image

Juridische vraag: Is een IoT-eigenaar aansprakelijk voor schade door een botnet waar zijn apparaat onderdeel van is?

woensdag 21 augustus 2019, 10:39 door Arnoud Engelfriet, 19 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Antwoord: Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo'n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geüpdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo'n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
21-08-2019, 11:47 door Whacko
Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam

Ik vind dit nog wel een interessante... Ik neem aan dat als je netjes de laatste firmwares installeert dat je dan niet "schuld" verweten kan worden, mocht er een lek zijn dat nog niet gepatcht is?
Want je wilt die beelden live op internet zetten zodat surfers direct kunnen zien of ze naar buiten kunnen en daarna bij jouw strandtent wat gaan eten en drinken.
Ondanks dat je zou kunnen zeggen dat die webcam achter een firewall moet zitten, en dan technisch die beelden op een andere manier openbaar maken. Maar kun je verwachten van een strandtent eigenaar dat die weet hoe dat moet?
21-08-2019, 12:41 door Anoniem
Ik begrijp dat IOT nog niet zo goed (zal daar eens onderzoek naar doen) Maar moet je op die dingen geen Netwerk instellen zoals bv:
Ip adres
subnet
Gateway
inlog en wachtwoord
??
Is zijn die dingen gewoon Plug&Play?

begrijp niet dat die dingen zoveel schade kunnen maken als dit allemaal te configureren is.. Ik zal er wel geen verstand van hebben..Ben blij die dingen niet te hebben..
21-08-2019, 13:02 door Anoniem
Als laatste kanttekening geldt wel dat je als zo'n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Bovendien zal de gemiddelde nerd hier het wellicht als "schade" ervaren als hij een paar pakketjes in wireshark ziet die er eigenlijk niet hadden moeten zijn, maar dat zal de rechter heel anders zien.
Die wil op "schade" een bedrag kunnen plakken. Wat is er precies voor eigendom van jou verloren gegaan en wat was dat waard? Welke noodzakelijke werkzaamheden heb je moeten laten verrichten om spullen te repareren? Bonnetjes aub.
Als een gehackte webcam een poortscan heeft gedaan of een paar keer je website heeft geconnect en rare URLs opgehaald, dan kun je dat niet zomaar claimen als "schade" die "vergoed moet worden".

En als jouw eigen spullen zijn geinfecteerd door een worm waarbij je kunt aantonen dat de vorige hop in de verspreiding van die worm bij dat bedrijf zat, denk je dan dat je veel kans maakt met je roep om schadevergoeding "want zullie hadden hun spulleboel niet beveiligd" terwijl jouw eigen spullen kennelijk ook niet beveiligd waren en daardoor het slachtoffer geworden?
Officieel staat dat wellicht los van elkaar, maar erg overtuigend kom je natuurlijk niet over dan.
21-08-2019, 13:16 door Anoniem
M.i. zou de vraag door getrokken moeten worden tot partijen die slecht beveiligde IoT-decives op de markt brengen. Met name als blijkt dat een bepaalde leverancier vaak opduikt in botnets, dan zijn er wat mij betreft aanknopingspunten om die leverancier aansprakelijk te stellen. Zo kan bijvoorbeeld betwijfeld worden of zo'n device dan wel over de eigenschappen beschikt die voor een normaal (en dus ook veilig) gebruik nodig zijn?

California nam vorig jaar een wet aan waarin IoT-fabrikanten "must equip a device with 'reasonable' security features, designed to prevent unauthorized access, modification, or information disclosure."
21-08-2019, 15:09 door Anoniem
Als ik mijn auto (lees: IoT device) op een openbare plek (lees: Internet) niet goed afsluit (lees: niet voorzie van beveiliging) ben ik aansprakelijk voor een geval van diefstal of joyriding. Dus ja, ook verantwoordelijk voor de gevolgen van slechte beveiliging (opmerking Arnoud over artikel 350b Strafrecht ).

