Juridische vraag: Provider dumpt klant wegens DoS-aanval
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Een paar dagen terug is de site van onze gamingclan aangevallen. Eerst werden we gehackt, en toen we dat hersteld hadden kregen we een grootschalige ddos-aanval. Zo grootschalig dat onze provider er zelf offline van ging. Deze heeft vervolgens ons contract beëindigd, met een beroep op de Algemene Voorwaarden waarin staat dat wij geen overlast mogen veroorzaken.
Antwoord: Hackpogingen en ddos-aanvallen zijn helaas schering en inslag bij gamingclans, zo heb ik gemerkt. Veel hosters zijn er dan ook niet happig op om zulke sites te hosten, want zij krijgen de rommel over zich heen. Ik ken diverse hosters die expliciet gamingsites/clansites hebben verboden in hun algemene voorwaarden. Dat mag op zich, je bent als hoster niet verplicht om met wie dan ook zaken te doen.
Je moet alleen wel een bevoegdheid hebben in je voorwaarden om een bepaalde categorie klanten te weigeren. Als je aanbiedt iedereen te hosten behalve pornosites, dan kun je een gamingsite er niet zomaar afschoppen als ze al een abonnement hebben afgesloten. (Een pornosite natuurlijk wel, want die is genoemd.) De opgegeven reden is natuurlijk onzin: de klant veroorzaakt geen overlast, dat zijn derden die ruzie hebben met de klant. Heel misschien zou dit op kunnen gaan als de hoster kan bewijzen dat de ruzie of ddos-aanval is uitgelokt. Maar "je bent een gamingclan dús lok je ddos-aanvallen uit" overleeft de giecheltoets echt niet.
In zeer uitzonderlijke gevallen kan een hoster ook zonder expliciete bevoegdheid een contract opzeggen. Voortzetting moet dan "redelijkerwijs niet meer van hem gevergd kunnen worden", zoals de wet (art. 6:248 BW) het formuleert. Maar dat is niet hetzelfde als "jullie site geeft gedoe" of zelfs maar "ik word offline gegooid door een ddos-aanval op jullie". Er moet echt geen andere optie meer zijn dan opzeggen.
Ik zou dus zeggen dat de klant de opzegging niet hoeft te accepteren. Pas bij herhaalde grootschalige aanvallen waar de hoster ondanks alle denkbare (redelijke) maatregelen continue van offline gaat, mag hij het contract verbreken. In die situatie zou de hoster ongeveer failliet gaan als hij de klant met zijn gamingsite aanhoudt, en dat kan redelijkerwijs niet geëist worden.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Stellen dat een DDoS wordt veroorzaakt door derden is technisch waar, maar de oorzaak kan natuurlijk wel degelijk bij de gamingclan zelf liggen. Als ik met een Ajax shirt in het ADO vak ga lopen, mag ik dan ook van de aanwezige leiding volledige bescherming verwachten?
Dit komt me zo bekend voor.
Je hoeft toch niet iedereen te accepteren? Ieder bedrijf mag toch discrimineren op punten die niet bij wet zijn verboden? Als ik geen klanten wil van buiten de EU omdat dat gedoe met BTW geeft, dan kan ik dat toch? Of dat ik als Enschedees bedrijf nu even geen klanten uit Amsterdam wil.
Peter
Lastiger is het indien een DDOS aanval plaats vindt op basis van IP adres i.p.v. domeinnaam. Dan wordt de host immers zelf aangevallen. Maar meestal is wel te bepalen welk domein wordt aangevallen en helaas betekent dat dan dat die site even op zwart moet.
De Hoster heeft wel een risico indien hij de site weer toelaat. Er kan dan namelijk een nieuwe DDOS aanval plaats vinden. En als de site naar een andere server en ander IP adres wordt verplaatst gaat gewoon die andere plek vervolgens plat. Kortom, de site is een behoorlijk risico omdat het de sites van tientallen, zoniet honderden andere klanten plat gooit. En dat lijkt mij toch echt een goede reden voor de Hoster om een site van hun systeem te gooien...
