Juridische vraag: mag je echte logo's in test-phishingmails gebruiken?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag:Ten behoeve van een interne security awareness-training wil ik een paar phishingmails versturen naar collega's. Mag ik daarbij logo's en layout gebruiken van andere bedrijven, zoals LinkedIn, UPS of Microsoft?
Antwoord: Een onderzoek waarbij je met een nep-phishingmail wilt testen of mensen zich wel genoeg bewust zijn van security, kan een goed idee zijn. En het gebruiken van 'echte' mails van bijvoorbeeld LinkedIn of UPS is dan eigenlijk een vereiste, anders gelooft niemand ze.
Op layout en logo's van die bedrijven rusten auteursrechten en merkrechten. Dat wil zeggen dat je ze niet zomaar mag gebruiken. (In het recht mag er eigenlijk niets 'zomaar'.) Er moet een rechtvaardiging voor zijn - dat zou "het realisme van het security-onderzoek" kunnen zijn.
Maar daar bovenop komt dat eigenlijk niemand mag denken dat die mail écht van die bedrijven afkomstig is. En dat is lastig, want het hele punt van een phishingmail is nu juist dat mensen dat wél denken. De enige manier om hier onderuit te komen die ik kan bedenken, is de stelling dat de mail binnen het bedrijf blijft en er dus niemand in het openbaar gaat klagen dat Microsoft of een ander ze nept. Dat is niet heel sterk, maar volgens mij wel wat in de praktijk vaak gebeurt.
Houd verder met zo'n intern onderzoek rekening met de privacy en andere belangen van de collega's. Zeker als je in rapportages of presentaties resultaten gaat laten zien aan meer dan alleen de directeur. Laat geen screenshots zien van Henk z'n e-mail of de berichten die Janine stuurde toen je vanaf LinkedIn een gezellige chat opende.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Artikel op tweakers een maand geleden:
https://tweakers.net/nieuws/104352/phishingtest-vlaamse-overheid-loopt-uit-de-hand.html
Je kan beter phishingmailtjes maken die afkomstig lijken te zijn van bijv. personeelszaken.
Bij mijn vorige werkgever was er een test waarin "personeelszaken" mail had gestuurd waarin stond dat vakantiedagen die overwaren en mee moesten naar het volgend jaar apart moest worden aangemeld. Incl. link (uiteraard niet verwijzend naar een site van PZ) naar een phishing site.
Artikel op tweakers een maand geleden:
https://tweakers.net/nieuws/104352/phishingtest-vlaamse-overheid-loopt-uit-de-hand.html
Je kan beter phishingmailtjes maken die afkomstig lijken te zijn van bijv. personeelszaken.
Bij mijn vorige werkgever was er een test waarin "personeelszaken" mail had gestuurd waarin stond dat vakantiedagen die overwaren en mee moesten naar het volgend jaar apart moest worden aangemeld. Incl. link (uiteraard niet verwijzend naar een site van PZ) naar een phishing site.
Maar de mail kwam dan weer wel uit de interne organisatie, met de bijbehorende headers? Waarom zou je die niet vertrouwen, zelfs met een link naar een externe site. Best moeilijk hoor, testen.
From adres was HR@ maar van een extern domein. Een of andere naam als personeelszaken.com of zo (was een tijdje geleden).
Intern kan sowieso niet omdat mijn vorige werkgever gebruik maakt(e) van een extern partij gespecialiseerd in security awareness trainingen.
Lezen, beste Anoniem: er staat " interne security awareness-training ". Daar komt geen rechter aan te pas. Overigens heeft in elk geval LinkedIn regel voor het gebruik van zijn logo. Hou je voor alle zekerheid en uit fatsoen aan die regels.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.