image

It-bedrijf niet aansprakelijk voor gevolgen ransomware-aanval op Haagse stichting

maandag 20 juni 2022, 15:28 door Redactie, 21 reacties

Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. De stichting wilde geen deskundigenonderzoek laten uitvoeren, waardoor de rechter niet kan vaststellen of het it-bedrijf aansprakelijk is voor het zich voordoen van de ransomware-aanval.

De stichting was sinds 2013 klant bij het it-bedrijf. Op 12 april 2018 raakte één van de systemen van de stichting besmet met ransomware, waardoor het systeem onbruikbaar werd en de bedrijfsvoering van de stichting in zijn geheel kwam stil te liggen. Er bleek alleen nog een back-up van juli 2017 beschikbaar, waardoor de stichting veel data kwijt was, alsmede allerlei programmatuur die het door een softwarebedrijf had laten ontwikkelen.

De stichting liet een onderzoek naar de ransomware-aanval uitvoeren. Daaruit kwam naar voren dat die waarschijnlijk via Teamviewer heeft plaatsgevonden. Door beperkte logging-informatie kon dit echter niet met zekerheid worden vastgesteld. "Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ict-leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken", aldus het securitybedrijf dat het onderzoek uitvoerde.

Dat liet weten niet verbaasd te zijn dat er een ernstig verstorend incident zich heeft voorgedaan. "Gezien de huidige staat van de ict-omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau."

Back-ups

Volgens de stichting heeft de it-leverancier nagelaten om periodiek volledige back-ups te maken van de systemen van de stichting en de informatie binnen die systemen. Daarmee is het it-bedrijf tekort geschoten in het nakomen van haar verplichtingen uit de overeenkomst, aldus de aanklacht. Het it-bedrijf stelt dat de ransomware-infectie ook door een medewerker kan zijn ontstaan die een bijlage opende. Wat betreft het ontbreken van data in de back-ups reageerde het it-bedrijf dat dit kwam door het softwarebedrijf dat software voor de stichting ontwikkelde.

Deskundige

De rechtbank stelde vorig jaar augustus in een tussenvonnis dat het op basis van de stellingen van beide partijen niet kan bepalen wat de oorzaak van de ontbrekende data is. Daarom vroeg de rechtbank om het oordeel van een onafhankelijke deskundige. Die moest vaststellen wat de oorzaak is van het ontbreken van de gemaakte software en andere data in de back-ups van de stichting. Tevens moest de deskundige de oorzaak van de ransomwarebesmetting zien te achterhalen en welke rol de beveiliging van het ict-systeem van het it-bedrijf hierbij speelde. Pas met deze informatie zou de rechtbank tot een oordeel kunnen komen.

De stichting stelde dat het geen zin had om het deskundigeonderzoek uit te laten voeren, omdat de destijds bestaande ict-omgeving niet meer aanwezig is en dus ook niet kan worden onderzocht. Daarnaast liet de stichting weten dat in andere zaken er geen deskundige is ingeschakeld. Dat de stichting geen deskundigeonderzoek wil laten uitvoeren zorgt er echter voor dat de rechter naar eigen zeggen niet kan vaststellen dat het it-bedrijf tekort is geschoten in het nakomen van de verplichtingen.

De rechter besloot dan ook de vorderingen van de stichting, die zo'n 27.000 euro van het it-bedrijf eiste, af te wijzen. De stichting werd als verliezende partij uiteindelijk veroordeeld tot het betalen van de proceskosten van het it-bedrijf, die zo'n 4300 euro bedroegen.

Reacties (21)
20-06-2022, 18:22 door Anoniem
claim cultuur uit VS is nu 100% actief in nederland... wanneer komen de bordjes "u kunt misselijk worden in de draaimolen' en stop de natte hond niet in de magnetron?
20-06-2022, 18:59 door walmare
1 ding weten we wel. De grote gemene deler is windows!
20-06-2022, 19:51 door Anoniem
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Nee. Het is een zeer domme gebruiker!
20-06-2022, 22:43 door Anoniem
Goede zaak! Als je wilt bewijzen dat de schuld bij een IT leverancier/'partner' lag, moet je eigenlijk een soort system freeze doen en een rechtmatige audit laten doen door een gespecialiseerd bedrijf om e.e.a. te kunnen aantonen inclusief je eigen procedures & werkwijze.

