Programma. n 15:00 15:10 u. Introductie Philip Wielenga (WIELTEC)

Vergelijkbare documenten
Over Vest Pioniers in informatiebeveiliging

Cybersecuritybeeld Nederland

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

!! Het!nieuwe!digitale!zakkenrollen!!!

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Spraakverwarring. seminar Cybercrime: bedreigingen en antwoorden. Wet Computercriminaliteit III

Taak Hoe moet dat Inhoud

Network Security Albert Kooijman & Remko Hartlief

Stroomschema s computercriminaliteit

Digitale veiligheid. Hoe kijken consumenten en bedrijven aan tegen digitale veiligheid? GfK Yvette Bracke & Koen van Nijnatten September 2018

Building Automation Security The Cyber security landscape, current trends and developments

Hoe kan je geld verdienen met Fraude?

Gebruikersdag Vialis Digitale Veiligheid

INTRODUCTIE

CYBERCRIME/FORENSIC READINESS. Mirjam Elferink, advocaat IE/ICT Krijn de Mik, senior forensic IT Expert

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

DIGITALE VEILIGHEIDSCHECK MKB

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Informaticacriminaliteit

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

Robert van der Vossen

Datum 16 april 2013 Betreft Brief op verzoek van het lid Van Hijum (CDA) over de ICT-problemen bij banken als gevolg van cyberaanvallen

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

HET CENTRALE SECURITY PLATFORM

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Hackers; Hoe wordt je een doelwit? De consument in de keten

Position Paper rondetafelgesprek Online Betalingsverkeer - 30 mei 2013

Cybercrime. Van herkenning tot aangifte. Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Inleiding. Begrippen en concepten

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

Security Starts With Awareness

Digitale Veiligheid 3.0

If you want total security, go to prison. There you're fed, clothed, given medical care and so on. The only thing lacking is... freedom.

Over cybercrime en wat je ertegen moet doen

1. Uw tablet beveiligen

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Checklist Beveiliging Persoonsgegevens

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Hoe fysiek is informatiebeveiliging?

ESET NEDERLAND SECURITY SERVICES PREDICTION

Tweede Kamer der Staten-Generaal

Datarisico s. Jos Kuhl Risk Management Consultant / Adviseur Datarisico Oktober 2017

IB RAPPORTAGE. Contactcenter Logius

1. Inhoudsopgave.

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

CALAMITEIT. Incident Response. Probeer dan eens een. Als u beveiliging te duur vindt,. K.E. Reussink

Geheimhoudingsverklaring ambtenaren Stichtse Vecht

Cybersecurity & Ransomware Sebastiaan Kok. 1 juni 2017

Wat is de Cyberdreiging in Nederland?

Samenvatting. Aanleiding, vraagstelling en scope

Wet gegevensverwerking. en meldplicht cybersecurity

Cyber MKB. Weerstand bieden aan cybercriminaliteit

De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets

Digitale Veiligheid 3.0

Cyber security. Het nieuwe wereldprobleem? Erik Poll Digital Security

INVENTARISATIEFORMULIER CYBER VERZEKERING

Dank voor uw . Op een aantal punten ervan wil ik graag nog wat nader ingaan.

Publiek-private partnerships voor een sterke cybersecurity

Beginselen van behoorlijk ICTgebruik. Prof. mr. H. Franken Universiteit Leiden

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Aangiftebereidheid van Computercriminaliteit bij Bedrijven

CONCEPTWETSVOORSTEL VERSTERKING BESTRIJDING COMPUTERCRIMINALITEIT

1 Ransomware Preventie Slachtoffer van ransomware?... 8

Wat te doen tegen ransomware

Een veranderd landschap: PSD 2 en toestemming onder de AVG

Consultatiedocument: Beleidsregel incident Wft / BGfo. Wat vindt de AFM een incident?

