Over cybercrime en wat je ertegen moet doen

Transcriptie

1

2 Over cybercrime en wat je ertegen moet doen mr. dr. Lesley C.P. Broos Advocaat IE, ICT en privacy, KienhuisHoving Ass. Prof. Business law & Technology, Universiteit Twente

3

4 Cybercrime volgens het OM

5

6

7

8

9

10

11

12

13 CBS cybersecuritymonitor 2018 In 2017 was een op de negen Nederlanders (11 procent) slachtoffer van een of meer van de volgende cyberdelicten: identiteitsfraude, koop- en verkoopfraude, hacken of cyberpesten. 13 procent van deze delicten werd gemeld bij de politie. In 2017 werd 2300 keer aangifte gedaan van computervredebreuk (NL). Hiervan werd 4,6 procent opgehelderd. (pakkans 0,6%) Klik om de datum in te voegen.

14

15

16

17 Aansprakelijkheid voor schade door cybercrime Casus Stel: Havenbedrijf Rotterdam gebruikt een logistiek besturingssysteem van een grote cloudprovider Cloudy. Een hacker weet zich (m.b.v. admin + admin login) toegang te verschaffen tot de servers van Cloudy en installeert daarop ransomware die gebruik door het havenbedrijf onmogelijk maakt en bovendien ieder uur 1Gb aan willekeurige data van het havenbedrijf vernietigt totdat bitcoins zijn betaald als vergoeding voor het ontgrendelen van de servers. Door de ontoegankelijkheid van haar systeem ligt de haven al meer dan 48 uur plat. Claims van benadeelde rederijen, wegtransporteurs, Rijkswaterstaat, en van bevoorrading verstoken bedrijven in heel Europa komen in hoog tempo bij het havenbedrijf binnen. Wie is aansprakelijk? Wat moet het havenbedrijf (juridisch) doen?

18 To do list Aangifte doen? Datalek melden? Melding verzekeraar? Schadebeperkingsplicht? Ingebrekestellen Cloudy? Reactie op schadeclaims? Overmacht? Melding Minister Infrastructuur en Waterstaat? Melding (art. 13) bij CSIRT? WBB probleem?..

19 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

20 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

21 Wetboek van Strafrecht Aangepast middels Wet computercriminaliteit I (1993) Wet computercriminaliteit II (2006) Wet computercriminaliteit III (2018) Klik om de datum in te voegen.

22 Wetboek van Strafrecht Computervredebreuk (art. 138ab Sr) Opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk Memorie van Toelichting (TK 26671, nr. 3): Wel moet het voor de potentiële dader kenbaar zijn dat hij zich op verboden terrein bevindt. In ieder geval sprake van computervredebreuk bij: a. doorbreken van een beveiliging, b. technische ingreep, c. gebruik valse signalen of valse sleutel, of d. aannemen van een valse hoedanigheid 4 jaar/ geldboete 4 e categorie Indien door tussenkomst van openbaar telecommunicatienetwerk + toegang verworven tot geautomatiseerd werk van een derde (lid 3b)

23 Wetboek van Strafrecht Gerelateerde strafbaarstellingen: DoS-attack art. 138b lid 1 Sr (2 jaar / 4 e cat) DDoS-attack art. 138b lid 2 Sr (3 jaar / 4 e cat) Vitale infrastructuur (5 jaar / 4 e cat) Om terroristisch misdrijf voor te bereiden / te vergemakkelijken (+ 1/3) Met terroristisch oogmerk (+1/2) Klik om de datum in te voegen.

24 Wetboek van Strafrecht Gerelateerde strafbaarstellingen: Opzettelijk en wederrechtelijk geautomatiseerd werk of telecomnetwerk vernielen, beschadigen, verstoren, onbruikbaar maken, beveiligingsmaatregel verijdelen et cetera (art. 161sexies Sr): 6 jaar / 5 e cat bij gemeen gevaar voor goederen of diensten Geen opzet, wel schuld? 6 maanden / 4 e cat 9 jaar / 5 e cat bij levensgevaar Geen opzet, wel schuld? 1 jaar / 4 e cat 15 jaar / 5 e cat indien de dood tot gevolg Geen opzet, wel schuld? 2 jaar / 4 e cat

25 Wetboek van Strafrecht Gerelateerde strafbaarstellingen: Vernieling en beschadiging van systemen en/of data Art. 350a Sr (lid 1) Opzettelijk en wederrechtelijk gegevens veranderen, wissen, onbruikbaar maken, of gegevens daaraan toevoegen (2 jaar / 4e cat) (lid 3) Opzettelijk en wederrechtelijk gegevens verspreiden die bestemd zijn om schade in een geautomatiseerd werk aan te richten (4 jaar / 5 e cat) Art. 350b Strafrecht Schuld aan 350a lid 1 (1 maand / 2 e cat) Schuld aan 350a lid 3 (1 maand / 2 e cat) Systeembeheerder Cloudy schuldig?

26

27 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

28 Beveiligingsplicht persoonsgegevens Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen ( ) (art. 32 AVG) Max boete: / 2% wereldwijde omzet (art. 83 lid 4 AVG)

29 Meldplicht datalekken Melding van inbreuk aan Autoriteit Persoonsgegevens (art. 33 AVG) tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Mededeling van inbreuk aan de betrokkene (art. 34 AVG) indien een hoog risico voor betrokkene ( ) tenzij (...) persoonsgegevens onbegrijpelijk gemaakt, bijv. door versleuteling maatregelen genomen waardoor hoge risico zich waarschijnlijk niet meer zal voordoen mededeling onevenredige inspanningen zou vergen Maximale boete: / 2% wereldwijde omzet (art. 83 lid 4 AVG)

30 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

31 Wet beveiliging netwerk- en informatiesystemen ( cybersecuritywet ; Wbni) Implementeert NIS-directive 2016/1148 Directive on security of network and information systems Integreert Wet gegevensverwerking en meldplicht cybersecurity Inwerkingtreding , meldplicht vanaf en ingetrokken per Besluit beveiliging netwerk- en informatiesystemen Uitvoeringsverordening (EU) 2018/151 voor digitale dienstverleners Essentie: Beveiligingsplichten ( zorgplicht ), meldplichten en informatieplichten

32 Wet beveiliging netwerk- en informatiesystemen ( cybersecuritywet ; Wbni) Beveiligingsplichten ( passende en evenredige TOMs ) voor aanbieders van essentiële diensten Bijv. netbeheerders, NAM, Havenbedrijf Rotterdam, Schiphol, Bankwezen, drinkwaterbedrijven, internetknooppunten 300+, domeinnaambeheerders 1mio+ etc Digitaledienstverleners onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten (mogelijk) Aanzienlijke gevolgen? Dan meldplicht(en)! Dubbele meldplicht voor aanbieders van essentiële diensten (NCSC + toezichthouder) Meldplicht voor aanbieders van essentiële diensten over incidenten bij digitaledienstverlener Meldplichten voor digitaledienstverleners >50FTE / >10 mio omzet / balanstotaal Meldplichten voor andere vitale aanbieders (NL-specifieke regelgeving) Nucleaire bedrijven, waterkeringen, telefoon- en sms diensten, ISP s

33 In casu Melding Havenbedrijf bij NCSC + Min. Infrastructuur en Waterstaat ex 10.1a, 10.2 en 10.3 Wet beveiliging network- en informatiesystemen Cloudy moet als digitaledienstverlener melden (art. 13 Wbni) bij Agentschap Telecom en per tevens bij DSP-CSIRT Maximale boete:

34 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

35 Beroep op overmacht? Een tekortkoming kan de schuldenaar niet worden toegerekend, indien zij niet is te wijten aan zijn schuld, noch krachtens wet, rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt. (6:75 BW) Codificatie van wettelijke beveiligingsplichten bemoeilijkt beroep op overmacht Maar exoneratie mogelijk

36 Onrechtmatige daad? Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond. Codificatie van wettelijke beveiligingsplichten vereenvoudigt beroep op OD

37 Ingebrekestelling Cloudy? Is er een (toerekenbare) tekortkoming in de nakoming? Service Level Agreement? Algemene voorwaarden? Het verzuim treedt in, wanneer de schuldenaar in gebreke wordt gesteld bij een schriftelijke aanmaning waarbij hem een redelijke termijn voor de nakoming wordt gesteld, en nakoming binnen deze termijn uitblijft. (art. 6:82 lid 1 BW) Voortdurende (beveiligings)verplichting overeengekomen? Ontbinding zonder verzuim soms mogelijk (Hoge Raad 11 januari 2002, NJ 2003, 255, r.o. 3.4.)

38 Schadebeperkingsplicht Wanneer de schade mede een gevolg is van een omstandigheid die aan de benadeelde kan worden toegerekend, wordt de vergoedingsplicht verminderd( ) (art. 6:101 lid 1 BW)

39 Juridische aanknopingspunten Strafrecht Privacyrecht Bestuursrecht Privaatrecht Verzekeringsrecht Klik om de datum in te voegen.

40 Cyberverzekeringen Dekking onder polis? Schade onverwijld melden!

41

42 Eind goed, al goed? Het duurde weken voordat de APMterminals weer naar behoren draaiden Hectische periode ook daarna. Volgens schattingen beloopt de schade voor het hele Mærsk-concern 450 miljoen euro. Het bedrijf heeft nieuwe computers moeten aanschaffen. BRON

43 Contact Lesley Broos Advocaat IE, ICT en privacy, KienhuisHoving T M E lesley.broos@kienhuishoving.nl Pantheon 25 Postbus AC Enschede T +31(0) F +31(0)

44