image

Juridische vraag: wie is aansprakelijk voor gehackt systeem?

zondag 6 mei 2012, 09:29 door Arnoud Engelfriet, 13 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Deze week een bezemwagen-editie van de Juridische vraag, waarbij Arnoud elke dag kort een vraag behandelt

Vraag: Recent is een van onze servers gehackt. Dit was te herleiden tot een lek in de CMS-software van een klant, waar een cracker misbruik van maakte. Mijn algemene voorwaarden eisen dat men "alles doet dat redelijkerwijs mogelijk is om te voorkomen dat een computervirus of ander kwaadwillig programma schade aanricht". Kan ik hem nu aansprakelijk stellen op grond van deze voorwaarden?

Antwoord: In principe kan dat, maar het feit dat iemand gehackt is betekent nog niet dat er dús sprake is van een overtreding van die voorwaarde. De vraag zal zijn of het redelijkerwijs mogelijk was om deze hack te voorkomen.

Daar komt bij dat je vervolgens moet nagaan of alle schade inderdaad direct het gevolg was van die nalatigheid. Het lijkt me namelijk niet normaal dat een hack bij klant A leidt tot schade bij klant B. De provider moet daar toch voor iets tussen zitten. Dus er zal zeker een component "eigen schuld" aanwezig zijn.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
06-05-2012, 09:49 door spatieman
CMS is door de klant erop gezet worden ? ,of door de hoster.
06-05-2012, 10:13 door Anoniem
Wie koos het CMS?
Het is een bug of manco in het CMS.
Minder relevant is dus wie het CMS installeerde.
En in bijna alle softwareovereenkomsten staat dat deze wordt geleverd 'as-is'.
Inclusief alle tekortkomingen.
06-05-2012, 10:48 door Arnoud Engelfriet
Door de klant.

Ik ken genoeg hosters trouwens die best een CMS willen installeren maar vervolgens er geen onderhoud op doen, "want het was unmanaged" of "dat is volgens mij AV de verantwoordelijkheid van de klant". Door een CMS te installeren wek je echter wel verwachtingen.
06-05-2012, 11:36 door super smurf
Beste Arnoud.
Vind dit weer eens een goede vraag,want wat ik in mijn omgeving zo af en toe mee maakt,is droevig.
Er wordt een computer gekocht,vaak bij een bedrijf wat niet gespecialiseerd is in computers,maar alleen deze handel er bij heeft.
Eerste fout,want van deskundige uitleg is hier geen sprake,personeel is hier ook niet voor opgeleid.
Dan gaat men thuis aan werk,zo snel mogelijk op de sociale netwerken,want je kan toch niet zonder tegenwoordig????
Ik ken er zelfs meerdere die geen benul hebben van,welke software en of er een virus scan op de computer staat,erger nog,met welk bestuursringsysteem er wordt gewerkt.

En dan wat u zegt:Het redelijkwijs voorkomen van problemen en de daarbij behorende schuldvraag.is voor mij wel duidelijk,
maar toch,wie is hier nu schuldig,de verkoper/winkel zonder goede instructies/uitleg de persoon die geen benul heeft waar hij/zij mee bezig is of de provider die ook zijn systeem niet voldoende beschermd.
Persoonlijk vind ik,dat als je een computer koopt er verplicht een soort van een korte cursus aan vast moet zitten.
Ik heb kort geleden een nieuwe gekocht,maar bij de installatie thuis werd er ook duidelijke uitleg gegeven,maar dat werd ook gedaan door een goed bekend staande computer leverancier en koste 35 euro exstra.

Henk.
06-05-2012, 13:58 door Anoniem
CMS. Ik gok op WordPress.
Dat is ongeveer het zelfde als je wachtwoorden meteen zichtbaar op je voorpagina neer zetten.
06-05-2012, 15:49 door spatieman
beetje vreemd dat de hoster niet zelf een cms er op gezet heeft.
alle dozen die ik ooit huurden waren voorzien van een goede cms.
06-05-2012, 17:00 door [Account Verwijderd]
[Verwijderd]
06-05-2012, 18:35 door Anoniem
"Recent is een van onze servers gehackt. Dit was te herleiden tot een lek in de CMS-software van een klant, waar een cracker misbruik van maakte. "

Wat voor lek was een ? Een 0day, nog niet gedicht lek, of een lek dat al jaren oud is ?

