De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.2.1:III.3.9.2.1 Methoden en gradaties cyberdiefstal
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.2.1
III.3.9.2.1 Methoden en gradaties cyberdiefstal
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278830:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Toon alle voetnoten
Voetnoten
Voetnoten
Spoofing: Iemand misleiden door te doen alsof je iemand anders bent. Er zijn veel soorten spoofing. Een aanvaller kan zich in een e-mail voordoen als een ander door het afzendadres te vervalsen. Bron: P. Oldengarm en L. Holterman (reds.), Cybersecurity Woordenboek. Van cybersecurity naar Nederlands, Cyberveilig Nederland 2019.
Cybersecurity Woordenboek 2019. Zie uitgebreid over de uitsluiting voor social engineering §5.2.3.
Cybersecurity Woordenboek 2019.
Cybersecurity Woordenboek 2019.
Deze functie is alleen te gebruiken als je bent ingelogd.
Cybercriminelen hanteren verschillende methoden om geld te stelen van bedrijven. Voorbeelden zijn:
CEO/CFO/CxO-fraude: uit naam van de CEO of andere leidinggevenden worden e-mails met betalingsinstructies verstuurd naar medewerkers of de financiële afdeling, eventueel na spoofing;1
Factuurfraude: het veranderen van een rekeningnummer op een bestaande of nog te versturen factuur, eventueel door middel van social engineering (zie ook hierna);
Social engineering: het verkrijgen van belangrijke gegevens en informatie, bijvoorbeeld inlog- en betalingsgegevens, door in te spelen op iemands nieuwsgierigheid of behulpzaamheid, vaak telefonisch (ook wel vishing (voice phishing) genoemd) of via e-mail;2
(Spear) phishing: het verkrijgen van belangrijke gegevens, bijvoorbeeld inloggegevens en betalingsgegevens, vaak door middel van e-mails, of via sms of app-berichten;3
Malware: kwaadaardige software waarmee (onder andere) gegevens en informatie kunnen worden verkregen, kan op verschillende manieren worden geïnstalleerd (bijvoorbeeld via phishing of geïnfecteerde gegevensdragers).4
De mate waarin het systeem daadwerkelijk wordt aangetast en de mate waarin de diefstal daadwerkelijk digitaal plaatsvindt, lopen bij deze verschillende methoden uiteen. Ik onderscheid een drietal gradaties:
Het systeem is niet aangetast; de fraudeur vervalst facturen of geeft door middel van valse berichten een betalingsopdracht;
Het systeem is aangetast; de indringer geeft vanuit het systeem opdracht aan een medewerker om een betaling uit te (laten) voeren.
Het systeem is aangetast; de indringer verricht zelf de betaling(sopdracht) of laat het systeem die uitvoeren.
De polisbepalingen over cyberdiefstal ondervangen niet al deze methoden en gradaties, maar beperken zich tot een selectie daarvan. Diefstal van geld is daardoor, afhankelijk van de gebruikte methode en de mate waarin het systeem is aangetast, niet altijd gedekt. In de volgende sub-paragrafen licht ik dit toe.