Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

| AE 13204 | Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Ondernemingsvrijheid, Security | 22 reacties

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder

Toxbot-verspreider pleegde computervredebreuk en “gemeen gevaar” voor financiële dienstverlening

| AE 2439 | Security | 11 reacties

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het… Lees verder

Crimineel computernetwerk ontmanteld, mag dat?

| AE 2287 | Regulering, Security | 51 reacties

Een speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd. Bij Tweakers laat men weten… Lees verder

KLPD waarschuwt slachtoffers botnet

| AE 1164 | Security | 5 reacties

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht…. Lees verder

Geautomatiseerde diefstal van creditcards

| AE 520 | Security | Er zijn nog geen reacties

Het stelen van financiële informatie is een professionele activiteit geworden. Waar we twintig jaar geleden hooguit bang moesten zijn voor een uit de prullenbak gevist creditcard-bonnetje, zijn nu complete netwerken met geinfecteerde PC’s te huur. Dat gebeurt met Trojaans paard-software zoals Gozi, volgens CorCom Security Analysing een van de meest complexe en lastig te detecteren… Lees verder

Flinke toename cybercrime in Nederland (via Emerce)

| AE 206 | Security | Er zijn nog geen reacties

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl) Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook… Lees verder