"Mijn algemene voorwaarden eisen dat men "alles doet dat redelijkerwijs mogelijk is om te voorkomen dat een computervirus of ander kwaadwillig programma schade aanricht"."

Dat is wel een hele generieke omschrijving, die op tal van manieren te interpreteren is. Is het voldoende indien een klant 2 keer per jaar updates installeert ? Of is het nodig dat dit dagelijks of wekelijks gebeurt ?
06-05-2012, 20:34 door Anoniem
Hele grote kans dat het lekke CMS gebruikt werd voor fishing, spam of drive-by trojans. Dat geeft schade aan honderden argeloze internet gebruikers.
Heel veel CMS producten hebben "passthru" achtige zaken nodig, moeten sockets kunnen maken voor uitgaand tcp verkeer en allerlei andere "handige" maar onveilige technieken die zorgen voor een stuk "gebruikscomford".
Echter betekent dit dat er dan diverse veiligheidsinstellingen, zoals PHP hardening, filesystem permissions, RBAC policies, firewall rules etc moeten worden uitgeschakeld om een dergelijk CMS te kunnen laten draaien.
Deze beslissing ligt volgens mij als afspraak tussen hoster en klant en de verantwoordelijkheid zal gewoon contractueel moeten zijn vastgelegd. Zoniet zijn wat mij betreft beide partijen verantwoordelijk, alleen al omdat de verantwoordelijkheid is doodgezwegen.
06-05-2012, 20:51 door Anoniem
Door Krakatau:
Mij lijkt dat een klant mag verwachten dat een beveiligingsprobleem in door hem/haar geïnstalleerde software binnen de grenzen van zijn hosting account ('sandbox') blijft.

Afzonderlijke accounts op de server zouden nooit bij elkaars omgeving of gegevens moeten kunnen komen. En zeker niet bij de overkoepelende server omgeving. Het aanbrengen van een dergelijke scheiding van omgevingen op een server lijkt me de verantwoordelijkheid van de server/hosting aanbieder (?)

Zelfs binnen een sandbox zijn lekke CMS producten om te bouwen tot fishing platforms, spam automaten, ddos bots en drive-by trojan verspreiders. De website bezoeker is doorgaans de klos, niet de andere systemen of accounts van die hoster.

Wil jij die verantwoordelijkheid bij de hoster leggen? Dat is hetzelfde als je sleutel in je voordeur laten zitten, je spullen laten jatten en dan je huurbaas aanklagen voor nalatigheid want die had het in de gaten moeten houden..!?
Kom op zeg ...
07-05-2012, 10:29 door [Account Verwijderd]
[Verwijderd]
07-05-2012, 19:23 door Anoniem
Als de inbreker tot buiten de omgeving van de klant is doorgedrongen is er naast het lek in het CMS nog een lek geëxploiteerd waar de klant geen invloed op kon hebben en dat dus ook niet zijn verantwoordelijkheid kan zijn.

Via een bericht op security.nl eerder deze week las ik dat de automatische updatefunctie van Wordpress vereist dat de Wordpress-files eigendom zijn van de user waaronder de webserver draait en door die user overschreven kunnen worden. Zodra je twee of meer Wordpress-sites op dezelfde server plaatst (onder hetzelfde webserver-proces of onder verschillende processen die met dezelfde user draaien) geeft een lek in de ene site de aanvaller toegang tot de andere sites. Wordpress stelt dan ook dat op shared hosts de Wordpress-files geen eigendom van de webserver moeten zijn.

Is dit (of iets vergelijkbaars) de situatie? Dan is wat mij betreft de klant verantwoordelijk voor de schade aan zijn eigen site en de provider voor de schade aan de andere sites. De provider heeft dan nog ernstiger geblunderd dan de klant.
08-05-2012, 11:13 door Arnoud Engelfriet
Schade hoeft niet per se beschadigingen aan bestanden van anderen te zijn. Het overbelasten van de CPU op een shared server (of het opslokken van alle processen of geheugen) is ook schade. En dit is niet altijd te voorkomen, niet elk systeem staat per user quota op CPU etcetera toe.

Daarnaast kan schade ontstaan doordat het gehackte account spam uitstuurt of aan een botnet deelneemt, waardoor het shared IP adres geblacklist wordt. Dat heeft ook impact op andere klanten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.