Cybercrime. Wie stellen we op de hoogte?
mr. R. van Staden ten Brink*
Bedrijven worden in toenemende mate geconfronteerd
met cybercrime. Doel van dit soort aanvallen is
vaak de diefstal van intellectueel eigendom of klantgegevens.
De aanvallen die in de openbaarheid komen
vormen slechts een topje van de ijsberg. Er zijn echter
diverse juridische redenen die het wenselijk of noodzakelijk
kunnen maken om naar buiten te treden. Zo
kunnen de gevolgen van een cyberaanval koersgevoelige
informatie opleveren, die door de onderneming
openbaar moet worden gemaakt. Ook kan er op
Artikel kopen € 79,00 excl. BTW
In plaats van abonneren kunt u dit artikel ook afzonderlijk kopen.
grond van privacy- en telecommunicatiewetgeving
een verplichting bestaan om personen van wie gegevens
zijn gestolen, daarover te informeren. Hoewel er
in veel gevallen geen plicht zal bestaan tot het doen
van aangifte bij politie en justitie, is een samenwerking
met politie en justitie vaak wel wenselijk. Ook
contractuele afspraken en exportcontrolewetgeving
spelen een belangrijke rol. Als zich een cyberaanval
voordoet, dienen deze juridische aspecten goed te
worden geanalyseerd en dient externe communicatie
te worden voorbereid. Dit stelt de onderneming in
staat om snel en adequaat op plotselinge ontwikkelingen
te reageren.
1. Inleiding
Op 3 augustus 2011 maakten beveiligingsexperts van
McAfee publiek dat zij de grootste cyberaanval ooit hadden
ontdekt. Operation Shady RAT, zoals McAfee de aanval
noemde, raakte meer dan 72 organisaties, waaronder diverse
bedrijven in de technologie- en defensiesector.1 Hackers,
vermoedelijk afkomstig uit China, hadden werknemers
van de betreffende organisaties verleid om op een link in
een e-mail te klikken. Via die link hadden de werknemers
een kwaadaardig programma gedownload, dat de hackers
in staat stelde om de computers op afstand te besturen. De
hackers gebruikten de kwaadaardige software om grote
hoeveelheden intellectueel eigendom te stelen.
De schaal van deze cyberaanval was uniek. De technieken
die werden gebruikt echter niet. Het internationale en ook
Nederlandse bedrijfsleven is in de afgelopen jaren geregeld
opgeschrikt door dit soort cybercrime. Hackers infecteren
de IT infrastructuur van een onderneming en opereren langzaam
en behoedzaam in de hoop niet ontdekt te worden.2
Vaak is het doel van dit soort aanvallen om intellectueel
eigendom of klantgegevens te stelen. Soms vinden er ook
plotselinge aanvallen plaats, waarbij in één keer een grote
hoeveelheid credit card-gegevens of andere persoonlijke
gegevens worden ontvreemd. De recente diefstal van 100
miljoen gebruikersgegevens uit Sony¡¯s PlayStation Network
vormt hiervan een spraakmakend voorbeeld.3
Cyberaanvallen die in de openbaarheid komen, vormen
maar een topje van de ijsberg. Bedrijven doen een groot deel
van dit soort aanvallen af zonder er extern ruchtbaarheid
aan te geven. Er zijn echter diverse juridische overwegingen
en regels die het noodzakelijk of wenselijk kunnen maken
om wel naar buiten te treden. In de volgende paragrafen
bespreek ik een aantal belangrijke juridische aspecten op
hoofdlijnen. Ik ga hierbij in op:
–– openbaarmaking van koersgevoelige informatie;
–– privacy- en telecommunicatiewetgeving;
–– strafrechtelijke aangifteverplichtingen;
–– contractuele verplichtingen; en
–– exportcontrolewetgeving.
Sectorspecifieke wetgeving, zoals toezichtswetgeving met
betrekking tot banken, verzekeraars en pensioenfondsen of
toezicht op de gezondheidszorg, valt buiten het bestek van
dit artikel.
U heeft op dit moment geen toegang tot de volledige inhoud van dit product. U kunt alleen de inleiding en hoofdstukindeling lezen.
Wanneer u volledige toegang wenst tot alle informatie kunt u zich abonneren of inloggen als abonnee.