Deze zaak heeft, vooral bij kleine IT bedrijven, voor behoorlijk wat ophef gezorgd. Nu ben ik daar aan de ene kant wel blij mee, want als IT leverancier / partner mag er ook van je verwacht wordt dat je weet wat je doet en het beste met de klant voor hebt.

Verantwoordelijk ben je nooit alleen, maar minstens met beide (of meerdere) betrokken partijen.
20-06-2022, 22:57 door Anoniem
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!

Nee, grootste gemene deler is mensen!
21-06-2022, 03:33 door Anoniem
Door Anoniem:
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Nee, grootste gemene deler is mensen!

Ik ga me niet mengen in een inhoudelijke discussie over het al dan niet veilig zijn van WIndows. Maar de vorm van deze argumentatie is van het type: "Automatische wapens zijn niet gevaarlijk maar mensen die de trekker over halen". Dat is een oeverloze discussie.
21-06-2022, 07:32 door Anoniem
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!

Ondanks dat je mogelijk wel gelijk hebt...
Moet er wel aan toegevoegd worden dat misconfiguratie, niet de best practices opvolgen van inrichting, zeker mee speelt bij dit soort incidenten.

Om Ransomware te voorkomen, heeft Windows veel ingebouwde security features die je kan inschakelen.
Zoals:
- Geen local administrator (blijf 1 van de belangrijkste, maar meestal door gemakzucht niet wordt uitgeschakeld voor de gemiddelde gebruiker.)
- Windows 10/11 heeft Ransomware Protection, afhankelijk of je centraal aanbiedt of 1 werkplek wat de effort is om in te richten.
- Windows Defender Application Control (Whitelisten van applicaties, als te complex is kan je Applocker ook makkelijk gebruiken)
- ASR Rules
- Etc

Microsoft biedt zelfs op dit moment een gratis e-book ter beschikking wat allemaal op Windows Security gebied mogelijk is, deze is dan van Windows 11, maar kijk eens wat er al ingebouwd zit in het OS... (je moet het wel gebruiken uiteraard)

https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE
21-06-2022, 08:55 door Anoniem
Door Anoniem:
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Nee. Het is een zeer domme gebruiker!
De overlap tussen die twee is nagenoeg 100% :-)
21-06-2022, 09:35 door Anoniem
Wat ontbreekt in dit artikel is of er uberhaupt in enige vorm afspraken waren gemaakt over die back-up. Nog even los van het feit wáár het gebeuren is binnengekomen: als je laatste back-up een jaar oud is, vraag ik mij af of de verantwoordelijke (de stichting zelf) of de uitvoerende (het IT-bedrijf) tekort is geschoten?

Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?

Ik ben werkzaam in de informatiebeveiliging in het MKB en zie erg vaak dat de klant in kwestie totaal zijn vraag niet weet te formuleren of zelfs een degelijk aanbod van een IT dienstverlener (zoals een back-up dienst) opzij schuift, omdat ze deze niet begrijpen, niet op waarde kunnen schatten of het gewoon te duur vinden en het risico niet zien als ze het niet doen.
21-06-2022, 10:20 door Anoniem
Ik vind het vervelend worden dat de hele claimcultuur naar Nederland komt...
Zo'n fluff boterham spread, een Dodge Ram is allemaal wel grappig maar dit gaat echt richting cover-your-ass mode...
En dat gaat niet werken.
Wanneer je continue jezelf moet gaan indekken omdat je klant of je leverancier hier misbruik van gaat maken dan ben je toch geen klant en leverancier, dan ben je teek en parasiet.

Zeker in omgevingen waarin een leverancier een nul-meting doet (bij de start van de overeenkomst) zul je een basis lijn moeten opstellen...

