Programma n 15:00 15:10 u. Introductie Philip Wielenga (WIELTEC) n 15:10 15:50 u. Cybercrime en juridische problemen in de praktijk David Schreuders (Simmons & Simmons) n 15:50 16:10 u. Cybercrime vanuit het perspectief van de bank Jeroen Bos (Simmons & Simmons) n 16:10 16:20 u. Pauze n 16:20 17:00 u. Cybercrime in een live-hack demonstratie Christian Prickaerts (Fox-IT) n 17:00 17:15 u. Wrap up n 17:15 u. Drinks 1 / L_LIVE_EMEA2:14916005v1
Cybercrime en juridische problemen in de praktijk David Schreuders
Cybercrime n Wat is cybercrime? n Cybercrime in het cyber security landschap n Verschijningsvormen en delicten n Juridische (praktijk)problemen n Cybercrime en de overheid n Trends & Topics 3 / L_LIVE_EMEA2:14916005v1
4 / L_LIVE_EMEA2:14916005v1
Wat is cybercrime? n In enge zin: ICT is voornaamste doelwit of de strafbare daad wordt niet zonder het misbruiken van ICT-voorzieningen uitgevoerd n In ruime zin: strafbare gedragingen die met behulp van of via ICT (d.w.z. op normale, legitieme wijze gebruikt) worden begaan (Nationaal Cyber Security Centrum, Ministerie V&J) Cybercrime in enge zin: vaak in combinatie met andere vormen van (computer)criminaliteit 5 / L_LIVE_EMEA2:14916005v1
Andere indeling van cybercrime: n Computer-gerichte delicten - hacken, (d)dos-aanvallen, malware, spam, etc. n Computer-gerelateerde delicten - phishing, kinderporno, marktplaatsoplichting, uitingsdelicten, etc. n Computer relevante delicten - alle misdrijven i.v.m. digitaal bewijs? 6 / L_LIVE_EMEA2:14916005v1
Het cyber security landschap n Definitie cyber security: Het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan (Nationale Cyber Security Strategie 2, 2013) n Beperking beschikbaarheid en betrouwbaarheid van ICT n Schending vertrouwelijkheid n Schade aan integriteit van informatie n Opzettelijk en onopzettelijk 7 / L_LIVE_EMEA2:14916005v1
Het cyber security landschap: het krachtenveld n Verscheidenheid aan belangen n Dreigingen: actoren en hulpmiddelen (cybercrime) n Kwetsbaarheden (software, techniek, BYOD, Big Data, beveiliging, etc.) n Weerbaarheid n Informatiebeveiliging n Manifestaties (digitale spionage, diefstal, verstoringen, computermisdrijven) 8 / L_LIVE_EMEA2:14916005v1
Actoren n Staten n Terroristen n Beroepscriminelen n Cybervandalen en scriptkiddies n Hacktivisten n Interne actoren n Cyberonderzoekers n Private organisaties 9 / L_LIVE_EMEA2:14916005v1
Voorbeeld hacktivism ( The Impact Team ) 10 / L_LIVE_EMEA2:14916005v1
Cybersecurity dreigingen: actoren Staten 11 / L_LIVE_EMEA2:14916005v1
Manipuleren van verkiezingen?! 12 / L_LIVE_EMEA2:14916005v1
Cyber security dreigingen: Hulpmiddelen n Exploits n Malware n Botnets n Ransomware, cryptoware n Content distribution networks n Cybercrime-as-a-service 13 / L_LIVE_EMEA2:14916005v1
Verschijnselen van cybercrime n Malware n Computerinbraak (hacking) n Websiteaanvallen n Botnets n Denial of service-aanvallen, (d)dos n Social engineering n E-mailgerelateerde vormen (phishing, spear phishing) 14 / L_LIVE_EMEA2:14916005v1
Malware, o.a.: n Virus n Worm n Trojan / Trojaans paard n Backdoor n Rootkit n Keylogger n Spyware n Bot 15 / L_LIVE_EMEA2:14916005v1
Websiteaanvallen o.a. n Defacing n SQL-injectie n Misbruik van een webproxy n Webinject 16 / L_LIVE_EMEA2:14916005v1
Voorbeelden phishing + social engineering n Friday Fraud n CEO Fraud Good morning, Monique, I have tried to reach you this morning in need to manage a file with our Lawyer, Mr. Marks. Did he contact you today? Can you please give me your planning for the next 24 hours? So I can arrange time between you two. Reply to my personal email to keep the confidentiality: elmer.stevens@mail.com Best regards, Elmer Stevens Chief Executive Officer Sent from my iphone 17 / L_LIVE_EMEA2:14916005v1
Spear phishing 18 / L_LIVE_EMEA2:14916005v1
Phishing + social engineering 19 / L_LIVE_EMEA2:14916005v1
Phishing + social engineering E-mail compromise 20 / L_LIVE_EMEA2:14916005v1
