hsb15 - dr. michel van eeten - tu delft
TRANSCRIPT
1
Jouw lek, mijn data
Don’t strike back, fix the incentives
Michel van Eeten Technische Universiteit Delft
2
3
• Wat hebben ze gemeen?
• Bezwerende antwoorden van de
organisaties wier beveiliging heeft
gefaald
• Die organisaties functioneren verder,
geen aantoonbaar effect op klandizie,
omzet, beurskoers
• De gevolgen belanden bij ‘derden’, de
mensen op wie de data betrekking
heeft
Grootste hacks 2015
4
• Afpersing, reputatieschade (Ashley
Madison)
• Betalingsfraude (Target, Home Depot)
• Identiteitsfraude (Experian, IRS)
• Privacy-verlies (Anthem, OPM)
• Staatsveiligheid (Hacking Team)
• Onbekend (JP Morgan, …)
Grootste hacks 2015
5
• Probleem is niet dat hack plaatsvindt,
dat risico is er altijd
• Probleem is dat de incentives niet
deugen: partij die moet beveiligen
draagt niet de gevolgen van het falen
• Dat leidt tot onder-beveiliging
• Meer hacks dan nodig en schade bij
derden die risico niet zelf kunnen
verkleinen
‘It’s all about incentives’
6
• Zorg dat schade terecht komt bij
veroorzaker (‘vervuiler betaalt’)
• Hoe?
• Civielrechtelijke aansprakelijkheid
• Intermediaire aansprakelijkheid
• Bestuursrechtelijke vervolging
• Strafrechtelijke vervolging
• Meldplicht
• …
Wat doe je er aan?
7
• Zorg dat schade terecht komt bij
veroorzaker (‘vervuiler betaalt’)
• Hoe?
• Civielrechtelijke aansprakelijkheid
• Intermediaire aansprakelijkheid
• Bestuursrechtelijke vervolging
• Strafrechtelijke vervolging
• Meldplicht
• …
Wat doe je er aan?
8
• Verbeter civielrechtelijke
aansprakelijkheid: verlaag bewijslast
voor derden
• Voorbeeld: EU richtlijn PSD2 vereist
banken binnen 24 uur schade te
vergoeden bij fraude en legt bewijslast
bij banken
Wat doe je er aan?
9
• Verbeter intermediaire
aansprakelijkheid: stimuleer dat sterke
partijen in de keten aansprakelijkheid
nemen
• Voorbeeld: Google oefent druk uit op
operators die Android niet patchen.
PayPal heeft een “Head of Ecosystem
Security” die de hele keten mobiliseert
Wat doe je er aan?
Fix the incentives
Trent Adams: “It's much more about
relationships than it is about anything else.”