Boss, our Data is in Russia: a Case-based Study of Employee Criminal Liability for Cyberattacks
Publiée 2023-05-02
Mots-clés
- Ransomware,
- Cyber-attack,
- Criminal libability,
- Employee liability,
- Switzerland
- Criminal law,
- Cybersecurity ...Plus
(c) Copyright Renaud Zbinden, Luca Brunoni, Olivier Beaudet-Labrecque (Author) 2023
Ce travail est disponible sous la licence Creative Commons Attribution 4.0 International .
Comment citer
Télécharger la référence bibliographique
Résumé
The following position paper discusses the topic of employee criminal liability in the context of ransomware attacks. Through a series of case studies, it analyses whether, under Swiss law, employees who have facilitated the success of an attack can be qualified as co-authors or accomplices.
After an overview of the applicable legal framework, this paper analyses three case studies inspired by actual ransomware attacks. It focuses in particular on the element of intent, which is a prerequisite in most cybercrime laws, and which can, under certain conditions, also be applied to behaviours that appear to be the result of "mistakes"; it also discusses the role that in-house cybersecurity training (or the lack thereof) can have in this context.
Drawing from the results of the analysed cases, this paper then presents a series of recommendations aimed at reinforcing cybercrime prevention within institutions, while also touching upon topics such as cyber-insurances and certification labels.
Références
- N. Pinguely, “Les hôpitaux suisses subissent plusieurs millions d’attaques chaque mois,” 24heures.ch, April 2022. https://www.24heures.ch/les-hopitaux-suissessubissent-plusieurs-millions-dattaques-chaquemois-520894752923.
- “Convention du 23 novembre 2001 sur la cybercriminalité.” (SR 0.311.43).
- J. Müller, La cybercriminalité économique au sens étroit: analyse approfondie du droit suisse et aperçu de quelques droits étrangers. PhD thesis, Université de Lausanne, Faculté de droit et des sciences criminelles, 2012.
- B. Klett and S. Stirnimann, “Cyber-crime : Verantwortung und vorgehen im ernstfall,” Sécurité & Droit, vol. 2, pp. 71–78, 2017.
- S. Werly, “La transposition de la convention du conseil de l’europe sur la cybercriminalité en droit suisse,” Medialex, pp. 121–123, 2010.
- J. Müller, “Le droit matériel suisse est-il conforme aux exigences minimales posées par la convention du conseil de l’europe sur la cybercriminalité ?,” sic!, vol. 6, p. 332, 2016.
- S. Métille and J. Aeschlimann, “Infrastructures et données informatiques: quelle protection au regard du code pénal suisse?,” ZStrR: Schweizerische zeitschrift für strafrecht, vol. 132, no. 3, pp. 283–317, 2014.
- Conseil fédéral, “La confédération examine la possibilité d’introduire une obligation de déclarer les cyberincidents,” admin.ch, December 2019. https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-77526.html.
- S. Fanti, “De l’obligation de signaler les cyberattaques selon l’article 29 al. 2 LFINMA – communication FINMA sur la surveillance 05/2020.” swissprivacy.law, December 2020. https://swissprivacy.law/43/.
- Conseil fédéral, “Le conseil fédéral soumet au parlement le message concernant l’obligation de signaler les cyberattaques contre les infrastructures critiques.” admin.ch, December 2022. https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-92030.html.
- C. Pugnetti and C. Casián, “Cyber risks and swiss smes: an investigation of employee attitudes and behavioral vulnerabilities,” 2021. ZHAW Zürcher Hochschule für Angewandte Wissenschaften.
- L. Brenet and T. Brenet, Cyberespace et cyberattaque : Comprendre et se protéger ! Paris: Afnor éditions, 2022.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 4.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 15.
- “ATF 69 IV 75, consid. 5.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 5.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 6-8.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 10.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 18.
- Tribunal fédéral, “Arrêt du tribunal fédéral 6b_604/2017 du 18 avril 2018, consid. 2.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 32.
- M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 7.
- J. de Werra and Y. Benhamou, “Cyberassurance: instrument utile pour la cybersécurité des entreprises? analyse juridique et recommandations des mesures étatiques concernant les cyberassurances visant àprotéger les entreprises (pme),” Jusletter, August 2020.
- NCSC, “Ransomware.” ncsc.admin.ch, Decembre 2020. https://www.ncsc.admin.ch/ncsc/fr/home/infosfuer/infos-unternehmen/aktuellebedrohungen/ransomware.html.
- NO MORE RANSOM, “Comment se prémunir d’une attaque par rançongiciel ?.” nomoreransom.org, 2021. https://www.nomoreransom.org/fr/preventionadvice.html.
- AMRAE, Lumière sur la cyberassurance (LUCY). 2021.
- Conseil fédéral, “Nouveau droit de la protection des données àpartir du 1er septembre 2023.” admin.ch, August 2022. https://www.admin.ch/gov/fr/accueil/documentation/communiques/communiquesconseil-federal.msg-id-90134.html.