Computerinbraak Fysiek / lokaal / op afstand, o.a.: n Portscan n Spoofing n Cache poisoning n Sniffing n Password guessing 21 / L_LIVE_EMEA2:14916005v1
Hacken Door middel van: n Inloggegevens aflezen: shoulder surfing n Social engineering n Inloggen met gekochte inloggegevens n Technische ingreep (bv. installeren software, gebruik van kwetsbaarheid) 22 / L_LIVE_EMEA2:14916005v1
SEO Poisoning 23 / L_LIVE_EMEA2:14916005v1
CryptoLocker Ransomware, cryptoware 24 / L_LIVE_EMEA2:14916005v1
Wannacry virus 25 / L_LIVE_EMEA2:14916005v1
Cybercrime Strafbaarstellingen, o.a. n n n n n n n n Binnendringen in geautomatiseerd werk Belemmeren van toegang tot een geautomatiseerd werk Aftappen/opnemen van gegevens Ter beschikking stellen/voorhanden hebben van technische hulpmiddelen of toegangscodes Vernielen/stoornis teweeg brengen Veranderen/wissen/onbruikbaar maken/ontoegankelijk maken van gegevens Ter beschikking stellen of verspreiden van computervirussen Heling van gegevens (nieuw) n Strafverzwaring bij botnets ( computersabotage, 2015) 26 / L_LIVE_EMEA2:14916005v1
Voorbeeld delictsomschrijving Hacken = computervredebreuk n Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 27 / L_LIVE_EMEA2:14916005v1
Betekenis van termen in het strafrecht n gegevens = iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken. n geautomatiseerd werk = een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. à Hoe zit het met: - Een router? - Een technisch hulpmiddel? - Het bezitten van een digitale foto na een hack? - Een internetverbinding? 28 / L_LIVE_EMEA2:14916005v1
Juridische (praktijk)problemen n Oude begrippen, nieuwe verschijnselen n Reële wereld en virtuele wereld n Cybercrime soms verzamelbegrip à juridische puzzels n Grensoverschrijdend n Onzichtbare (vaak ongrijpbare) daders n Bewijsproblemen n Schadebepaling n Expertise bij de opsporing? 29 / L_LIVE_EMEA2:14916005v1
Runescape-zaak: reëel en/of virtueel? 30 / L_LIVE_EMEA2:14916005v1
Phishing: combinatie delicten, verzamelbegrip n Bewegen tot afgifte van gegevens à oplichting (sinds 2009!) n Binnendringen in de digitale bankomgeving à computervredebreuk n Bankrekening leegtrekken à diefstal d.m.v. valse sleutel n Opnemen van geld à witwassen Maar: wat is het aandeel in de feiten geweest? 31 / L_LIVE_EMEA2:14916005v1
Recente praktijkvoorbeelden n Verdachte was verkrijger van simkaarten, bankpassen etc. en in één geval casher: handelingen die niet essen:eel zijn geweest voor het binnendringen van de internetbankier-omgeving: geen feitelijke bijdrage aan computervredebreuk. à vrijspraak van verweten computervredebreuk (in vereniging gepleegd), verdachte heeb geen wezenlijke bijdrage geleverd aan die computervredebreuken. n Met een combinatie van speciaal vervaardigde malware (botnet + webinject; Perkele apk. ) waarmee is binnengedrongen in computers en mobiele telefoons van rekeninghouders verkrijgen en afvangen van voor internetbankieren benodigde gegevens. Vervolgens werd geld van de betrokken bankrekeningen gehaald. à veroordeeld, zeer geraffineerd (fake ING site opgezet, TAN-code afgevangen, bancair domein + telefonie domein, groot gevaar, ontwrichting van online betalingsverkeer ) 32 / L_LIVE_EMEA2:14916005v1
De overheid en cybercrime n Kennis (NCSC, Kenniscentrum Cybercrime Gerechtshof Den Haag) n Opsporing en vervolging (High Tech Crime Team/Landelijk Parket; cybercrime eenheden/gewone politie; European Cybercrime center EC3 /Europol) n Informatieverstrekking, richtlijnen (Cyber Security Raad à juridische zorgplichten bij cyber security) n Toezicht en handhaving (Autoriteit Persoonsgegevens à Wet Meldplicht datalekken (2016), implementatie GDPR/AGV (2018); sectorale toezichthouders) n Defensie (Ministerie van Defensie, Cyber war fare) 33 / L_LIVE_EMEA2:14916005v1
Trends & Topics n Internet of Things (IoT) n Beveiligingsstandaard, zorgplichten n Human factor in security (biometrics?) n Meldplichten, toezicht en handhaving n Blockchain technologie n Cryptocurrencies (Bitcoin, Ethereum, etc.) n Cybercrime-as-a-service (goedkoop!) n Prioriteren cyber risks in bedrijfsleven 34 / L_LIVE_EMEA2:14916005v1
