Project Melissa is een publiek private samenwerking die zich richt op het onaantrekkelijk maken en houden van Nederland voor ransomware aanvallen. Samenwerkende partijen en initiatiefnemers zijn het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC) en Cyberveilig Nederland. Verschillende cybersecuritybedrijven zijn ook aangesloten. In het kader van de samenwerking binnen Project Melissa komen diverse vraagstukken ten aanzien van ransomwarebestrijding aan bod.
Een van de vragen is de juridische reikwijdte van de bevoegdheden van private partijen in het kader van incident respons en of in bepaalde omstandigheden private partijen zich toegang mogen verschaffen tot de infrastructuur van aanvallers indien die gelegenheid zich voordoet.
Bij een ransomware aanval wordt door het slachtoffer vaak een IR partij ingeschakeld om de impact van een aanval tegen te gaan of te verkleinen. Onderdeel hiervan is het uitvoeren van een onderzoek naar de aanval. Een exfiltratieserver vormt daarbij vaak een essentieel onderdeel van het onderzoek voor het slachtoffer. Op deze servers worden regelmatig activiteiten gesignaleerd. Deze kunnen bijvoorbeeld suggereren dat gelijktijdig een aanval bij een derde bedrijf plaatsvindt of nog kan plaatsvinden. Die informatie kan worden gebruikt om derden te waarschuwen (notificeren) en verdere schade te voorkomen bij het slachtoffer.
Om te onderzoeken wat de mogelijkheden van IR partijen hebben we bovenstaande vraagstelling neergelegd bij rechten studenten van het Glushko & Samuelson Information Law and Policy Lab (ILP Lab) van het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam (UvA). Zij hebben dit onderzoek in de periode januari-juli uitgevoerd.
ILP Lab concludeert dat er momenteel geen juridische ruimte is naar onderzoek op exfiltratieservers door private cybersecurity bedrijven op basis van het huidige strafrechtelijke en bestuursrechtelijk kader. Dit was in lijn met de aanname vanuit Melissa. Zij geven wel verschillende andere oplossingsrichtingen. Vanuit project Melissa gaan we verder onderzoek doen naar de mogelijkheden om medewerkers van IR partijen aan te wijzen als Buitengewone Opsporingsambtenaar (BOA).
Het rapport is hier te lezen.
