De maand april maakte wel heel duidelijk hoe kwetsbaar en afhankelijk de populariteit van digitale dienstverlening ons heeft gemaakt. Tegoeden op bankrekeningen verdwenen in de virtuele wereld als sneeuw voor de zon, internetwinkels leden naar eigen zeggen tientallen miljoenen euro’s schade omdat het betaalsysteem iDeal niet functioneerde, de KLM was uit de lucht voor wie comfortabel online wilde inchecken en ook de overheidsauthenticatiedienst DigiD werd getroffen. Oorzaak: zogenaamde Denial-of-Service-aanvallen (DoS-aanval).

De getroffen bedrijven hebben aangifte gedaan, maar de kans is klein dat de daders worden gepakt. Ondertussen zien diverse partijen zich geconfronteerd met miljoenen euro’s schade en ligt de vraag voor wie deze gaat betalen. Als het aan Eurocommissaris Kroes ligt komen de banken in beeld: “Kapitaalkrachtige partijen als banken moeten aansprakelijk gehouden kunnen worden voor schade door cybercriminaliteit.” Voormalig minister van Defensie Van Middelkoop, nu kwartiermaker voor de Cybersecurity Academy, merkte in het FD op: “Het is genant dat banken ons massaal aan het interbankieren hebben gekregen en we nu moeten constateren dat ze de zaken niet op orde hebben”. Maar de voorzitter van de Nederlandse Vereniging van Banken (NVvB), Boele Staal, liet al direct weten dat compensatie niet aan de orde is, omdat sprake is van overmacht. De banken doen ‘er alles aan’ om de dreiging te pareren. Maar wat is ‘er alles aan doen’ als het aankomt op de te nemen maatregelen om het uitvallen van (betalings)netwerken te voorkomen? Waren de genomen maatregelen – binnen de grenzen van het redelijke – wel ‘voldoende’? Dat verlangt een discussie over de vraag welke risico’s bij een DoS-aanval de aanbieder van online diensten vallen toe te rekenen en dus wanprestatie oplevert (art 6:74 BW) en in welke situaties de omstandigheden zodanig zijn dat ze een overmachtsituatie rechtvaardigen (artikel 6:75 BW)?

Lees verder:

• Zorgplichten en Cybercrime, Corien Prins (NJBlog.nl)

In een onderzoek naar grootschalige cyberaanvallen is donderdag in Spanje de 35-jarige Nederlander S. K. aangehouden. Door het Landelijk Parket van het Openbaar Ministerie was daarvoor een Europees aanhoudingsbevel uitgegeven.

K. wordt verdacht van ongekend zware aanvallen op de non-profitorganisatie Spamhaus, waar anti-spamdatabases worden beheerd. Deze zogenoemde DDoS-aanvallen werden vorige maand ook op partners van Spamhaus in de Verenigde Staten, Nederland en Groot-Brittannië uitgevoerd. De aanvallers maakten daarbij gebruik van vervalste IP-adressen.

Op verzoek van het Landelijk Parket is in Barcelona ook de woning waar K. verbleef doorzocht. Daarbij is beslag gelegd op computers, gegevensdragers en mobiele telefoons.

Het politieonderzoek in Nederland wordt uitgevoerd door het Team High Tech Crime. De aanhouding in Spanje is mede mogelijk gemaakt door bemiddeling van Eurojust, een samenwerkingsverband van justitiële autoriteiten binnen de Europese Unie.

Er zijn geen aanwijzingen dat de aanval op Spamhaus verband houdt met later ingezette cyberaanvallen op onder andere banken, het betaalsysteem iDeal en DigiD.

Naar verwachting wordt K. binnenkort overgedragen aan het Nederlandse Openbaar Ministerie.

Bron: OM

Op 12 februari 2013 stelde president Barack Obama een ‘executive order’ vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Belangrijke organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. Deze ‘executive order’ is vorige week aangenomen door The House of Representatives.

Met het systeem van vrijwillig melden slaat de VS een andere weg in dan de EU. Met de afgelopen februari gepubliceerde Cybersecurity Strategy 2013 en het gedane ‘Voorstel voor een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU’, opteert de Europese Unie juist voor een systeem waarbij bedrijven verplicht worden (ernstige) cyber-incidenten te rapporteren aan de autoriteiten.

Het is hierbij de vraag wat de mogelijke gevolgen van deze uiteenlopende maatregelen zullen zijn voor het intercontinentale handelsverkeer. In reactie op eerder gestelde kamervragen meldt Opstelten dat:

“Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.”

“De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.”

• Antwoorden kamervragen over het vrijwillig melden van cyber security incidenten d.d. 25 april 2013
• EU, US go separate ways on cybersecurity
• Voorstel voor een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU
• Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace

DigiD is sinds dinsdagavond 23 april niet of moeilijk toegankelijk door een zogenoemde DDOS-aanval. Daardoor kan het inloggen op websites van overheidsdiensten problemen opleveren.  Persoonlijke gegevens van DigiD-gebruikers zijn niet gekraakt.

Bij een DDOS-aanval wordt een internetsite bestookt met extreem veel dataverkeer. De beveiliging van de site is dan zo druk met het tegenhouden van dit ongewenste verkeer dat ook de gewone bezoekers er niet of nauwelijks doorheen komen.

Persoonlijke gegevens van gebruikers blijven geheim, want de aanvallers krijgen geen toegang tot het DigiD-systeem. Van een inbraak (“hack”) in het systeem is geen sprake.

Een DDOS aanval is te vergelijken met het ouderwetse belletje-trekken met een luciferhoutje tussen de bel. De bel gaat continu over, maar de deur blijft dicht. Inbrekers blijven gelukkig buiten, gewone bezoekers helaas ook.

Het is nog onbekend wie er achter de aanval zitten. Het Nationaal Cyber Security Centrum is op de hoogte en levert ondersteuning en expertise.

Bron: Rijksoverheid

Hoe kan het dat Nederland een telefoontje uit het buitenland moet krijgen om erachter te komen dat er in Leiden iemand dreigt om zich heen te schieten? Ronald Prins van internetbeveiligingsbedrijf Fox-IT weet het antwoord wel: het is volstrekt onduidelijk wat de Nederlandse politie wel en niet mag op internet. "Volgens het Nederlands strafrecht valt het in de gaten houden van wie wat zegt op sociale media onder 'stelselmatige observatie' en dat mag alleen bij hoge uitzondering." Gevolg: de politie heeft nauwelijks zicht op wat er op internetfora gebeurt.

Lees verder:

• 'Politie heeft nauwelijks zicht op wat er gebeurt op internet', Trouw.nl