Programma. n 15:00 15:10 u. Introductie Philip Wielenga (WIELTEC)

Transcriptie

1 Programma n 15:00 15:10 u. Introductie Philip Wielenga (WIELTEC) n 15:10 15:50 u. Cybercrime en juridische problemen in de praktijk David Schreuders (Simmons & Simmons) n 15:50 16:10 u. Cybercrime vanuit het perspectief van de bank Jeroen Bos (Simmons & Simmons) n 16:10 16:20 u. Pauze n 16:20 17:00 u. Cybercrime in een live-hack demonstratie Christian Prickaerts (Fox-IT) n 17:00 17:15 u. Wrap up n 17:15 u. Drinks 1 / L_LIVE_EMEA2: v1

2 Cybercrime en juridische problemen in de praktijk David Schreuders

3 Cybercrime n Wat is cybercrime? n Cybercrime in het cyber security landschap n Verschijningsvormen en delicten n Juridische (praktijk)problemen n Cybercrime en de overheid n Trends & Topics 3 / L_LIVE_EMEA2: v1

4 4 / L_LIVE_EMEA2: v1

5 Wat is cybercrime? n In enge zin: ICT is voornaamste doelwit of de strafbare daad wordt niet zonder het misbruiken van ICT-voorzieningen uitgevoerd n In ruime zin: strafbare gedragingen die met behulp van of via ICT (d.w.z. op normale, legitieme wijze gebruikt) worden begaan (Nationaal Cyber Security Centrum, Ministerie V&J) Cybercrime in enge zin: vaak in combinatie met andere vormen van (computer)criminaliteit 5 / L_LIVE_EMEA2: v1

6 Andere indeling van cybercrime: n Computer-gerichte delicten - hacken, (d)dos-aanvallen, malware, spam, etc. n Computer-gerelateerde delicten - phishing, kinderporno, marktplaatsoplichting, uitingsdelicten, etc. n Computer relevante delicten - alle misdrijven i.v.m. digitaal bewijs? 6 / L_LIVE_EMEA2: v1

7 Het cyber security landschap n Definitie cyber security: Het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan (Nationale Cyber Security Strategie 2, 2013) n Beperking beschikbaarheid en betrouwbaarheid van ICT n Schending vertrouwelijkheid n Schade aan integriteit van informatie n Opzettelijk en onopzettelijk 7 / L_LIVE_EMEA2: v1

8 Het cyber security landschap: het krachtenveld n Verscheidenheid aan belangen n Dreigingen: actoren en hulpmiddelen (cybercrime) n Kwetsbaarheden (software, techniek, BYOD, Big Data, beveiliging, etc.) n Weerbaarheid n Informatiebeveiliging n Manifestaties (digitale spionage, diefstal, verstoringen, computermisdrijven) 8 / L_LIVE_EMEA2: v1

9 Actoren n Staten n Terroristen n Beroepscriminelen n Cybervandalen en scriptkiddies n Hacktivisten n Interne actoren n Cyberonderzoekers n Private organisaties 9 / L_LIVE_EMEA2: v1

10 Voorbeeld hacktivism ( The Impact Team ) 10 / L_LIVE_EMEA2: v1

11 Cybersecurity dreigingen: actoren Staten 11 / L_LIVE_EMEA2: v1

12 Manipuleren van verkiezingen?! 12 / L_LIVE_EMEA2: v1

13 Cyber security dreigingen: Hulpmiddelen n Exploits n Malware n Botnets n Ransomware, cryptoware n Content distribution networks n Cybercrime-as-a-service 13 / L_LIVE_EMEA2: v1

14 Verschijnselen van cybercrime n Malware n Computerinbraak (hacking) n Websiteaanvallen n Botnets n Denial of service-aanvallen, (d)dos n Social engineering n gerelateerde vormen (phishing, spear phishing) 14 / L_LIVE_EMEA2: v1

15 Malware, o.a.: n Virus n Worm n Trojan / Trojaans paard n Backdoor n Rootkit n Keylogger n Spyware n Bot 15 / L_LIVE_EMEA2: v1

16 Websiteaanvallen o.a. n Defacing n SQL-injectie n Misbruik van een webproxy n Webinject 16 / L_LIVE_EMEA2: v1

17 Voorbeelden phishing + social engineering n Friday Fraud n CEO Fraud Good morning, Monique, I have tried to reach you this morning in need to manage a file with our Lawyer, Mr. Marks. Did he contact you today? Can you please give me your planning for the next 24 hours? So I can arrange time between you two. Reply to my personal to keep the confidentiality: elmer.stevens@mail.com Best regards, Elmer Stevens Chief Executive Officer Sent from my iphone 17 / L_LIVE_EMEA2: v1