Security by Design. Security Event AMIS. 4 december 2014

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Les D-06 Veilig internetten

Kennissessie Information Security

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Starterscommissie VOA

Digitale Veiligheid 3.0

Welkom. Veiligheid en Samenleving Q door André van Brussel

Cybersecuritybeeld Nederland 2016 Vier opvallende ontwikkelingen uit het CSBN 2016:

KENNISMAKEN MET ONS TURIEN & CO. ASSURADEUREN BJÖRN JALVING

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Is jouw digitale buur (m/v) ook te vertrouwen? René van Etten en Richard Klein

Smartphones onder vuur

Dienstbeschrijving Zakelijk Veilig Werken

1. Uw computer beveiligen

4 e AntiWitwas Richtlijn

Internetbankieren móét en kán veiliger

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

8 nov InAudit 1. Cybersecurity: moet ROBBERT KRAMER

Betalingsverkeer. Vertrouwen of innoveren? Wandena Birdja-Punwasi en Erus Schuurman. 22 mei 2014

Informatieveiligheid bekeken vanuit juridisch perspectief

CSBN-4. Cybersecuritybeeld Nederland

Tweede Kamer der Staten-Generaal

Checklist cybersecurity. Voorkom dat uw bedrijf de aandacht trekt van een cybercrimineel en check hoe u uw bedrijf online het beste beveiligt.

Datum 3 juni 2013 Onderwerp Antwoorden kamervragen over de hack op het Groene Hartziekenhuis

Inhoudsopgave Voorwoord 5 Introductie Visual Steps 6 Nieuwsbrief 6 Wat heeft u nodig? 7 Uw voorkennis 7 Hoe werkt u met dit boek?

Voorwaarden. Vaste Breedbanddiensten SETAR NV. Creating Connections

Abuse & acceptable use policy

Transcriptie:

Programma n 15:00 15:10 u. Introductie Philip Wielenga (WIELTEC) n 15:10 15:50 u. Cybercrime en juridische problemen in de praktijk David Schreuders (Simmons & Simmons) n 15:50 16:10 u. Cybercrime vanuit het perspectief van de bank Jeroen Bos (Simmons & Simmons) n 16:10 16:20 u. Pauze n 16:20 17:00 u. Cybercrime in een live-hack demonstratie Christian Prickaerts (Fox-IT) n 17:00 17:15 u. Wrap up n 17:15 u. Drinks 1 / L_LIVE_EMEA2:14916005v1

Cybercrime en juridische problemen in de praktijk David Schreuders

Cybercrime n Wat is cybercrime? n Cybercrime in het cyber security landschap n Verschijningsvormen en delicten n Juridische (praktijk)problemen n Cybercrime en de overheid n Trends & Topics 3 / L_LIVE_EMEA2:14916005v1

4 / L_LIVE_EMEA2:14916005v1

Wat is cybercrime? n In enge zin: ICT is voornaamste doelwit of de strafbare daad wordt niet zonder het misbruiken van ICT-voorzieningen uitgevoerd n In ruime zin: strafbare gedragingen die met behulp van of via ICT (d.w.z. op normale, legitieme wijze gebruikt) worden begaan (Nationaal Cyber Security Centrum, Ministerie V&J) Cybercrime in enge zin: vaak in combinatie met andere vormen van (computer)criminaliteit 5 / L_LIVE_EMEA2:14916005v1

Andere indeling van cybercrime: n Computer-gerichte delicten - hacken, (d)dos-aanvallen, malware, spam, etc. n Computer-gerelateerde delicten - phishing, kinderporno, marktplaatsoplichting, uitingsdelicten, etc. n Computer relevante delicten - alle misdrijven i.v.m. digitaal bewijs? 6 / L_LIVE_EMEA2:14916005v1

Het cyber security landschap n Definitie cyber security: Het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan (Nationale Cyber Security Strategie 2, 2013) n Beperking beschikbaarheid en betrouwbaarheid van ICT n Schending vertrouwelijkheid n Schade aan integriteit van informatie n Opzettelijk en onopzettelijk 7 / L_LIVE_EMEA2:14916005v1

Het cyber security landschap: het krachtenveld n Verscheidenheid aan belangen n Dreigingen: actoren en hulpmiddelen (cybercrime) n Kwetsbaarheden (software, techniek, BYOD, Big Data, beveiliging, etc.) n Weerbaarheid n Informatiebeveiliging n Manifestaties (digitale spionage, diefstal, verstoringen, computermisdrijven) 8 / L_LIVE_EMEA2:14916005v1