#1 wat gaan we doen
#2 wat is het uiteindelijke doel en wanneer gaan we daar komen
#3 wat is daarvoor nodig en wie gaat wat daarvoor leveren.

Heel vaak zie ik dat bedrijven de adviezen NIET opvolgen van de leverancier, door gemakzucht, door incompetentie en heel soms omdat het niet kan... En deze toko's stellen dan wel de leverancier aansprakelijk als er iets mis gaat...

Of bedrijven bouwen zelf iets nieuws en stellen daar de leverancier niet van op de hoogte.. Stel, hang een Windows Server aan internet met RDP zodat de accountant ook thuis (lees spanje) kan werken... En dan de leverancier aansprakelijk stellen omdat de beveiliging niet op orde was. Oja, ze hadden ook nog de antivirus uitgezet op die server omdat het download tooltje van de accountant anders niet werkte....
Of als het al enigszin professioneler zou gaan, een VPN oplossing die al 6 jaar geen updates gehad heeft omdat er altijd wel iemand op werkt en het niet uit kan om te updaten... En bovendien moet je al die clients ook nog updaten, en misschien werkt het dan wel niet meer op Windows 95...
21-06-2022, 10:27 door Saph
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Dat is hier duidelijk de mens, een opeenstappeling van fouten.
21-06-2022, 10:32 door Anoniem
claim cultuur uit VS is nu 100% actief in nederland... wanneer komen de bordjes "u kunt misselijk worden in de draaimolen' en stop de natte hond niet in de magnetron?

Dit is geen claim cultuur. Dit is een terechte vordering. Enkel moet je als klant wel luisteren naar de rechter om de vordering toegewezen te krijgen. Ja, een IT leverancier heeft verantwoordelijkheden richting klant en dient zijn taken professioneel uit te voeren. Daarvoor vragen ze ook zakelijke tarieven.
21-06-2022, 10:33 door Anoniem
Wat ontbreekt in dit artikel is of er uberhaupt in enige vorm afspraken waren gemaakt over die back-up. Nog even los van het feit wáár het gebeuren is binnengekomen: als je laatste back-up een jaar oud is, vraag ik mij af of de verantwoordelijke (de stichting zelf) of de uitvoerende (het IT-bedrijf) tekort is geschoten?

Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?

Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
21-06-2022, 14:56 door Anoniem

Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
Precies mijn punt.
21-06-2022, 16:34 door Anoniem
Door Anoniem:
Wat ontbreekt in dit artikel is of er uberhaupt in enige vorm afspraken waren gemaakt over die back-up. Nog even los van het feit wáár het gebeuren is binnengekomen: als je laatste back-up een jaar oud is, vraag ik mij af of de verantwoordelijke (de stichting zelf) of de uitvoerende (het IT-bedrijf) tekort is geschoten?

Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?

Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.

De gevallen die voor de rechter komen zijn natuurlijk nooit exact omschreven .

Als het klip en klaar in het contract staat zal een leverancier vaak wel schikken - en als het keihard en ondertekend NIET door de leverancier gedaan hoeft te worden zal een klant ook niet snel kansloos gaan procederen.

Dus dit soort zaken gaat over het grijze gebied tussen wat "van een professionele partij verwacht mag worden", en de mate van indringendheid waarin de klant bewust gemaakt is van het NIET afnemen van een bepaalde dienst (zoals inrichten van backups,of AV).
Ook bij een zakelijke klant wordt van de professionele partij (IT bedrijf) wat meer zorgplicht verwacht.
Gewoon 'mag verwacht worden dat de klant zich dat zelf realiseert' werkt niet helemaal .

Zo'n grijs geval is eerder toegewezen https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124

Ik neem aan dat dat de reden was voor deze stichting en d'r advocaat om het ook te proberen.
21-06-2022, 17:25 door karma4
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Kletskoek. In het artikel staat dat de it leverancier backups had moeten maken. Dan gaat het over elders opgestelde servers,
zeer waarschijnlijk linux.

