Aon neemt cybercrime voortaan standaard in inboedelverzekering op

| AE 12184 | Innovatie | 26 reacties

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

Ben je als werknemer aansprakelijk bij CEO fraude?

| AE 9236 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Vuistregels voor vorderen van persoonsgegevens (gastpost)

| AE 1008 | Privacy, Security | 1 reactie

mr. StaringVandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring uit Arnhem

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

  • identificeerbare gegevens (naam, adres);
  • andere gegevens (verkeersgegevens, logs, administratie);
  • gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

  • Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
  • De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
  • Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

  1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
  2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
  3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
  4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
  5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
  6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
  7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
  8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is advocaat in Arnhem, gespecialiseerd in strafrecht.

Flinke toename cybercrime in Nederland (via Emerce)

| AE 206 | Security | Er zijn nog geen reacties

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl) Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook… Lees verder

Europese Commissie komt met nieuwe aanpak cybercrime

| AE 161 | Security | Er zijn nog geen reacties

Europese Commissie maakt nieuwe aanpak cybercrime bekend, meldt Arnout Veenman op ISPam.nl. Hij citeert Vice-President Frattini, EU Commissaris verantwoordelijk voor Justitie, Vrijheid en Veiligheid: De Europese Commissie neemt vandaag een belangrijke stap naar het formuleren van een generiek Europees beleid in het gevecht tegen cybercrime. Dit beleid zal er uiteindelijk zorgen voor betere operationele samenwerking… Lees verder