Actoren n Staten n Terroristen n Beroepscriminelen n Cybervandalen en scriptkiddies n Hacktivisten n Interne actoren n Cyberonderzoekers n Private organisaties 9 / L_LIVE_EMEA2:14916005v1

Voorbeeld hacktivism ( The Impact Team ) 10 / L_LIVE_EMEA2:14916005v1

Cybersecurity dreigingen: actoren Staten 11 / L_LIVE_EMEA2:14916005v1

Manipuleren van verkiezingen?! 12 / L_LIVE_EMEA2:14916005v1

Cyber security dreigingen: Hulpmiddelen n Exploits n Malware n Botnets n Ransomware, cryptoware n Content distribution networks n Cybercrime-as-a-service 13 / L_LIVE_EMEA2:14916005v1

Verschijnselen van cybercrime n Malware n Computerinbraak (hacking) n Websiteaanvallen n Botnets n Denial of service-aanvallen, (d)dos n Social engineering n E-mailgerelateerde vormen (phishing, spear phishing) 14 / L_LIVE_EMEA2:14916005v1

Malware, o.a.: n Virus n Worm n Trojan / Trojaans paard n Backdoor n Rootkit n Keylogger n Spyware n Bot 15 / L_LIVE_EMEA2:14916005v1

Websiteaanvallen o.a. n Defacing n SQL-injectie n Misbruik van een webproxy n Webinject 16 / L_LIVE_EMEA2:14916005v1

Voorbeelden phishing + social engineering n Friday Fraud n CEO Fraud Good morning, Monique, I have tried to reach you this morning in need to manage a file with our Lawyer, Mr. Marks. Did he contact you today? Can you please give me your planning for the next 24 hours? So I can arrange time between you two. Reply to my personal email to keep the confidentiality: elmer.stevens@mail.com Best regards, Elmer Stevens Chief Executive Officer Sent from my iphone 17 / L_LIVE_EMEA2:14916005v1

Spear phishing 18 / L_LIVE_EMEA2:14916005v1

Phishing + social engineering 19 / L_LIVE_EMEA2:14916005v1

Phishing + social engineering E-mail compromise 20 / L_LIVE_EMEA2:14916005v1

Computerinbraak Fysiek / lokaal / op afstand, o.a.: n Portscan n Spoofing n Cache poisoning n Sniffing n Password guessing 21 / L_LIVE_EMEA2:14916005v1

Hacken Door middel van: n Inloggegevens aflezen: shoulder surfing n Social engineering n Inloggen met gekochte inloggegevens n Technische ingreep (bv. installeren software, gebruik van kwetsbaarheid) 22 / L_LIVE_EMEA2:14916005v1

SEO Poisoning 23 / L_LIVE_EMEA2:14916005v1

CryptoLocker Ransomware, cryptoware 24 / L_LIVE_EMEA2:14916005v1

Wannacry virus 25 / L_LIVE_EMEA2:14916005v1

Cybercrime Strafbaarstellingen, o.a. n n n n n n n n Binnendringen in geautomatiseerd werk Belemmeren van toegang tot een geautomatiseerd werk Aftappen/opnemen van gegevens Ter beschikking stellen/voorhanden hebben van technische hulpmiddelen of toegangscodes Vernielen/stoornis teweeg brengen Veranderen/wissen/onbruikbaar maken/ontoegankelijk maken van gegevens Ter beschikking stellen of verspreiden van computervirussen Heling van gegevens (nieuw) n Strafverzwaring bij botnets ( computersabotage, 2015) 26 / L_LIVE_EMEA2:14916005v1

Voorbeeld delictsomschrijving Hacken = computervredebreuk n Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 27 / L_LIVE_EMEA2:14916005v1

Betekenis van termen in het strafrecht n gegevens = iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken. n geautomatiseerd werk = een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. à Hoe zit het met: - Een router? - Een technisch hulpmiddel? - Het bezitten van een digitale foto na een hack? - Een internetverbinding? 28 / L_LIVE_EMEA2:14916005v1

