Vol. 8 No. 1 (2023): Proceedings of Botconf 2023
Conference proceedings

Boss, our Data is in Russia: a Case-based Study of Employee Criminal Liability for Cyberattacks

PDF
  • Renaud Zbinden,
  • Luca Brunoni,
  • Olivier Beaudet-Labrecque
Renaud Zbinden
Institut de lutte contre la criminalité économique
Luca Brunoni
Institut de lutte contre la criminalité économique
Olivier Beaudet-Labrecque
Institut de lutte contre la criminalité économique

Published 2023-05-02

Keywords

  • Ransomware,
  • Cyber-attack,
  • Criminal libability,
  • Employee liability,
  • Switzerland,
  • Criminal law,
  • Cybersecurity
    • ...More
    Less

Copyright (c) 2023 Renaud Zbinden, Luca Brunoni, Olivier Beaudet-Labrecque (Author)

Creative Commons License

This work is licensed under a Creative Commons Attribution 4.0 International License.

How to Cite

Zbinden, R. ., Brunoni, L. ., & Beaudet-Labrecque, O. . (2023). Boss, our Data is in Russia: a Case-based Study of Employee Criminal Liability for Cyberattacks. The Journal on Cybercrime and Digital Investigations, 8(1), 49-56. https://doi.org/10.18464/cybin.v8i1.46

Download Citation

Abstract

The following position paper discusses the topic of employee criminal liability in the context of ransomware attacks. Through a series of case studies, it analyses whether, under Swiss law, employees who have facilitated the success of an attack can be qualified as co-authors or accomplices.

After an overview of the applicable legal framework, this paper analyses three case studies inspired by actual ransomware attacks. It focuses in particular on the element of intent, which is a prerequisite in most cybercrime laws, and which can, under certain conditions, also be applied to behaviours that appear to be the result of "mistakes"; it also discusses the role that in-house cybersecurity training (or the lack thereof) can have in this context.

Drawing from the results of the analysed cases, this paper then presents a series of recommendations aimed at reinforcing cybercrime prevention within institutions, while also touching upon topics such as cyber-insurances and certification labels.

PDF

References

  1. N. Pinguely, “Les hôpitaux suisses subissent plusieurs millions d’attaques chaque mois,” 24heures.ch, April 2022. https://www.24heures.ch/les-hopitaux-suissessubissent-plusieurs-millions-dattaques-chaquemois-520894752923.
  2. “Convention du 23 novembre 2001 sur la cybercriminalité.” (SR 0.311.43).
  3. J. Müller, La cybercriminalité économique au sens étroit: analyse approfondie du droit suisse et aperçu de quelques droits étrangers. PhD thesis, Université de Lausanne, Faculté de droit et des sciences criminelles, 2012.
  4. B. Klett and S. Stirnimann, “Cyber-crime : Verantwortung und vorgehen im ernstfall,” Sécurité & Droit, vol. 2, pp. 71–78, 2017.
  5. S. Werly, “La transposition de la convention du conseil de l’europe sur la cybercriminalité en droit suisse,” Medialex, pp. 121–123, 2010.
  6. J. Müller, “Le droit matériel suisse est-il conforme aux exigences minimales posées par la convention du conseil de l’europe sur la cybercriminalité ?,” sic!, vol. 6, p. 332, 2016.
  7. S. Métille and J. Aeschlimann, “Infrastructures et données informatiques: quelle protection au regard du code pénal suisse?,” ZStrR: Schweizerische zeitschrift für strafrecht, vol. 132, no. 3, pp. 283–317, 2014.
  8. Conseil fédéral, “La confédération examine la possibilité d’introduire une obligation de déclarer les cyberincidents,” admin.ch, December 2019. https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-77526.html.
  9. S. Fanti, “De l’obligation de signaler les cyberattaques selon l’article 29 al. 2 LFINMA – communication FINMA sur la surveillance 05/2020.” swissprivacy.law, December 2020. https://swissprivacy.law/43/.
  10. Conseil fédéral, “Le conseil fédéral soumet au parlement le message concernant l’obligation de signaler les cyberattaques contre les infrastructures critiques.” admin.ch, December 2022. https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-92030.html.
  11. C. Pugnetti and C. Casián, “Cyber risks and swiss smes: an investigation of employee attitudes and behavioral vulnerabilities,” 2021. ZHAW Zürcher Hochschule für Angewandte Wissenschaften.
  12. L. Brenet and T. Brenet, Cyberespace et cyberattaque : Comprendre et se protéger ! Paris: Afnor éditions, 2022.
  13. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 4.
  14. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 15.
  15. “ATF 69 IV 75, consid. 5.‍
  16. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 5.
  17. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 6-8.
  18. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 25 N 10.
  19. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 18.
  20. Tribunal fédéral, “Arrêt du tribunal fédéral 6b_604/2017 du 18 avril 2018, consid. 2.‍
  21. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 32.
  22. M. Dupuis et al., Petit commentaire, Code pénal. 2 ed., 2017. Art. 12 N 7.
  23. J. de Werra and Y. Benhamou, “Cyberassurance: instrument utile pour la cybersécurité des entreprises? analyse juridique et recommandations des mesures étatiques concernant les cyberassurances visant àprotéger les entreprises (pme),” Jusletter, August 2020.
  24. NCSC, “Ransomware.” ncsc.admin.ch, Decembre 2020. https://www.ncsc.admin.ch/ncsc/fr/home/infosfuer/infos-unternehmen/aktuellebedrohungen/ransomware.html.
  25. NO MORE RANSOM, “Comment se prémunir d’une attaque par rançongiciel ?.” nomoreransom.org, 2021. https://www.nomoreransom.org/fr/preventionadvice.html.
  26. AMRAE, Lumière sur la cyberassurance (LUCY). 2021.
  27. Conseil fédéral, “Nouveau droit de la protection des données àpartir du 1er septembre 2023.” admin.ch, August 2022. https://www.admin.ch/gov/fr/accueil/documentation/communiques/communiquesconseil-federal.msg-id-90134.html.