Bitcoin n hcp://bitcoin:cker.co/transac:ons n 35 / L_LIVE_EMEA2:14916005v1
Dank voor uw aandacht! Crime, Fraud & Investigations Incident Response Compliance David Schreuders Partner Simmons & Simmons LLP DD +3120 722 2301 M + 31 6 5474 0834 David.Schreuders@Simmons-Simmons.com 36 / L_LIVE_EMEA2:14916005v1
37 / L_LIVE_EMEA2:14916005v1
Cybercrime perspectief van de bank Jeroen Bos 22 juni 2017
Agenda n Politieke discussie over rol banken n Publiekrechtelijke regels n Mogelijke aansprakelijkheid naar klanten van de bank 39 / L_LIVE_EMEA2:14916005v1
Politieke discussie n Wordt in regel nà incidenten gevoerd n Nadruk op bank consument relatie n Afwezig in discussie rol van kleinere bedrijven (Fintech) in betalingsverkeer? is positie van banken vandaag de positie van andere (grote) bedrijven morgen? 40 / L_LIVE_EMEA2:14916005v1
Publiekrechtelijke regels 41 / L_LIVE_EMEA2:14916005v1
Publiekrechtelijke regels wettelijke grondslag toezicht n Banken Wet op het financieel toezicht Besluit prudentiële regels n Pensioenfondsen Pensioenwet Wet verplichte pensioenregeling en Besluit financieel toetsingskader n Verzekeraars Besluit prudentiële regels n Wet meldplicht datalekken 42 / L_LIVE_EMEA2:14916005v1
Publiekrechtelijke regels n Cybercrime is één van de onderdelen van cross-sectoraal toezicht van DNB n Cybercrime wordt als een operationeel risico gezien dat ook integriteitsrisico veroorzaakt n Toezichtsregels bevatten veel open normen en legt verantwoordelijkheid voor in kaart brengen risico s bij banken n Moet op boardroom niveau besproken worden n DNB heeft mogelijkheid handhavingsmaatregelen te nemen n Meldplicht van banken van incidenten (aan DNB) n Meldplicht van banken datalekken (Autoriteit Persoonsgegevens) 43 / L_LIVE_EMEA2:14916005v1
Aansprakelijkheid banken naar klanten take aways n Onderscheid tussen situatie waarin bank een contractuele relatie heeft met klager en situatie waarin klager geen contractuele relatie met bank heeft n Kan bank zich op overmacht beroepen? n Is er sprake van eigen schuld aan de kant van de klant? Denk ook aan gedragingen van werknemers n Wat is de schade en kan deze onderbouwd worden? 44 / L_LIVE_EMEA2:14916005v1
Aansprakelijkheid Casus 1 Bedrijf X Zus van dader klacht Commerzbank ABN AMRO 45 / L_LIVE_EMEA2:14916005v1
Casus 1 - Feiten n Betalingen door frauderende medewerker A van bedrijf X n Bedrijf X bankiert bij Commerzbank n Betaalopdrachten aan zus van A die bij ABN AMRO bankiert n ABN AMRO ziet bij vijfde betaling dat naam begunstigde en rekeningnummer niet kloppen n ABN AMRO heeft protocol dat betalingen boven EUR 15.000 handmatig worden gecontroleerd n Bedrijf X spreekt ABN AMRO aan 46 / L_LIVE_EMEA2:14916005v1
Casus 1 Overwegingen rechtbank n ABN AMRO en bedrijf X hebben geen contractuele relatie n ABN AMRO heeft bijzondere zorgplicht, ook naar derden n ABN AMRO heeft geen wettelijke verplichting naam- / nummercontrole te voeren n Niet of gebrekkig nakomen van interne procedures leidt niet tot aansprakelijkheid n Bank heeft wel verplichting een derde (bedrijf X) te informeren over onregelmatigheden 47 / L_LIVE_EMEA2:14916005v1
Casus 2 Cyber-aanval Bank A Géén betaalverkeer mogelijk X Bank B Webwinkel koopovereenkomst Klant 48 / L_LIVE_EMEA2:14916005v1
Casus 2 feiten en vragen voor aansprakelijkheid n Website bank niet beschikbaar n Contract n Niet beschikbaarheid door schuld van de bank? n Niet beschikbaarheid door externe omstandigheid? n Kan externe omstandigheid bank worden toegerekend (risicoaansprakelijkheid)? n Remedies klanten: ontbinding of schadevergoeding n Wat is schade van bedrijf gaan klanten naar concurrent of stellen klanten aankoop uit? 49 / L_LIVE_EMEA2:14916005v1
Dank voor uw aandacht Jeroen Bos Partner Simmons & Simmons LLP DD +31 20 722 2343 M +31 6 5154 1787 Jeroen.bos@simmons-simmons.com 50 / L_LIVE_EMEA2:14916005v1
51 / L_LIVE_EMEA2:14916005v1
simmons-simmons.com elexica.com 52 / L_LIVE_EMEA2:14916005v1