Juridische (praktijk)problemen n Oude begrippen, nieuwe verschijnselen n Reële wereld en virtuele wereld n Cybercrime soms verzamelbegrip à juridische puzzels n Grensoverschrijdend n Onzichtbare (vaak ongrijpbare) daders n Bewijsproblemen n Schadebepaling n Expertise bij de opsporing? 29 / L_LIVE_EMEA2:14916005v1

Runescape-zaak: reëel en/of virtueel? 30 / L_LIVE_EMEA2:14916005v1

Phishing: combinatie delicten, verzamelbegrip n Bewegen tot afgifte van gegevens à oplichting (sinds 2009!) n Binnendringen in de digitale bankomgeving à computervredebreuk n Bankrekening leegtrekken à diefstal d.m.v. valse sleutel n Opnemen van geld à witwassen Maar: wat is het aandeel in de feiten geweest? 31 / L_LIVE_EMEA2:14916005v1

Recente praktijkvoorbeelden n Verdachte was verkrijger van simkaarten, bankpassen etc. en in één geval casher: handelingen die niet essen:eel zijn geweest voor het binnendringen van de internetbankier-omgeving: geen feitelijke bijdrage aan computervredebreuk. à vrijspraak van verweten computervredebreuk (in vereniging gepleegd), verdachte heeb geen wezenlijke bijdrage geleverd aan die computervredebreuken. n Met een combinatie van speciaal vervaardigde malware (botnet + webinject; Perkele apk. ) waarmee is binnengedrongen in computers en mobiele telefoons van rekeninghouders verkrijgen en afvangen van voor internetbankieren benodigde gegevens. Vervolgens werd geld van de betrokken bankrekeningen gehaald. à veroordeeld, zeer geraffineerd (fake ING site opgezet, TAN-code afgevangen, bancair domein + telefonie domein, groot gevaar, ontwrichting van online betalingsverkeer ) 32 / L_LIVE_EMEA2:14916005v1

De overheid en cybercrime n Kennis (NCSC, Kenniscentrum Cybercrime Gerechtshof Den Haag) n Opsporing en vervolging (High Tech Crime Team/Landelijk Parket; cybercrime eenheden/gewone politie; European Cybercrime center EC3 /Europol) n Informatieverstrekking, richtlijnen (Cyber Security Raad à juridische zorgplichten bij cyber security) n Toezicht en handhaving (Autoriteit Persoonsgegevens à Wet Meldplicht datalekken (2016), implementatie GDPR/AGV (2018); sectorale toezichthouders) n Defensie (Ministerie van Defensie, Cyber war fare) 33 / L_LIVE_EMEA2:14916005v1

Trends & Topics n Internet of Things (IoT) n Beveiligingsstandaard, zorgplichten n Human factor in security (biometrics?) n Meldplichten, toezicht en handhaving n Blockchain technologie n Cryptocurrencies (Bitcoin, Ethereum, etc.) n Cybercrime-as-a-service (goedkoop!) n Prioriteren cyber risks in bedrijfsleven 34 / L_LIVE_EMEA2:14916005v1

Bitcoin n hcp://bitcoin:cker.co/transac:ons n 35 / L_LIVE_EMEA2:14916005v1

Dank voor uw aandacht! Crime, Fraud & Investigations Incident Response Compliance David Schreuders Partner Simmons & Simmons LLP DD +3120 722 2301 M + 31 6 5474 0834 David.Schreuders@Simmons-Simmons.com 36 / L_LIVE_EMEA2:14916005v1

37 / L_LIVE_EMEA2:14916005v1

Cybercrime perspectief van de bank Jeroen Bos 22 juni 2017

Agenda n Politieke discussie over rol banken n Publiekrechtelijke regels n Mogelijke aansprakelijkheid naar klanten van de bank 39 / L_LIVE_EMEA2:14916005v1