Maar, zoals Arnoud fijntjes opmerkt, bij een auto (1 device) is de schade makkelijk aantoonbaar. Als mijn IoT device 1 van de 10.000 devices is die een aanval doet, kan ik dan 1/10.000e van mijn schade claimen?


Een interessantere vraag is misschien: moet de eigenaar van het IoT device vanwege de nalatigheid verplicht worden actief meewerken aan onderzoek naar de werkelijke aanvaller? Dus bv. logs overhandigen, of het IoT device laten onderzoeken door technische recherche, om de botnet eigenaar te kunnen achterhalen? Dat is waarschijnlijk een grotere kostenpost c.q. een groter imago probleem dan 1/10.00e van eventueel geleden schade... En dus een grotere motivator om je eigen IoT rommel te beschermen.

Q
21-08-2019, 15:50 door Anoniem
Door Anoniem: Ik begrijp dat IOT nog niet zo goed (zal daar eens onderzoek naar doen) Maar moet je op die dingen geen Netwerk instellen zoals bv:
Ip adres
subnet
Gateway
inlog en wachtwoord
??
Is zijn die dingen gewoon Plug&Play?

begrijp niet dat die dingen zoveel schade kunnen maken als dit allemaal te configureren is.. Ik zal er wel geen verstand van hebben..Ben blij die dingen niet te hebben..
Hoeveel er geconfigureerd kan/moet worden is verschillend. Meestal proberen ze gebruik te maken van de WiFi verbinding die je opgeeft, met bijbehorend wachtwoorden gebruik van DHCP. En bij mensen die WPS gebruiken gaat dat dus nog sneller. Soms kun/moet je een wachtwoord voor de admin invoeren, soms kun je met een standaard admin account een nieuw account aanmaken, maar het admin wachtwoord niet aanpassen. Dan heb je dus al een probleem, laat staan als er onderhuids nog een fabrieksaccount met standaard wachtwoord blijkt te zijn. Beveiligen kun je weinig, want te moeilijk. Dat geldt ook voor instellingen en je moet maar hopen, dat er goed beveiligde updates opgehaald worden, want daar heb je veelal ook niets over te zeggen.
21-08-2019, 16:10 door Briolet
Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, …

…Als laatste kanttekening geldt wel dat je als zo'n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht.

En omdat een DDOS aanval doorgaans alleen werkt bij heel veel aanvallers, zullen de gerechtskosten niet opwegen tegen de te vergoeden schade door die ene aanvaller.
21-08-2019, 18:25 door Anoniem
Het IoT stuk maakt de vraag misschien hip, maar feitelijk niet extra relevant .

Een kleine bedrage zijn in een grote DDoS maakt de individuele aansprakelijkheid al heel marginaal - evenals het quantificeren van de schade van een outage.

Er zijn diverse andere situaties waarbij de schade simpel is, en de individuele bijdrage van een gehackte component groot .

Denk aan een phishing site op een gehackte webserver : de schade is heel duidelijk zichtbaar als de gephiste bedragen, en de webserver is 100% betrokken voor elke succesvolle phish-transactie die die server afgehandeld heeft.

Desondanks heb ik nooit verhalen/voorbeelden gehoord waarbij gepoogd werd de eigenaren/operators van gehackte servers mede aansprakelijk te stellen.
(pas als het volledig criminele hosting business werd - maar gewoon klanten van normale webhosters, of bedrijfsservers, niet ).

Als blijkbaar niemand juridisch brood ziet in _die_ gevallen, is de vraag voor henkjan z'n ali-express webcam/NAS/smarthome controller in een botnet gewoon heel erg theoretisch.
21-08-2019, 19:57 door Anoniem
Door Briolet:
En omdat een DDOS aanval doorgaans alleen werkt bij heel veel aanvallers, zullen de gerechtskosten niet opwegen tegen de te vergoeden schade door die ene aanvaller.

En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
22-08-2019, 09:33 door Anoniem
Door Anoniem: Ik begrijp dat IOT nog niet zo goed (zal daar eens onderzoek naar doen).

