Zorgplichten en Cybercrime

De maand april maakte wel heel duidelijk hoe kwetsbaar en afhankelijk de populariteit van digitale dienstverlening ons heeft gemaakt. Tegoeden op bankrekeningen verdwenen in de virtuele wereld als sneeuw voor de zon, internetwinkels leden naar eigen zeggen tientallen miljoenen euro’s schade omdat het betaalsysteem iDeal niet functioneerde, de KLM was uit de lucht voor wie comfortabel online wilde inchecken en ook de overheidsauthenticatiedienst DigiD werd getroffen.

Oorzaak: zogenaamde Denial-of-Service-aanvallen (DoS-aanval). Hierbij wordt de normale capaciteit van systemen, onlinediensten en/of infrastructuur aangevallen doordat kwaadwillenden deze overladen met dataverkeer en daarmee overbelasten. Het gevolg is dat de websites, mailservers en daarmee online diensten niet meer of slecht bereikbaar zijn voor legitiem dataverkeer. Was een DoS-aanval vijftien jaar geleden niet meer dan een vorm van vandalisme zonder duidelijke strategie, inmiddels is dat wel anders. De acties kennen nu specifieke doelen: afpersen van bedrijven, een afleidingsmanoeuvre om spionage en criminele activiteiten te verhullen of het dwars zitten van tegenstanders (repressieve regimes zetten het instrument in tegen opposanten). Steeds vaker ook blijken DoS-aanvallen te worden benut als moderne vorm van protest. Tot nu toe waren bij het publiek vooral de aanvallen op websites bekend. Maar de recente voorvallen laten zien dat ook andere doelwitten mogelijk zijn, zoals infrastructuur voor digitale betaaltransacties. Duidelijk is ook dat de aanvallen steeds vaker zijn gericht op digitale omgevingen die een grote maatschappelijke zichtbaarheid hebben of relevant zijn voor de vitale sectoren (niet alleen financiele diensten, maar ook energie- en drinkwatervoorziening).

De getroffen bedrijven hebben aangifte gedaan, maar de kans is klein dat de daders worden gepakt. Ondertussen zien diverse partijen zich geconfronteerd met miljoenen euro’s schade en ligt de vraag voor wie deze gaat betalen. Als het aan Eurocommissaris Kroes ligt komen de banken in beeld: “Kapitaalkrachtige partijen als banken moeten aansprakelijk gehouden kunnen worden voor schade door cybercriminaliteit.” Voormalig minister van Defensie Van Middelkoop, nu kwartiermaker voor de Cybersecurity Academy, merkte in het FD op: "Het is genant dat banken ons massaal aan het interbankieren hebben gekregen en we nu moeten constateren dat ze de zaken niet op orde hebben". Maar de voorzitter van de Nederlandse Vereniging van Banken (NVvB), Boele Staal, liet al direct weten dat compensatie niet aan de orde is, omdat sprake is van overmacht. De banken doen ‘er alles aan’ om de dreiging te pareren. Maar wat is ‘er alles aan doen’ als het aankomt op de te nemen maatregelen om het uitvallen van (betalings)netwerken te voorkomen? Waren de genomen maatregelen - binnen de grenzen van het redelijke - wel ‘voldoende’? Dat verlangt een discussie over de vraag welke risico’s bij een DoS-aanval de aanbieder van online diensten vallen toe te rekenen en dus wanprestatie oplevert (art 6:74 BW) en in welke situaties de omstandigheden zodanig zijn dat ze een overmachtsituatie rechtvaardigen (artikel 6:75 BW)?