Politieke discussie n Wordt in regel nà incidenten gevoerd n Nadruk op bank consument relatie n Afwezig in discussie rol van kleinere bedrijven (Fintech) in betalingsverkeer? is positie van banken vandaag de positie van andere (grote) bedrijven morgen? 40 / L_LIVE_EMEA2:14916005v1

Publiekrechtelijke regels 41 / L_LIVE_EMEA2:14916005v1

Publiekrechtelijke regels wettelijke grondslag toezicht n Banken Wet op het financieel toezicht Besluit prudentiële regels n Pensioenfondsen Pensioenwet Wet verplichte pensioenregeling en Besluit financieel toetsingskader n Verzekeraars Besluit prudentiële regels n Wet meldplicht datalekken 42 / L_LIVE_EMEA2:14916005v1

Publiekrechtelijke regels n Cybercrime is één van de onderdelen van cross-sectoraal toezicht van DNB n Cybercrime wordt als een operationeel risico gezien dat ook integriteitsrisico veroorzaakt n Toezichtsregels bevatten veel open normen en legt verantwoordelijkheid voor in kaart brengen risico s bij banken n Moet op boardroom niveau besproken worden n DNB heeft mogelijkheid handhavingsmaatregelen te nemen n Meldplicht van banken van incidenten (aan DNB) n Meldplicht van banken datalekken (Autoriteit Persoonsgegevens) 43 / L_LIVE_EMEA2:14916005v1

Aansprakelijkheid banken naar klanten take aways n Onderscheid tussen situatie waarin bank een contractuele relatie heeft met klager en situatie waarin klager geen contractuele relatie met bank heeft n Kan bank zich op overmacht beroepen? n Is er sprake van eigen schuld aan de kant van de klant? Denk ook aan gedragingen van werknemers n Wat is de schade en kan deze onderbouwd worden? 44 / L_LIVE_EMEA2:14916005v1

Aansprakelijkheid Casus 1 Bedrijf X Zus van dader klacht Commerzbank ABN AMRO 45 / L_LIVE_EMEA2:14916005v1

Casus 1 - Feiten n Betalingen door frauderende medewerker A van bedrijf X n Bedrijf X bankiert bij Commerzbank n Betaalopdrachten aan zus van A die bij ABN AMRO bankiert n ABN AMRO ziet bij vijfde betaling dat naam begunstigde en rekeningnummer niet kloppen n ABN AMRO heeft protocol dat betalingen boven EUR 15.000 handmatig worden gecontroleerd n Bedrijf X spreekt ABN AMRO aan 46 / L_LIVE_EMEA2:14916005v1

Casus 1 Overwegingen rechtbank n ABN AMRO en bedrijf X hebben geen contractuele relatie n ABN AMRO heeft bijzondere zorgplicht, ook naar derden n ABN AMRO heeft geen wettelijke verplichting naam- / nummercontrole te voeren n Niet of gebrekkig nakomen van interne procedures leidt niet tot aansprakelijkheid n Bank heeft wel verplichting een derde (bedrijf X) te informeren over onregelmatigheden 47 / L_LIVE_EMEA2:14916005v1

Casus 2 Cyber-aanval Bank A Géén betaalverkeer mogelijk X Bank B Webwinkel koopovereenkomst Klant 48 / L_LIVE_EMEA2:14916005v1

Casus 2 feiten en vragen voor aansprakelijkheid n Website bank niet beschikbaar n Contract n Niet beschikbaarheid door schuld van de bank? n Niet beschikbaarheid door externe omstandigheid? n Kan externe omstandigheid bank worden toegerekend (risicoaansprakelijkheid)? n Remedies klanten: ontbinding of schadevergoeding n Wat is schade van bedrijf gaan klanten naar concurrent of stellen klanten aankoop uit? 49 / L_LIVE_EMEA2:14916005v1

Dank voor uw aandacht Jeroen Bos Partner Simmons & Simmons LLP DD +31 20 722 2343 M +31 6 5154 1787 Jeroen.bos@simmons-simmons.com 50 / L_LIVE_EMEA2:14916005v1

51 / L_LIVE_EMEA2:14916005v1

simmons-simmons.com elexica.com 52 / L_LIVE_EMEA2:14916005v1

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback