image

Juridische vraag: Heeft de tekst in de loginbanner van een server enige juridische betekenis?

woensdag 15 januari 2020, 14:40 door Arnoud Engelfriet, 19 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la "Welkom bij Initech, gelieve in te loggen - uitsluitend voor werkdoeleinden gebruiken". Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat 'welkom' zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te zijn. Dus het moet worden "Verboden toegang - uitsluitend geautoriseerd personeel - misbruik wordt vervolgd als misdrijf". Dat vind ik niet echt vriendelijk naar mijn personeel, is er een tussenweg? Is dit echt zo krom, juridisch?

Antwoord: Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo'n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.

Natuurlijk komt dit verhaal uit Amerika, maar ook daar lijkt het nergens op een werkelijke zaak te herleiden (bijvoorbeeld dit en dit zijn vrij oude bronnen). Ik kan in Nederland geen enkele rechtszaak rond computervredebreuk vinden waarbij het zelfs maar een discussie was wat de loginbanner of MOTD vermeldde.

Het recht kijkt nooit naar één specifiek aspect van de zaak, zoals zo'n logintekst. Bij rechtszaken wordt altijd gekeken naar de volledige omstandigheden van het geval. Het criterium is immers of de inbreker had moeten weten dat hij op verboden terrein was toen hij de handeling verrichte die hem ten laste werd gelegd. Dat zal nooit afhangen enkel van een zo'n tekstje. Je moet bijvoorbeeld nog steeds inloggen op het systeem van de vraagsteller, en als je een wachtwoord raadt dan moet je weten dat dat niet mag. Dus ga je alsnog nat.

Ik kan werkelijk geen situatie bedenken waarin die tekst relevant is. Heel misschien als er een gast/gast account is op zo'n systeem én je dingen kunt doen die niet gewenst zijn vanaf zo'n gastenaccount. Dan mocht je naar binnen ("welkom") en mocht je inloggen zonder bekend te zijn (gast/gast) en was je in staat iets te doen dat niet de bedoeling was, hoe kon je dan weten dat dat laatste het geval was. Maar dat voelt weinig realistisch.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
15-01-2020, 17:05 door Anoniem
Beetje zoiets als een hotel dat mensen aan de deur verwelkomt geeft ook geen vrijbrief om er met de handdoeken vandoor te gaan. En zelfs al zou het enige rechtsgrond hebben dan kun je nog altijd iets zeggen als "welkom legitieme gebruikers" dus hoef je niet te beginnen met iedereen voor crimineel uit te maken.

Vergelijk: Disclaimers en andere rotzooi onderaan emails die toch niemand leest. Of als je ze al zou lezen, dan zijn ze te laat met hun gevingerwapper. Ik zie ze en denk "weer zo'n dom bedrijf dat zich daar graag op voorstaat". Hele nuttige informatie over zo'n bedrijf, want ik doe bij voorkeur geen zaken met bedrijven die er vooral opuitzijn problemen te veroorzaken.
15-01-2020, 17:34 door Anoniem
Tjonge, vraagt mijn buurvrouw met haar 'Welkom' deurmat nu om inbrekers?
15-01-2020, 22:54 door Anoniem
Mooi punt.

Vooral omdat velen denken dat de "eigenaars" van internet Amerikanen zijn (vanwege de relatieve grootte van wat bedijven daar), wordt nog wel eens aangenomen dat Amerikaans recht ook ineens wereldwijd van toepassing is. Of maatgevend.

Zoiets als boven is eigenlijk dubbel broodje aap. Want wat in Amerika niet mag, kan hier gewoon toegestaan of zelfs wenselijk zijn. We hebben hier een andere cultuur en ook een andere rechtscultuur. Bovenop dat zo een melding dus blijkbaar ook in Amerika juridisch niet relevant blijkt te zijn.

Een Anglicaans euvel. Want er zijn ook Engelse Brexit stemmers die zeker meenden te weten dat al hun wetten door Brussel werden bepaald (niet waar), maar net zo gemakkelijk ervan uitgaan dat alle Engelse wetten in heel de EU gelden. En ook echt dat verschil niet kunnen noch willen beseffen.