Schneier heeft een kort door de bocht, maar niettemin bruikbare definitie. Een IOT apparaat is een computer met het eigenlijke apparaat als randapparatuur. Dus:

- Een slimme meter is een computer met een energiemeter.
- Een slimme koelkast is een computer die je eten koel houdt.
- Een slimme thermostaat is een computer met een thermostaat als randapparaat.
- Een slimme auto is een computer met vier wielen en een motor.
- Een gechipte kat is een computer die in de zon ligt te slapen.

De implicaties zijn: Behalve de functie waarvoor je het IOT apparaat gewoonlijk aanschaft kunnen ze dus ook het hele scala programmatuur afwerken dat iedere gewone computer ook kan. Van de nieuwste Call of Duty spelen tot het meedoen aan DDOS aanvallen.
22-08-2019, 09:48 door Anoniem
Door Anoniem:
Door Anoniem: Ik begrijp dat IOT nog niet zo goed (zal daar eens onderzoek naar doen).

Schneier heeft een kort door de bocht, maar niettemin bruikbare definitie. Een IOT apparaat is een computer met het eigenlijke apparaat als randapparatuur.
Dat vind ik geen goede definitie. Er moet minstens bij dat deze computer een netwerkaansluiting heeft en op een of
andere manier verbonden is met internet.
Bovendien is de definitie tendentieus. Als je zo'n definitie maakt moet je wel serieus blijven, de computer is niet het
hoofdbestanddeel dus je kunt het beter hebben over een apparaat voor dagelijks gebruik met een computer eraan/erin.
22-08-2019, 10:27 door Anoniem
Door Anoniem: En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
Afhankelijk van de site kan dat behoorlijk in de papieren gaan lopen. En een DDoS hoeft niet alleen naar websites te gaan, maar kan natuurlijk naar alles toe wat aan internet hangt.
22-08-2019, 14:39 door Anoniem
Door Anoniem:
Door Anoniem: En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
Afhankelijk van de site kan dat behoorlijk in de papieren gaan lopen.
Jaja straks ga je nog claimen dat als het een website is die 24 miljoen omzet per dag draait, de schade als die een
uur niet bereikbaar is 1 miljoen is.
Ik mag toch hopen dat een rechter niet in dat soort onzin trapt!
22-08-2019, 21:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
Afhankelijk van de site kan dat behoorlijk in de papieren gaan lopen.
Jaja straks ga je nog claimen dat als het een website is die 24 miljoen omzet per dag draait, de schade als die een
uur niet bereikbaar is 1 miljoen is.
Ik mag toch hopen dat een rechter niet in dat soort onzin trapt!

Wat is er onzinnig aan ?
Als je werkelijk 24M/dag omzet draait is het best reëel dat de schade van een uur downtime 1M gederfde omzet is.

Natuurlijk zul je je je claim _dat_ je die omzet draait moeten onderbouwen.

Het is beslist waar dat omzet/tijd een grote factor speelt als investeringen in high availability en disaster recovery overwogen worden.


Maar juridisch is dat allemaal heel bekend terrein - schade verhalen omdat je vanwege acties van iemand niet kon werken of niet kon handelen, of anderszins schade leed.
Dat de component hier een DDoS op een e-commerce site , of iemand die je bedrijf in de hens zet maakt voor de juridische schade (verhaal) vraag niet zo veel uit.
Overigens is het schade verhalen (vzviw) puur een civielrechtelijke zaak, die los staat (of parallel loopt aan) een strafrechtelijke zaak, als de manier waarop de schade toegebracht strafbaar is.
23-08-2019, 09:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
Afhankelijk van de site kan dat behoorlijk in de papieren gaan lopen.
Jaja straks ga je nog claimen dat als het een website is die 24 miljoen omzet per dag draait, de schade als die een
uur niet bereikbaar is 1 miljoen is.
Ik mag toch hopen dat een rechter niet in dat soort onzin trapt!