Belangrijk is hierbij dat in de jurisprudentie van banken een grotere mate van zorgvuldigheid wordt verwacht dan de normale contractuele standaard. De Hoge Raad wijst op de ‘rol die banken in het maatschappelijk verkeer vervullen’ (HR 29 september 1995, NJ 1998, 81). Gegeven de sleutelfunctie die banken spelen in het maatschappelijk en economisch verkeer, moet de samenleving erop kunnen vertrouwen dat zij het toevertrouwde betalingsverkeer correct en betrouwbaar uitvoeren. Nu digitale diensten en elektronische transacties een enorme vlucht hebben genomen - waar banken actief hun rol in hebben gespeeld – zou het dramatische gevolgen hebben voor de economie als bedrijven en particulieren het digitale bankwezen niet langer vertrouwen. Kortom, de zorgplicht die op banken rust brengt mee dat zij meer dan het normale doen als het op de continuïteit en betrouwbaarheid van hun digitale dienstverlening aankomt. Voor toezichthouder DNB kan hier – vanuit de specieke opdracht van het oversighttoezicht - wel eens nadrukkelijk een rol zijn weggelegd.

Wie op de berichtgeving in de media afgaat, kan zich niet aan de indruk onttrekken dat er bij het bedrijfsleven sprake is van een gebrek aan 'awareness' als het op digitale bedreigingen aankomt. Deze constatering zet de nodige druk op de mogelijkheden om een beroep te doen op overmacht. De ellende en daaruit voortvloeiende schade betreft dan immers veel meer de gevolgen van de keuze niet te handelen, dan een gebeurtenis die zich in belangrijke mate aan beïnvloeding van deze bedrijven onttrok. In hoeverre een onvoldoende alertheid bij banken een rol heeft gespeeld bij de recente systeemuitval is (nog) onduidelijk. Maar voor toekomstige aanvallen lijkt op voorhand het argument van overmacht niet langer valide. Natuurlijk is het voor bedrijven moeilijk pro-actief tot een goede risico-inschatting van en daarmee maatregelen tegen een mogelijke DoS-aanval te komen, onder meer omdat de ernst van de dreiging sterk afhankelijk is van het type aanvaller en diens motieven. Bovendien lokt de ene ellende de andere uit: andere kwaadwillenden proberen vaak een graantje mee te pikken van de verwarring na een DoS-aanval (de aanval op de banken leidde tot meer pogingen tot phishing - ontfutselen van wachtwoorden en inlognamen van rekeninghouders). Maar overmacht of niet: de ‘wake up call’ van april moet op z’n minst worden opgevat als een stevig signaal aan bedrijven en organisaties hun zorgplichten en daarmee verantwoordelijkheden serieus te nemen. Maar ook is het een signaal richting de juridische praktijk en het maatschappelijke en politieke debat om cyberveiligheid niet langer uitsluitend vanuit strafrechtelijke opsporing van daders te benaderen, maar ook te bediscussiëren vanuit civielrechtelijke zorgplichten voor dienstenaanbieders, de rol van zelfregulering daarbij en wellicht zelfs de implicaties van een en ander voor strafrechtelijke aansprakelijkheid.

Dit Vooraf is verschenen in NJB 2013, afl. 18, p. 1185.

Corien Prins

Naam auteur: Corien Prins
Geschreven op: 1 mei 2013

Hoogleraar Recht en Informatisering aan de Universiteit van Tilburg

Reageer op dit artikel
















Even geduld a.u.b.

