Internetproviders zijn in bepaalde gevallen aansprakelijk voor de schade die malware veroorzaakt. Dat stelt Enisa, het Europese agentschap voor netwerk- en informatiebeveiliging.
Internetserviceproviders (isp's) die niet ingaan op het verzoek van klanten om met malware besmette computers af te sluiten, moeten verantwoordelijk worden gesteld voor de aangerichte schade. Dat is een van de aanbevelingen van Enisa, het Europese agentschap voor netwerk- en informatiebeveiliging. De organisatie schreef een rapport met aanbevelingen voor de aanpak van cybercriminaliteit.
Enisa pleit er ook voor beveiligingsupdates (reparaties) gratis beschikbaar te stellen en ze los te koppelen van feature-updates (toevoeging van functionaliteiten). Volgens de onderzoekers komt het te vaak voor dat feature-updates, zoals bijvoorbeeld digital rights management (drm), de auteursrechtelijke beveiliging van digitale muziek en films, beveiligingsupdates frustreren.
In het verlengde van die maatregel wordt voorgesteld consumenten verantwoordelijk te maken voor schade die malware aanricht wanneer bijvoorbeeld de automatische beveiligingsupdate uitgeschakeld is. Enisa maakt een vergelijking met de autoindustrie. Daarin is de autofabrikant verantwoordelijk voor het aanbieden van gordels, maar de automobilist is verantwoordelijk voor het gebruik ervan.
Europese wetgeving
De onderzoekers pleiten ook voor de doorvoer van eenduidige Europese wet- en regelgeving voor de rapportage van beveiligingsproblemen, het beschermen van consumenten bij elektronische fraude en het strafbaar stellen van het aanbieden van spyware. Ook wordt voorgesteld een Europese organisatie op te richten die zich moet bezighouden met internationale samenwerking bij het bestrijden van cybercrime. Het is nog niet bekend of de maatregelen door beleidsmakers worden overgenomen.
Ik vind de metafoor met autogordels mank gaan. Het gebruik van een autogordel is bijna voor iedereen duidelijk.
Pas als een beveiliging en de aanpak ervan even simpel is en even eenvoudig is toe te passen als een veiligheids gordel kun je de gebruiker verantwoordelijk stellen.
Mijn oma, een gebruiker van 81, kun je nauwelijks verantwoordelijk houden voor niet reageren op de complexe manier waarop een PC systeem met de gebruiker tracht te communiceren over abstracte bedreigingen die minstens even complex zijn.
Vaak worden instelingen overigens ook nog door een hulpvaardige leverancier of kleinkind ingesteld die de gemakelijkste weg kiest om niet bij iedere niet begrepen melding weer op de stoep te moeten staan.
Wat een onzin.
Dit is net zoiets als Rijkswaterstaat verantwoordelijk stellen voor het feit dat ik niet kan rijden.
ZIJ leveren de infrastructuur, die mijn gestuntel mogelijk maakt… Ziet u het voor zich?
Om de analogie even uiteen te zetten: de ISP wordt verantwoordelijk gehouden voor het feit dat een van hun klanten niet in staat is de PC adequaat te beschermen.
Het wordt een ander verhaal, indien de gebruiker geen adequate actie onderneemt op een waarschuwing van de ISP dat zijn/haar PC een besmetting vormt. D?n is de ISP naar mijn mening gerechtigd en wellicht zelfs verplicht om de betreffende gebruiker te blokkeren, totdat deze aantoonbaar opgeschoond is.
Waar laat ons dat in mijn metafoor?
Rijkswaterstaat is niet verantwoordelijk voor het feit dat ik niet kan autorijden. Echter, als zij mij daar op wijzen en ik weiger om rijlessen te volgen, zijn zij gerechtigd en wellicht verplicht om mij toegang tot de openbare weg te verbieden, totdat ik middels een rijbewijs kan aantonen dat ik wel degelijk kan rijden.
Bovenstaande scenarii laten een duidelijk “oorzaak – advies – actie” stappen plan zien. Eerst is er de oorzaak (PC besmet / ik kan niet rijden), dan is er het advies (PC opschonen / neem rijlessen), en dan de actie (afsluiten / rijontzegging).
Het Enisa standpunt gaat echter gelijk van oorzaak naar actie, en legt de plicht ook duidelijk bij de dienstverlener. Ik vind dat FOUT.
Klein maar belangrijk detail: Je hebt altijd EERST het virus, pas DAARNA de pil. Dus je kan je PC n?g zo up-to-date houden, er is altijd wel een virus die n?t even nieuwer is…
Groet
Jaap Lelie – ICT Project Manager
Als je het bericht goed leest, lijkt dat er ook te staan. Het is alleen op zo’n manier geschreven dat het makkelijk fout geintepreteerd kan worden. Plus de titel is ernstig misleidend.