Wat is er onzinnig aan ?
Als je werkelijk 24M/dag omzet draait is het best reëel dat de schade van een uur downtime 1M gederfde omzet is.

Natuurlijk zul je je je claim _dat_ je die omzet draait moeten onderbouwen.

EN de claim dat je precies die omzet van 1 uur gemist hebt omdat je site een uur down was!
Dat is namelijk niet de normale situatie. Je zult normaal in de uren na die downtime wat meer omzet maken.

Overigens is het schade verhalen (vzviw) puur een civielrechtelijke zaak, die los staat (of parallel loopt aan) een strafrechtelijke zaak, als de manier waarop de schade toegebracht strafbaar is.
Dat is hier sowieso niet het geval voor de eigenaar van het IoT apparaat. Wel voor de operator van de DDoS, maar die kun je niet zo makkelijk opsporen als degene die de pakketjes stuurt. Overigens is het de laatste jaren regelmatig wel gelukt en dan worden die lui ook flink aangepakt. Niet eens zozeer om de financiele schade maar meer om de impact die zo iets heeft.
23-08-2019, 12:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En dan nog, wat is de schade van die DDoS? Je site dee het een uurtje nie?
Afhankelijk van de site kan dat behoorlijk in de papieren gaan lopen.
Jaja straks ga je nog claimen dat als het een website is die 24 miljoen omzet per dag draait, de schade als die een
uur niet bereikbaar is 1 miljoen is.
Ik mag toch hopen dat een rechter niet in dat soort onzin trapt!

Wat is er onzinnig aan ?
Als je werkelijk 24M/dag omzet draait is het best reëel dat de schade van een uur downtime 1M gederfde omzet is.

Natuurlijk zul je je je claim _dat_ je die omzet draait moeten onderbouwen.

EN de claim dat je precies die omzet van 1 uur gemist hebt omdat je site een uur down was!
Dat is namelijk niet de normale situatie. Je zult normaal in de uren na die downtime wat meer omzet maken.

Als je geen monopolist bent , heb je toch verlies - sommige bezoekers hebben een alternatief gevonden en proberen het _niet_ later nog eens. Echt goede ebusiness sites zullen zeker de impact van allerlei factoren op hun omzet meten.
(storingen, lanceren van een reclamecampage, warm/koud weer,grote sportevenementen etc).

Overigens is het in civiele zaken zo dat je iets stelt (met meer of minder onderbouwing), en als de tegenpartij dat niet weerspreekt - (met tenminste evengoede onderbouwing) gewoon wordt aangenomen dat het gestelde waar is.

Je kunt dus gewoon een bepaalde omzet en derving en kosten claimen, en wordt dat niet weersproken dan wordt daarmee gewerkt als feit.


Overigens is het schade verhalen (vzviw) puur een civielrechtelijke zaak, die los staat (of parallel loopt aan) een strafrechtelijke zaak, als de manier waarop de schade toegebracht strafbaar is.
Dat is hier sowieso niet het geval voor de eigenaar van het IoT apparaat. Wel voor de operator van de DDoS, maar die kun je niet zo makkelijk opsporen als degene die de pakketjes stuurt. Overigens is het de laatste jaren regelmatig wel gelukt en dan worden die lui ook flink aangepakt. Niet eens zozeer om de financiele schade maar meer om de impact die zo iets heeft.

Inderdaad is de eigenaar/beheerder van een gehacked apparaat strafrechtelijk behoorlijk buiten schot.

Maar de vraag aan Arnoud ging over (mede) aansprakelijkheid van de schade voor de eigenaar van een gehacked apparaat- en daar zou (volgens Arnoud) zo'n derde wel een (deel) aansprakelijkheid kunnen hebben . Natuurlijk moet de grootste aansprakelijkheid bij de veroorzaker van de DDoS liggen.
23-08-2019, 15:50 door _R0N_ - Bijgewerkt: 23-08-2019, 15:51
Door Anoniem:

EN de claim dat je precies die omzet van 1 uur gemist hebt omdat je site een uur down was!
Dat is namelijk niet de normale situatie. Je zult normaal in de uren na die downtime wat meer omzet maken.