18 Spear phishing 18 / L_LIVE_EMEA2: v1

19 Phishing + social engineering 19 / L_LIVE_EMEA2: v1

20 Phishing + social engineering compromise 20 / L_LIVE_EMEA2: v1

21 Computerinbraak Fysiek / lokaal / op afstand, o.a.: n Portscan n Spoofing n Cache poisoning n Sniffing n Password guessing 21 / L_LIVE_EMEA2: v1

22 Hacken Door middel van: n Inloggegevens aflezen: shoulder surfing n Social engineering n Inloggen met gekochte inloggegevens n Technische ingreep (bv. installeren software, gebruik van kwetsbaarheid) 22 / L_LIVE_EMEA2: v1

23 SEO Poisoning 23 / L_LIVE_EMEA2: v1

24 CryptoLocker Ransomware, cryptoware 24 / L_LIVE_EMEA2: v1

25 Wannacry virus 25 / L_LIVE_EMEA2: v1

26 Cybercrime Strafbaarstellingen, o.a. n n n n n n n n Binnendringen in geautomatiseerd werk Belemmeren van toegang tot een geautomatiseerd werk Aftappen/opnemen van gegevens Ter beschikking stellen/voorhanden hebben van technische hulpmiddelen of toegangscodes Vernielen/stoornis teweeg brengen Veranderen/wissen/onbruikbaar maken/ontoegankelijk maken van gegevens Ter beschikking stellen of verspreiden van computervirussen Heling van gegevens (nieuw) n Strafverzwaring bij botnets ( computersabotage, 2015) 26 / L_LIVE_EMEA2: v1

27 Voorbeeld delictsomschrijving Hacken = computervredebreuk n Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 27 / L_LIVE_EMEA2: v1

28 Betekenis van termen in het strafrecht n gegevens = iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken. n geautomatiseerd werk = een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. à Hoe zit het met: - Een router? - Een technisch hulpmiddel? - Het bezitten van een digitale foto na een hack? - Een internetverbinding? 28 / L_LIVE_EMEA2: v1

29 Juridische (praktijk)problemen n Oude begrippen, nieuwe verschijnselen n Reële wereld en virtuele wereld n Cybercrime soms verzamelbegrip à juridische puzzels n Grensoverschrijdend n Onzichtbare (vaak ongrijpbare) daders n Bewijsproblemen n Schadebepaling n Expertise bij de opsporing? 29 / L_LIVE_EMEA2: v1

30 Runescape-zaak: reëel en/of virtueel? 30 / L_LIVE_EMEA2: v1

31 Phishing: combinatie delicten, verzamelbegrip n Bewegen tot afgifte van gegevens à oplichting (sinds 2009!) n Binnendringen in de digitale bankomgeving à computervredebreuk n Bankrekening leegtrekken à diefstal d.m.v. valse sleutel n Opnemen van geld à witwassen Maar: wat is het aandeel in de feiten geweest? 31 / L_LIVE_EMEA2: v1

32 Recente praktijkvoorbeelden n Verdachte was verkrijger van simkaarten, bankpassen etc. en in één geval casher: handelingen die niet essen:eel zijn geweest voor het binnendringen van de internetbankier-omgeving: geen feitelijke bijdrage aan computervredebreuk. à vrijspraak van verweten computervredebreuk (in vereniging gepleegd), verdachte heeb geen wezenlijke bijdrage geleverd aan die computervredebreuken. n Met een combinatie van speciaal vervaardigde malware (botnet + webinject; Perkele apk. ) waarmee is binnengedrongen in computers en mobiele telefoons van rekeninghouders verkrijgen en afvangen van voor internetbankieren benodigde gegevens. Vervolgens werd geld van de betrokken bankrekeningen gehaald. à veroordeeld, zeer geraffineerd (fake ING site opgezet, TAN-code afgevangen, bancair domein + telefonie domein, groot gevaar, ontwrichting van online betalingsverkeer ) 32 / L_LIVE_EMEA2: v1

33 De overheid en cybercrime n Kennis (NCSC, Kenniscentrum Cybercrime Gerechtshof Den Haag) n Opsporing en vervolging (High Tech Crime Team/Landelijk Parket; cybercrime eenheden/gewone politie; European Cybercrime center EC3 /Europol) n Informatieverstrekking, richtlijnen (Cyber Security Raad à juridische zorgplichten bij cyber security) n Toezicht en handhaving (Autoriteit Persoonsgegevens à Wet Meldplicht datalekken (2016), implementatie GDPR/AGV (2018); sectorale toezichthouders) n Defensie (Ministerie van Defensie, Cyber war fare) 33 / L_LIVE_EMEA2: v1

34 Trends & Topics n Internet of Things (IoT) n Beveiligingsstandaard, zorgplichten n Human factor in security (biometrics?) n Meldplichten, toezicht en handhaving n Blockchain technologie n Cryptocurrencies (Bitcoin, Ethereum, etc.) n Cybercrime-as-a-service (goedkoop!) n Prioriteren cyber risks in bedrijfsleven 34 / L_LIVE_EMEA2: v1