Ik denk dat op dat vlak de Russen, de Chinezen, heel India en Afrika op een hoger besef staan. En dat dat wederzijds is.
16-01-2020, 00:05 door Anoniem
Door Anoniem:
Vergelijk: Disclaimers en andere rotzooi onderaan emails die toch niemand leest.
Die zal dat bedrijf vast ook wel hebben. Want als er mensen werken die denken dat een login banner een status heeft
dan is er natuurlijk ook een mail disclaimer.
Vroeger waren er zelfs mensen die die mail disclaimer waarin o.a. ook stond dat je de mail niet mocht lezen als die niet
aan je gericht was ook plaatsten onder postings op usenet. Sprak je ze daar op aan dan zeiden ze dat ze verplicht waren
dat te doen. Maar gelukkig ben je als lezer van zo'n disclaimer niet verplicht je er naar te gedragen.
16-01-2020, 08:26 door Anoniem
Wellicht behoor ik tot de oude garde maar na het uitkomen van de eerste wet inzake computercriminaliteit (annex publicaties Commissie Franken) in de vorige eeuw lag er daadwerkelijk een advies om een tekst als 'verboden toegang voor onbevoegden' te hanteren.
De achtergrond hierbij was dat bij inbreken in woonhuizen juridisch gezien al sprake was van huisvredebruik bij betreden tegen de wens van de bewoner, zonder dat eisen gesteld werden aan de mate van beveiliging, terwijl voor binnendringen in computers wel eisen werden gesteld dat computeres beveiligd moesten zijn.
16-01-2020, 09:53 door SPer
Grappig genoeg is deze vraag al eerder gesteld(2012) en is hier een afwijkend antwoord gegeven :
https://www.security.nl/posting/35132/Juridische+vraag%3A+is+Message+of+the+Day+wel+rechtsgeldig%3F
16-01-2020, 09:57 door Arnoud Engelfriet
Door SPer: Grappig genoeg is deze vraag al eerder gesteld(2012) en is hier een afwijkend antwoord gegeven :
https://www.security.nl/posting/35132/Juridische+vraag%3A+is+Message+of+the+Day+wel+rechtsgeldig%3F
Hoezo? Dat ging over de vraag of je rechtsgeldig voorwaarden kunt opnemen in een MOTD of login banner. Antwoord: nee. Dit gaat over de vraag of een welkomsttekst enige betekenis heeft bij de strafrechtelijke vraag of iemand computervredebreuk pleegt. Die twee hebben nul komma niks met elkaar te maken.
16-01-2020, 10:01 door Anoniem
Door Anoniem: Tjonge, vraagt mijn buurvrouw met haar 'Welkom' deurmat nu om inbrekers?

Waarschijnlijk wel als ze de deur niet op slot heeft ...

Dan vraagt ze weliswaar niet specifiek om inbrekers, maar je kan ook niet weten of al je welkome gasten wel goede bedoelingen hebben
16-01-2020, 11:00 door SPer
Door Arnoud Engelfriet:
Door SPer: Grappig genoeg is deze vraag al eerder gesteld(2012) en is hier een afwijkend antwoord gegeven :
https://www.security.nl/posting/35132/Juridische+vraag%3A+is+Message+of+the+Day+wel+rechtsgeldig%3F
Hoezo? Dat ging over de vraag of je rechtsgeldig voorwaarden kunt opnemen in een MOTD of login banner. Antwoord: nee. Dit gaat over de vraag of een welkomsttekst enige betekenis heeft bij de strafrechtelijke vraag of iemand computervredebreuk pleegt. Die twee hebben nul komma niks met elkaar te maken.

Arnoud in deze stelling ging het om deze vraag :
Vraag: Bij inloggen op onze server krijgt iedereen een "message of the day" (MOTD) te zien. Daarin moet nu op last van onze bedrijfsjurist een tekst komen te staan dat je persoonlijk aansprakelijk bent voor misbruik, dat privégebruik verboden is en dat men je te allen tijde in de gaten mag houden. Is dat juridisch houdbaar? En hoe ver mag je gaan met zo'n banner of motd?
In het antwoord van vandaag was de vraag:
Antwoord: Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo'n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.

Ik zag hier een overeenkomst. (ik heb me in het verleden nogal een bezighouden met de MOTD en het is van belang dat deze wordt getoond voor de login)
16-01-2020, 14:12 door Anoniem
Neem je toch een verwijzing op naar de bedrijfs policy en dat je verklaart akkoord te gaan en de gevolgen bij misbruik.


Die MOTD zien wij niet anders als wat tekst met een verwijzing naar.


Ik zie dit principe bij alle grote ICT bedrijven gebruikt worden.
16-01-2020, 15:47 door Anoniem
Door SPer: Ik zag hier een overeenkomst. (ik heb me in het verleden nogal een bezighouden met de MOTD en het is van belang dat deze wordt getoond voor de login)
Redelijk groot verschil tussen een banner ("login message") en een MOTD. De MOTD zie je pas na login, de banner ervoor.