Reacties

Jurgen van der Vlugt schreef op :
Asl niet-jurist maar wel (meen ikzelf) redelijk in de problematiek ingevoerde: Hoe verhoudt zich het (voor managers behoorlijk 'juridisch' getinte) zorgplicht-argument met de door banken en andere grote organisaties beleden managementmethoden van 'risicomanagement' ..?
Uit bedrijfsorganisatorisch perspectief worden daarin afwegingen gemaakt tussen risico's op diverse vormen van schade en de kosten (in zeldzame gevallen ook de basten) van het al of niet nemen van maatregelen tegen die risico's. Helaas zijn die afwegingen de facto nog veel te impliciet, bij gebrek aan redelijke meetinstrumenten voor potentiële schades en (met name) kansen (beide zijn bovendien zeer veranderlijk in de tijd), door gebrek aan inzicht in de mate van volledigheid van de risico-inventarisatie; de 'unknown unknowns' blijven buiten beeld, per definitie en omdat men 'geen zin' heeft om in de vele (...) betrokken afdelingen continu 'risico-bewust' te zijn -- de beloning is er niet op ingesteld en 'dus' is het 'verloren moeite'om Cassandra te zijn, en ook omdat dat 'geen zin' heeft om voor de benodigde budgetten te strijden op basis van zachte argumenten die snel kunnen worden weggebluft. De zorgplicht beperkt zich dan tot het hebben van de juiste structuren zonder dat er met het hart naar wordt geleefd; risicomanagement blijft een papieren exercitie (waarbij zelfs organisatiekundigen ter zelfverdediging lustig de uitdrukking 'procedural justice' -- 'dus dan zijn we klaar' -- hanteren) en de gevolgen zijn 'externalities' die op anderen kunnen en, uit oogpunt van kostenvermijding dus, zullen worden afgewenteld. En er is veel 'stick to the little rules, then you can easily break the big ones'.
Mijn vraag (ertegen) is derhalve: Welke jurisprudentie is er eigenlijk over dergelijke halfhartige pietluttige-rulebased compliance versus de geest van de regelgeving ..?
a.zecha schreef op :
Hetgeen in dit artikel over de commerciële (staats)banken werd geschreven geldt m.i. impliciet voor onze “statelijke” wetgevers en bestuurders die haar burgers wettelijk dwingend opleggen en/of onmogelijk maakt anderszins gebruik te maken van hun zobenoemde “dienstverlening aan burgers”.
Cybercrime is evenals de handel in crimineel verkregen data “big business” van geheim gehouden/ontkende omvang (miljarden, biljoenen of triljoenen?).
Hoeveel heeft het ministerie van financiën betaald voor een aantal gestolen gegevens van rekeninghouders bij een Zwitserse bank?
Hoeveel zullen de lichamelijke, psychische en sociale (ontwikkeling-) gegevens van burgers en hun kinderen op de liberale markt opbrengen?
a.zecha
Reinier Bakels schreef op :
"Was een DoS-aanval vijftien jaar geleden niet meer dan een vorm van vandalisme zonder duidelijke strategie, inmiddels is dat wel anders." Ik kan me niet herinneren iets gezien of gelezen te hebben over de motieven van de daders van de DDoS aanvallen, en ik denk dat nog steeds niet kan worden uitgesloten dat er een "digitale pyromaan" aan het werk was.

En hoe weet professor Prins zo zeker dat de daders hoogstwaarschijnlijk niet gepakt zullen worden? Technisch mag een ader van een "DDoS" aanval moeilijk te vinden zijn (de eerste "D" staat immers voor "distributed"), maar is de kans niet groot dat iemand zijn mond voorbij praat? Activisten plegen aanslagen te claimen, want anders zijn die voor hen zinloos. En vandalisme lijkt mij onwaarschijnlijk voor discrete professionals. En dan was er het bericht van een bedrijf dat DDoS tools en consultancy aanbiedt. Waarom horen we daar niets meer van?

Wat zorgplichten met dit alles te maken hebben ontgaat mij. Verwijt Prins de banken lichtvaardigheid? Ik neem waarachtig toch aan dat banken weten dat het bieden van diensten via het openbare internet bepaalde gevaren heeft.

Eerder is het de vraag of hier sprake is van overmacht. Bij overmacht kan een tekortkoming per definitie niet worden toegerekend, dus ligt een cirkelredenering op de loer. Ook bij falen zonder nalatigheid kan het zinvol zijn als de leverancier ("schuldenaar") voor de schade opdraait, bijv. omdat deze er belang bij heeft dat elektronische betaaldiensten niet in discrediet raken, en omdat de kosten van ongelukken (incidenten) beter door bank dan door een een rekeninghouder kunnen worden gedragen. Kunnen de banken dit niet onderling regelen, desnoods met een stok van de overheid achter de deur?

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.