EO

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

26 september 2017 om 14:55 uur

De eerste keer dat ik softwareprogrammeur Fons tegenkwam, was op ons gratis juridisch spreekuur IE-ICT-Techniek. Deze DGA en tevens hoofdprogrammeur van een klein maar vooruitstrevend engineeringbedrijf zag er vermoeid uit na nachtenlang hardcore programmeren voor een nieuwe klant. Dat was echter niet de enige reden voor zijn vermoeidheid.

 

***Namen van personen en software zijn gewijzigd om herkenning te voorkomen***

 

Zoals dat wel vaker gaat, had hij een nieuwe klant alle vertrouwen gegeven en geen vooruitbetaling gevraagd. Nadat alles, op wat cosmetische dingen na, klaar was - het draaide al bij de klant - , ontstonden er geruchten in de wandelgangen over betalingsachterstanden bij de klant: die leek het businessmodel te hebben om geen enkele leverancier te betalen, met uitzondering van die ene die er dan een procedure aan waagde.

 

U kent ze vast ook uit uw debiteurenbak: alles is eerst prima in orde, na levering deugt er ineens niks meer en ziet men de factuur als uitnodiging tot onderhandeling. 

 

Alleen een kill-switch

Fons had daarom het plan opgevat om een ‘feature' in te bouwen, zodat hij bij wanbetaling de software kon laten crashen. Een soort ransomware dus eigenlijk, maar dan vanuit het gerechtvaardigd belang betaald te worden voor overeengekomen diensten. Het was nadrukkelijk geen backdoor zei Fons: met een backdoor heb je volledige toegang (Wet Meldplicht Datalekken?!), dit was alleen een kill-switch zonder dat je mee kon kijken. Met Fons' feature waren er slechts drie opties: de software stuurde bij elke opstart een request naar Fons' server, als er was betaald, stuurde de software een OK terug en verwijderde uit zichzelf de feature, was de betaaltermijn nog niet verlopen, kwam er ook een OK terug, kwam er een NOK terug omdat er al diverse malen was aangemaand: crash.

 

Werken zal het vast. De klant zal - zonder broncode - niet een-twee-drie kunnen bewijzen dat er opzettelijk een bepaalde feature in zit; hij zal klagen over een bug. Als de programmeur dan roept "Dit is een kleinigheid, ik garandeer dat ik ‘t vandaag voor je oplos, wil je nog wel ff die factuur betalen zo meteen", zal de klant ongetwijfeld nattigheid voelen, maar een gevoel is geen bewijs. Er wordt dus betaald.

 

Hoe zit het juridisch?

Maar hoe zit het juridisch (ethiek laat ik even bij de lezer)? Strafrechtelijk denk ik dan aan computervredebreuk, maar dat is mijn specialisme niet. En civielrechtelijk? Het idee deed me denken aan een zaak waarin een websitebouwer de rechter vroeg of hij (op grond van zijn auteursrecht) de stekker uit een website mocht trekken, omdat er niet betaald was. De klant had in zijn mails aan de webbouwer de facturen bestreden en de websitebouwer had niet gevraagd aan de rechter om een oordeel te geven over de juistheid van de facturen. De websitebouwer kreeg de gevraagde toestemming niet van de rechter. Je moet als klant immers wel de mogelijkheid hebben om je argumenten voor niet-betaling aan de rechter voor te kunnen leggen. Soms heeft een onbetaalde factuur immers te maken met het leveren van crapware, in plaats van met een slechte betalingsmoraal. De rechter oordeelde verder dat er sprake is van een "onvoorwaardelijke impliciete licentie", als je toestemming geeft om het aangeleverde te gaan gebruiken. Wil je dat anders, dan zal je dat van te voren moeten vastleggen. Dus ook om die reden kon de websitebouwer de site niet uit de lucht halen.

   

Dus, nee, Fons

In dit geval: beter niet doen. Voor het vervolg (als je dit al zou willen): zet in je opdrachtovereenkomst dat er een kill-switch in zit. Die wordt geactiveerd bij meer dan x dagen betalingsachterstand en meer dan x alerts. De schade is dan voor opdrachtgever. Degenen die daardoor niet willen ondertekenen, waren toch al niet van plan te betalen. Strafrechtelijk (hoewel niet mijn specialisme) zal dit ook wel goed komen, nu het computervredebreukartikel aangeeft dat het binnendringen ‘wederrechtelijk' moet zijn. In de overeenkomst heb je echter afgesproken dat je dit màg. Op zich niet veel anders dan de virusscanner op je computer, die geeft ook om de zoveel tijd aan dat het tijd is je jaarlicentie te vernieuwen.

 

Lees-verder-tips:

• 31 mei 2017: The 3D Print Copyshop and Copyright . Column (Engels) van Hub Dohmen.
• 8 mei 2017: Onlangs was Hub Dohmen namens Dohmen advocaten present bij Virtual (R)evolution 2017, dé vakbeurs rondom virtual reality (VR) en augmented reality (AR). Wat doet een advocaat daar nou ? Valt daar dan juridisch iets over te zeggen? Ja, dat valt er. Column van Hub Dohmen.
• 5 mei 2017: 3D print service providers and copyright (B2B) . Column (Engels) van Hub Dohmen.
• 24 april 2017: Jurassic Park, Westworld en het Europees Parlement. Of: de risico's van robotisering zonder regelgeving . Column van Hub Dohmen.
• 27 februari 2017: 3D Printing and Intellectual Property . Column (Engels) van Hub Dohmen.

 

mr. Hub Dohmen,
Dohmen advocaten - in techniek
e: h.dohmen@dohmenadvocaten.nl
twitter: http://twitter.com/hdohmen
LinkedIn: http://nl.linkedin.com/in/hubdohmen

 

Laatste nieuws

Twee slimme auto’s botsen minder dan één

Twee slimme auto’s botsen minder dan één (video)

Eigenlijk ligt het voor de hand: als je de kennis van meerdere slimme auto’s koppelt, worden ze nóg slimmer. Twee weten immers meer dan één. En dat geldt ook voor auto’s.

Tag je kind

Tag je kind

Wie last heeft van wegloperige kinderen of honden, kan ze binnenkort taggen met IoT-tag Samsung Connect .Zo hoef je je geliefden, huisdieren of waardevolle bezittingen nooit meer uit het oog te verliezen.

Plasmonische nanoantennes meten waterkwaliteit beter

Plasmonische nanoantennes meten waterkwaliteit beter

Plasmonische nanoantennes kunnen leiden tot de ontwikkeling van een nieuwe generatie ultrasensitieve fluorescerende sensoren om waterkwaliteit te monitoren. Dat blijkt uit onderzoek aan de universiteiten van Bristol en…

Meer nieuws »

Gratis nieuwsbrief

EOL

 

Gratis nieuwsbrief

safety update
 

Product van de maand

RSS
Modlight Illumix - Perfecte belichting in daglichtkwaliteit

Met de Modlight Illumix machine led lampen zorgt Murrelektronik voor een optimale belichting van machines en...

Agenda

24 oktober 2017, Leusden

Praktische handvatten CE en de verlichtingsindustrie

Een workshop over CE. Regels en verplichtingen en normen. Praktische handvatten om tot je wettelijk...

24 oktober 2017, Vianen

CE-Markering, de basis

Training bij Pilz

25 oktober 2017, Eindhoven

Data Mining & Business Analytics

Fundamentele concepten voor het begrijpen en succesvol toepassen van Data Mining methoden - vierdaagse...

Meer agendapunten »