieën zijn weg, eerlijk waar, op straffe van meineed, dan klopt er iets niet als er alsnog een backuptape blijkt te zijn met een kopie. En natuurlijk, in backups rommelen is moeilijk en zeer ongewenst, maar hoe voorkom je dan dat die backup ooit wordt teruggezet zodat de software toch weer in een productie-omgeving staat?

Arnoud

Is de werkgever aansprakelijk voor illegale software van de werknemer?

| AE 6608 | Intellectuele rechten, Ondernemingsvrijheid | 25 reacties

install-installeren-software-knop-buttonEen lezer vroeg me:

Als een werknemer illegale software installeert op een werkcomputer, wanneer is de werkgever daar dan voor aansprakelijk?

Juridisch gezien is het gebruik van software zonder licentie niet anders dan het omschoppen van een vaas bij de klant. Een ander heeft schade, en dat zal de werkgever moeten vergoeden. Ja, de werkgever. Een werkgever is naar derden toe namelijk eigenlijk altijd aansprakelijk voor onrechtmatig handelen door zijn werknemers, mits dat handelen maar in enig verband staat tot het werk (art. 6:170 lid 1 BW).

Het idee is dat de werkgever bepaalt welk werk er wordt uitgevoerd. Daarom is hij dus ook verantwoordelijk (én aansprakelijk) voor dat werk. Pas bij “opzet of bewuste roekeloosheid” van de werknemer ligt er aansprakelijkheid bij hem, en de lat daarvoor ligt érg hoog. Je moet hebben geweten dat de kans groot was dat er iets goed mis kon gaan. En als je “gewoon” je werk doet, is daarvan eigenlijk nooit sprake. Ook niet als je fouten maakt, fouten maken hoort bij het werk en is dus risico werkgever.

Aansprakelijkheid bij de werknemer leggen kan wel (art. 7:661 BW), maar onder twee strikte voorwaarden: (1) Dat moet schriftelijk zijn afgesproken, en (2) de werknemer moet er voor verzekerd zijn. In de ICT is (2) vrijwel onmogelijk, probeer maar eens een beroepsaansprakelijkheidsverzekering te krijgen in die branche. Lukt je niet. Verzekeren tegen fysieke schade kan wellicht wel, maar dat is het probleem zelden bij ICT-werknemers.

Een reglement gaat hier weinig aan veranderen. Bewuste roekeloosheid of opzet krijg je niet bewezen met enkel “in het reglement staat dat het niet mocht”. Iemand aanspreken op illegale software en/of concrete barrières opwerpen tegen het installeren kan wel helpen: wie daarna door gaat of de barrière omzeilt, is eerder opzettelijk of bewust roekeloos bezig.

Bij illegale software zal de vraag nog wel zijn, hoe relevant voor het werk was die software. Het besturingssysteem en de Office-software, dat lijkt me erg werkrelevant. Een spelletje zou ik privésoftware noemen, weinig mensen spelen immers spelletjes voor het werk. Staat dat spel er illegaal dan draait de werknemer daar dus voor op.

En daar tussen? Dan wordt het lastig. Autohotkey, om veel verrichte taken te automatiseren? Fotobewerkingssoftware omdat je af en toe een plaatje nodig hebt in je zakelijke presentaties? En maakt het dan nog uit of de marketingafdeling beschikbaar is om plaatjes aan te leveren en jij daar te eigenwijs voor was?

Arnoud

Wanneer mag een auditor onze camerabeelden inzien?

| AE 6365 | Privacy, Security | 4 reacties

Een lezer vroeg me: Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk… Lees verder