Dan is de gatenkaas linux in jouw ogen het kwaad.
Vernoedelijk is linux wel de schuldige door de fanatici die zeggen dat een backup dan wel een dr plan met linux niet nodig zou zijn.
Gezien de reactie van die stichting ligt dat voor de hand
22-06-2022, 19:34 door walmare
[Verwijderd door moderator]
23-06-2022, 19:00 door Anoniem
Door Anoniem: Wat ontbreekt in dit artikel is of er uberhaupt in enige vorm afspraken waren gemaakt over die back-up. Nog even los van het feit wáár het gebeuren is binnengekomen: als je laatste back-up een jaar oud is, vraag ik mij af of de verantwoordelijke (de stichting zelf) of de uitvoerende (het IT-bedrijf) tekort is geschoten?

Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?

Ik ben werkzaam in de informatiebeveiliging in het MKB en zie erg vaak dat de klant in kwestie totaal zijn vraag niet weet te formuleren of zelfs een degelijk aanbod van een IT dienstverlener (zoals een back-up dienst) opzij schuift, omdat ze deze niet begrijpen, niet op waarde kunnen schatten of het gewoon te duur vinden en het risico niet zien als ze het niet doen.

Een IT leverancier mag geen backups maken van bedrijfsgegevens als dat niet is overeengekomen. Doet deze dat wel, dan is dit trouwens een GDPR overtreding al er persoonlijke data mee gemoeid is.
Ook in cloud omgevingen is standaard de klant zelf verantwoordelijk is voor de data (waaronder backups) en niet de cloud leverancier, tenzij anders overeengekomen.
23-06-2022, 19:03 door Anoniem
Door Anoniem:
Wat ontbreekt in dit artikel is of er uberhaupt in enige vorm afspraken waren gemaakt over die back-up. Nog even los van het feit wáár het gebeuren is binnengekomen: als je laatste back-up een jaar oud is, vraag ik mij af of de verantwoordelijke (de stichting zelf) of de uitvoerende (het IT-bedrijf) tekort is geschoten?

Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?

Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.

De dienstverlener heeft zorgplicht over de dienst(en) die geleverd worden, niet over andere zaken.
Backups zijn standaard de verantwoordelijkheid van de klant, ook bij cloud.
Dus geen afspraken omtrent backups? Niet de zorg voor de dienstverlener!
23-06-2022, 20:19 door Anoniem
Door karma4:
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Kletskoek. In het artikel staat dat de it leverancier backups had moeten maken. Dan gaat het over elders opgestelde servers,
zeer waarschijnlijk linux.

Terecht vonnis.

In het vonnis staat letterlijk dat de IT leverancier wel degelijk backups maakte volgens de afspraken, maar dat de data niet op de afgesproken plaats werd opgeslagen.
Men heeft dan de IT leverancier proberen aansprakelijk te stellen omdat men vond dat de IT leverancier ook backups moest maken van de volledige systemen. Dus meer dan overeengekomen.
Het is de stichting zelf die de afspraken niet is nagekomen.

Als ik met iemand afspreek om mijn vloer te poetsen, moet ik ook niet gaan klagen dat mijn ramen niet gewassen zijn...
23-06-2022, 21:36 door Anoniem
Door Anoniem:
Door karma4:
Door walmare: 1 ding weten we wel. De grote gemene deler is windows!
Kletskoek. In het artikel staat dat de it leverancier backups had moeten maken. Dan gaat het over elders opgestelde servers,
zeer waarschijnlijk linux.

Terecht vonnis.

In het vonnis staat letterlijk dat de IT leverancier wel degelijk backups maakte volgens de afspraken, maar dat de data niet op de afgesproken plaats werd opgeslagen.
Men heeft dan de IT leverancier proberen aansprakelijk te stellen omdat men vond dat de IT leverancier ook backups moest maken van de volledige systemen. Dus meer dan overeengekomen.
Het is de stichting zelf die de afspraken niet is nagekomen.

Als ik met iemand afspreek om mijn vloer te poetsen, moet ik ook niet gaan klagen dat mijn ramen niet gewassen zijn...
Wat een laag denkniveau. De ransomware heeft niets met de backup te maken. Met een backup restore je alleen maar wat de ransomware heeft vernietigd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.