Wat mij betreft is de MOTD bedoeld voor operationele zaken ("dan-en-dan onderhoud") en niet voor wat je wel en niet mag op de server. Dat is meer iets om te vertellen bij het uitdelen van de toegangsgegevens. In een banner kun je nog iets met "hier gelden de instructies voor arbeid", eventueel "... voor productie" of "... voor ontwikkeling" of iets dergelijks. Maar na inloggen nog eens met juridische bullshit gaan wapperen is gewoon slecht gedrag tegenover je werknemers. Dus als je daar iets wil pak je de banner, niet de MOTD.
17-01-2020, 11:45 door Anoniem
Bijna iedereen haalt hier het juridische en een certificering (bv: ISO27001/2) door elkaar.

Wil je voldoen aan de ISO27001/2 dan zul je een in de banner duidelijk moeten maken dat toegang niet voor iedereen is, juridisch is die melding geen noodzaak zoals Arnoud al aangeeft.
17-01-2020, 12:30 door Anoniem
Simpel op te lossen toch?

if (toegestaan IP){
"Welkom om in te loggen bij dit systeem, geautoriseerd personeel van Initech! <Het is vandaag lekker weer buiten, niet?>."
} else {
Connection reset.
}
17-01-2020, 15:27 door Anoniem
Door Anoniem: Bijna iedereen haalt hier het juridische en een certificering (bv: ISO27001/2) door elkaar.

Wil je voldoen aan de ISO27001/2 dan zul je een in de banner duidelijk moeten maken dat toegang niet voor iedereen is, juridisch is die melding geen noodzaak zoals Arnoud al aangeeft.
Als dat zo is dan zit het euvel al gelijk in de vraagstelling, want het is vraagstellers "onze ISO auditor" die op de juristenstoel gaat zitten. De door hem aangedragen "verboden toegang [...] misbruik wordt vervolgd als misdrijf" etc. is een juridisch dreigement. Oftewel, schoenmaker, blijf bij je leest.

"ISO standaarden" die vereisen dat je met juridische dreigementen moet strooien kun je wat mij betreft ook wel afschrijven.
17-01-2020, 19:28 door karma4
Door Anoniem: ...
"ISO standaarden" die vereisen dat je met juridische dreigementen moet strooien kun je wat mij betreft ook wel afschrijven.
Het staat nergens in de iso standaarden. Arnoud heeft hier gewoon een goed verhaal hoe het werkelijk zit.
Dat met die teksten op inlogpagina's is op de vloer zelf verzonnen. Waarschijnlijk wegens het verweer van misbruikers dat ze het niet wisten en dat het maar aangegeven had moeten. worden. Gijs zult niet stelen staat ook niet op elk voorwerp.
17-01-2020, 21:33 door Anoniem
Door karma4:
Door Anoniem: "ISO standaarden" die vereisen dat je met juridische dreigementen moet strooien kun je wat mij betreft ook wel afschrijven.
Het staat nergens in de iso standaarden. [...]
Dat met die teksten op inlogpagina's is op de vloer zelf verzonnen.
"ISO auditor" is "op de vloer"? Misschien in jouw regeltjeswalhalla.

Elders zijn het de hogepriesters van het externe betweteren.
17-01-2020, 22:29 door Anoniem
Arnoud heeft zeker wel een punt, maar onder auditors is het wel een ding. Zie bijvoorbeeld ook https://www.sans.org/reading-room/whitepapers/legal/logon-banners-38857

Aangezien het ook geen kwaad kan is het soms makkelijker om gewoon maar te doen wat een auditor graag ziet in plaats van de discussie met er over met ze aan te gaan. Kun je beter bewaren voor de dingen die er wel toe doen :).
18-01-2020, 09:10 door Anoniem
Door Anoniem: Arnoud heeft zeker wel een punt, maar onder auditors is het wel een ding. Zie bijvoorbeeld ook https://www.sans.org/reading-room/whitepapers/legal/logon-banners-38857

Aangezien het ook geen kwaad kan is het soms makkelijker om gewoon maar te doen wat een auditor graag ziet in plaats van de discussie met er over met ze aan te gaan. Kun je beter bewaren voor de dingen die er wel toe doen :).
Dat vind ik eigenlijk niet. Practisch gezien geef je ze maar waar ze om zeuren om van ze af te zijn en neem je het ongemak maar op de koop toe. Maar principieel is een compleet ander verhaal. Namelijk, het betekent dat zulke auditors zich bezighouden met (ongefundeerd) dogma, en niet met werkelijke problemen vinden en daar wat aan doen. En oh ja, ze gaan er ook nog eens mee buiten hun boekje, want zwaaien met wettelijke onderbouwing die niet klopt. Beide dingen ondermijnen hun legitimiteit.
20-01-2020, 08:34 door Anoniem
Ach als de auditor alleen maar kan zeuren over de inhoud van de MOTD dan zit het voor de rest wel snor met je security of moet je misschien naar een andere auditor opzoek gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.