Maar goed, een eenmalige DDOS aanval is niet voldoende, tenzij daar iets over in de AV staat. Maar eerst een hack-aanval en daarna DDOS? Dat lijkt op een patroon dat snel gestopt moet worden!
Als je als hoster dan een dikke ddos te verwerken krijgt, heb je niets aan die klant verdiend en ga je er de eerstkomende jaren ook niets meer aan verdienen. Dus gaat die klant dan voor de schade betalen of niet? Zo niet, zou ik ook zeggen dat ze beter een ander kunnen zoeken.
Of dat in eerste instantie de gehackte site de oorzaak was van de ddos of iets anders, het blijft wel de verantwoordelijkheid van de klant wat er binnen dat domein gebeurt. Nu ziet het er naar uit dat er van de hoster verwacht wordt dat hij het verlies neemt en er verder niets aan doet om herhaling te voorkomen. Niet gek dat die hoster die klant niet meer wil.
En de klant voor de schade bepalen is al helemaal vergezocht als dat niet in de voorwaarden staat (en gezien mijn voorgaande zin lijkt me dat ook zeer onwaarschijnlijk).
Snap ook wel dat die hoster niet tevreden is met de klant, maar hostingbedrijf zijn betekent dat je sites host. En daarmee het risico nemen dat er DDOS aanvallen op je sites komen.
@ 13:48 door Anoniem: eens, als ik die klant was zou ik het resterende bedrag voor de rest van het contract laten terugbetalen en verkassen... zullen beide partijen het beste vinden lijkt me.
Die krijgen waarschijnlijk ook wel eens een DDOS voor hun kiezen.
Natuurlijk is het voor een kleine hoster lastig als 1 klant dermate veel overlast veroorzaakt, ook al kan deze er niets aan doen, dat de overige klanten er last van krijgen.
Kan een leuk businessmodel zijn: DDOS-proof hosten.
En het resterende bedrag laten terugbetalen? Eerst wordt er voor duizenden euro's schade berokkend en dan nog het lef hebben een paar euro terug te gaan vragen? Sommige mensen snappen er werkelijk niets van schijnbaar.
Zelfde verhaal met mensen die denken onbeperkt support te krijgen op accountjes van een euro per maand.
@11:01 Wanneer je een site host voor zoiets als BREIN, weet je van tevoren welke risico's dat inhoud. Daar wordt dan ook rekening mee gehouden wat de prijsafspraak betreft. Appels en peren vergelijken dus.
Kan een leuk businessmodel zijn: DDOS-proof hosten.
Ik weet waar ze hosten, en welke maatregelen ze kunnen nemen, maar BREIN neemt deze niet. Downtime is airtime voor ze.
een DDOS kan iemand met een breedband verbinding al veroorzaken. Tim thuis bijvoorbeeld.
Voor plaatjes en andere media als muziek kun je andere voorwaarden opstellen wat veel sites al doen. Ze pikken bij voorbeeld slechts jpg (resp. mp3)-formaat met een bepaalde resolutie. Het vooraf bekijken ervan om auteursrechtschending te voorkomen zal vrees ik handmatig moeten gebeuren. Je kunt er natuurlijk ook voor kiezen deze aan je laars te lappen, maar dat kan je duur komen te staan, vrees ik.
Het lijkt me geen "schade" als in het contract staat dat de klant voor dataverkeer betaalt. Dan zijn het gewoon opbrengsten voor de provider en kosten voor de klant.
Ben het wel eens met de inhoud van wat je zegt, maar de manier waarop zette me op het verkeerde been.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Veiligheidsadviseur
Ministerie van Economische Zaken en Klimaat
Een zeer dynamische en unieke functie met directe impact op de nationale veiligheid, daarover gaat deze interessante vacature. Voor de ministeries Economische Zaken & Klimaat en Landbouw, Natuur en Voedsel-kwaliteit, zorg jij dat staatsgeheime informatie optimaal beveiligd is en je adviseert over beleid en bij vragen op dit gebied.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.