35 Bitcoin n hcp://bitcoin:cker.co/transac:ons n 35 / L_LIVE_EMEA2: v1

36 Dank voor uw aandacht! Crime, Fraud & Investigations Incident Response Compliance David Schreuders Partner Simmons & Simmons LLP DD M David.Schreuders@Simmons-Simmons.com 36 / L_LIVE_EMEA2: v1

37 37 / L_LIVE_EMEA2: v1

38 Cybercrime perspectief van de bank Jeroen Bos 22 juni 2017

39 Agenda n Politieke discussie over rol banken n Publiekrechtelijke regels n Mogelijke aansprakelijkheid naar klanten van de bank 39 / L_LIVE_EMEA2: v1

40 Politieke discussie n Wordt in regel nà incidenten gevoerd n Nadruk op bank consument relatie n Afwezig in discussie rol van kleinere bedrijven (Fintech) in betalingsverkeer? is positie van banken vandaag de positie van andere (grote) bedrijven morgen? 40 / L_LIVE_EMEA2: v1

41 Publiekrechtelijke regels 41 / L_LIVE_EMEA2: v1

42 Publiekrechtelijke regels wettelijke grondslag toezicht n Banken Wet op het financieel toezicht Besluit prudentiële regels n Pensioenfondsen Pensioenwet Wet verplichte pensioenregeling en Besluit financieel toetsingskader n Verzekeraars Besluit prudentiële regels n Wet meldplicht datalekken 42 / L_LIVE_EMEA2: v1

43 Publiekrechtelijke regels n Cybercrime is één van de onderdelen van cross-sectoraal toezicht van DNB n Cybercrime wordt als een operationeel risico gezien dat ook integriteitsrisico veroorzaakt n Toezichtsregels bevatten veel open normen en legt verantwoordelijkheid voor in kaart brengen risico s bij banken n Moet op boardroom niveau besproken worden n DNB heeft mogelijkheid handhavingsmaatregelen te nemen n Meldplicht van banken van incidenten (aan DNB) n Meldplicht van banken datalekken (Autoriteit Persoonsgegevens) 43 / L_LIVE_EMEA2: v1

44 Aansprakelijkheid banken naar klanten take aways n Onderscheid tussen situatie waarin bank een contractuele relatie heeft met klager en situatie waarin klager geen contractuele relatie met bank heeft n Kan bank zich op overmacht beroepen? n Is er sprake van eigen schuld aan de kant van de klant? Denk ook aan gedragingen van werknemers n Wat is de schade en kan deze onderbouwd worden? 44 / L_LIVE_EMEA2: v1

45 Aansprakelijkheid Casus 1 Bedrijf X Zus van dader klacht Commerzbank ABN AMRO 45 / L_LIVE_EMEA2: v1

46 Casus 1 - Feiten n Betalingen door frauderende medewerker A van bedrijf X n Bedrijf X bankiert bij Commerzbank n Betaalopdrachten aan zus van A die bij ABN AMRO bankiert n ABN AMRO ziet bij vijfde betaling dat naam begunstigde en rekeningnummer niet kloppen n ABN AMRO heeft protocol dat betalingen boven EUR handmatig worden gecontroleerd n Bedrijf X spreekt ABN AMRO aan 46 / L_LIVE_EMEA2: v1

47 Casus 1 Overwegingen rechtbank n ABN AMRO en bedrijf X hebben geen contractuele relatie n ABN AMRO heeft bijzondere zorgplicht, ook naar derden n ABN AMRO heeft geen wettelijke verplichting naam- / nummercontrole te voeren n Niet of gebrekkig nakomen van interne procedures leidt niet tot aansprakelijkheid n Bank heeft wel verplichting een derde (bedrijf X) te informeren over onregelmatigheden 47 / L_LIVE_EMEA2: v1

48 Casus 2 Cyber-aanval Bank A Géén betaalverkeer mogelijk X Bank B Webwinkel koopovereenkomst Klant 48 / L_LIVE_EMEA2: v1

49 Casus 2 feiten en vragen voor aansprakelijkheid n Website bank niet beschikbaar n Contract n Niet beschikbaarheid door schuld van de bank? n Niet beschikbaarheid door externe omstandigheid? n Kan externe omstandigheid bank worden toegerekend (risicoaansprakelijkheid)? n Remedies klanten: ontbinding of schadevergoeding n Wat is schade van bedrijf gaan klanten naar concurrent of stellen klanten aankoop uit? 49 / L_LIVE_EMEA2: v1

50 Dank voor uw aandacht Jeroen Bos Partner Simmons & Simmons LLP DD M Jeroen.bos@simmons-simmons.com 50 / L_LIVE_EMEA2: v1

51 51 / L_LIVE_EMEA2: v1

52 simmons-simmons.com elexica.com 52 / L_LIVE_EMEA2: v1