En toch, als jij kunt aantonen dat tussen 11 en 12 uur iedere woensdag jouw piek moment is en toevallig deze woensdag zorgde een DDoS er voor dat je site down was....
Sterker nog, als je website achter dezelfde verbinding zit als je andere belangrijke datastroom zou je meer schade geleden kunnen hebben dan enkel de inkomsten van je website. Dit soort situaties zijn niet ondenkbaar.

Sterker nog, als jij op je matige website een product aanbiedt waar sommige mensen niet zo blij van worden, stel een eerste druk van "Mein Kampf" of zo. Er is iemand die jouw site gaat DDoSsen met gebruik van IoT doosjes. Ben jij dan verantwoordelijk voor de schade aan de andere webshops bij jouw hosting partij ?
25-08-2019, 02:22 door Anoniem
Hoe zit 't met de importeur die onveilige IOT apparaten invoert?
De vlotte verkoper die je een 'veilig' & goed(koop) product verkoopt?
De meestal brakke & incomplete handleiding die meegeleverd wordt?
De fabrikant die snel&goedkoop de firmware in elkaar draait voor 't nieuwste gadget/iot device en deze firmware vervolgens niet onderhoudt omdat het niet kosteneffectief is?

De gemiddelde consument/manager die zo'n ding wil aanschaffen omdat het cool,handig en nieuw is hebben vaak geen idee van de beveiligings implicaties maar kopen toch. Want dat gebeurt hier toch niet, die kans is wel zo enorm klein en anders zouden ze dat toch niet verkopen etc etc.. (Heb die discussies gehad met financiële dir die dingen wou hebben binnen bedrijfsnetwerk die hij ergens had gezien)

En de eindgebruiker is vervolgens (deels) verantwoordelijk voor schade veroorzaakt door misbruik van apparaat.

imo moeten dergelijke apparaten wettelijk verplicht van firmware updates worden voorzien die niet stoppen na 1-2j maar de gedurende de tijd dat het apparaat verwacht in gebruik blijft. (Slimme energiemeter hang je niet op voor 1-2 of 5j, slimme koelkast gooi je ook niet weg als na 2j de firmware niet langer bijgewerkt wordt)
Betere meegeleverde handleidingen hebben en naast de kema/EC 'n beveiligingsgerichte certificering om problemen te voorkomen. (babycam die standaard via upnp beelden naar 't internet doorgeeft)
Zolang als die rommel geïmporteerd en verkocht mag worden gaat de gemiddelde consument ervan uit dat 't veilig is en zal de maker nooit de moeite nemen om iets te veranderen/verbeteren.
25-08-2019, 20:58 door Anoniem
Door Anoniem: Bovendien is de definitie tendentieus. Als je zo'n definitie maakt moet je wel serieus blijven, de computer is niet het hoofdbestanddeel dus je kunt het beter hebben over een apparaat voor dagelijks gebruik met een computer eraan/erin.
Het zijn verschillende perspectieven en ze zijn niet strijdig met elkaar. Als je met het programmeren van die computer bezig bent of met de beveiliging tegen indringers dan maakt het geen donder uit of de computer in het randapparaat is ingebouwd of ernaast staat, en omdat de focus op de mogelijkheden en kwetsbaarheden van de computer ligt is het zinvol om het dan als computer met randapparaat te zien. Voor iemand die zijn eten vers wil houden is het inderdaad een koelkast met een geavanceerdere aansturing dan hij vroeger zou hebben gehad. Die perspectieven zijn niet strijdig met elkaar, ze bestaan gewoon naast elkaar, en allebei hebben ze nut. Dat Schneier het perspectief van computer met randapparaat kiest komt omdat hij met beveiliging bezig is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.