It-bedrijf niet aansprakelijk voor gevolgen ransomware-aanval op Haagse stichting
Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. De stichting wilde geen deskundigenonderzoek laten uitvoeren, waardoor de rechter niet kan vaststellen of het it-bedrijf aansprakelijk is voor het zich voordoen van de ransomware-aanval.
De stichting was sinds 2013 klant bij het it-bedrijf. Op 12 april 2018 raakte één van de systemen van de stichting besmet met ransomware, waardoor het systeem onbruikbaar werd en de bedrijfsvoering van de stichting in zijn geheel kwam stil te liggen. Er bleek alleen nog een back-up van juli 2017 beschikbaar, waardoor de stichting veel data kwijt was, alsmede allerlei programmatuur die het door een softwarebedrijf had laten ontwikkelen.
De stichting liet een onderzoek naar de ransomware-aanval uitvoeren. Daaruit kwam naar voren dat die waarschijnlijk via Teamviewer heeft plaatsgevonden. Door beperkte logging-informatie kon dit echter niet met zekerheid worden vastgesteld. "Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ict-leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken", aldus het securitybedrijf dat het onderzoek uitvoerde.
Dat liet weten niet verbaasd te zijn dat er een ernstig verstorend incident zich heeft voorgedaan. "Gezien de huidige staat van de ict-omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau."
Back-ups
Volgens de stichting heeft de it-leverancier nagelaten om periodiek volledige back-ups te maken van de systemen van de stichting en de informatie binnen die systemen. Daarmee is het it-bedrijf tekort geschoten in het nakomen van haar verplichtingen uit de overeenkomst, aldus de aanklacht. Het it-bedrijf stelt dat de ransomware-infectie ook door een medewerker kan zijn ontstaan die een bijlage opende. Wat betreft het ontbreken van data in de back-ups reageerde het it-bedrijf dat dit kwam door het softwarebedrijf dat software voor de stichting ontwikkelde.
Deskundige
De rechtbank stelde vorig jaar augustus in een tussenvonnis dat het op basis van de stellingen van beide partijen niet kan bepalen wat de oorzaak van de ontbrekende data is. Daarom vroeg de rechtbank om het oordeel van een onafhankelijke deskundige. Die moest vaststellen wat de oorzaak is van het ontbreken van de gemaakte software en andere data in de back-ups van de stichting. Tevens moest de deskundige de oorzaak van de ransomwarebesmetting zien te achterhalen en welke rol de beveiliging van het ict-systeem van het it-bedrijf hierbij speelde. Pas met deze informatie zou de rechtbank tot een oordeel kunnen komen.
De stichting stelde dat het geen zin had om het deskundigeonderzoek uit te laten voeren, omdat de destijds bestaande ict-omgeving niet meer aanwezig is en dus ook niet kan worden onderzocht. Daarnaast liet de stichting weten dat in andere zaken er geen deskundige is ingeschakeld. Dat de stichting geen deskundigeonderzoek wil laten uitvoeren zorgt er echter voor dat de rechter naar eigen zeggen niet kan vaststellen dat het it-bedrijf tekort is geschoten in het nakomen van de verplichtingen.
De rechter besloot dan ook de vorderingen van de stichting, die zo'n 27.000 euro van het it-bedrijf eiste, af te wijzen. De stichting werd als verliezende partij uiteindelijk veroordeeld tot het betalen van de proceskosten van het it-bedrijf, die zo'n 4300 euro bedroegen.
Deze zaak heeft, vooral bij kleine IT bedrijven, voor behoorlijk wat ophef gezorgd. Nu ben ik daar aan de ene kant wel blij mee, want als IT leverancier / partner mag er ook van je verwacht wordt dat je weet wat je doet en het beste met de klant voor hebt.
Verantwoordelijk ben je nooit alleen, maar minstens met beide (of meerdere) betrokken partijen.
Nee, grootste gemene deler is mensen!
Ik ga me niet mengen in een inhoudelijke discussie over het al dan niet veilig zijn van WIndows. Maar de vorm van deze argumentatie is van het type: "Automatische wapens zijn niet gevaarlijk maar mensen die de trekker over halen". Dat is een oeverloze discussie.
Ondanks dat je mogelijk wel gelijk hebt...
Moet er wel aan toegevoegd worden dat misconfiguratie, niet de best practices opvolgen van inrichting, zeker mee speelt bij dit soort incidenten.
Om Ransomware te voorkomen, heeft Windows veel ingebouwde security features die je kan inschakelen.
Zoals:
- Geen local administrator (blijf 1 van de belangrijkste, maar meestal door gemakzucht niet wordt uitgeschakeld voor de gemiddelde gebruiker.)
- Windows 10/11 heeft Ransomware Protection, afhankelijk of je centraal aanbiedt of 1 werkplek wat de effort is om in te richten.
- Windows Defender Application Control (Whitelisten van applicaties, als te complex is kan je Applocker ook makkelijk gebruiken)
- ASR Rules
- Etc
Microsoft biedt zelfs op dit moment een gratis e-book ter beschikking wat allemaal op Windows Security gebied mogelijk is, deze is dan van Windows 11, maar kijk eens wat er al ingebouwd zit in het OS... (je moet het wel gebruiken uiteraard)
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE
Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?
Ik ben werkzaam in de informatiebeveiliging in het MKB en zie erg vaak dat de klant in kwestie totaal zijn vraag niet weet te formuleren of zelfs een degelijk aanbod van een IT dienstverlener (zoals een back-up dienst) opzij schuift, omdat ze deze niet begrijpen, niet op waarde kunnen schatten of het gewoon te duur vinden en het risico niet zien als ze het niet doen.
Zo'n fluff boterham spread, een Dodge Ram is allemaal wel grappig maar dit gaat echt richting cover-your-ass mode...
En dat gaat niet werken.
Wanneer je continue jezelf moet gaan indekken omdat je klant of je leverancier hier misbruik van gaat maken dan ben je toch geen klant en leverancier, dan ben je teek en parasiet.
Zeker in omgevingen waarin een leverancier een nul-meting doet (bij de start van de overeenkomst) zul je een basis lijn moeten opstellen...
#1 wat gaan we doen
#2 wat is het uiteindelijke doel en wanneer gaan we daar komen
#3 wat is daarvoor nodig en wie gaat wat daarvoor leveren.
Heel vaak zie ik dat bedrijven de adviezen NIET opvolgen van de leverancier, door gemakzucht, door incompetentie en heel soms omdat het niet kan... En deze toko's stellen dan wel de leverancier aansprakelijk als er iets mis gaat...
Of bedrijven bouwen zelf iets nieuws en stellen daar de leverancier niet van op de hoogte.. Stel, hang een Windows Server aan internet met RDP zodat de accountant ook thuis (lees spanje) kan werken... En dan de leverancier aansprakelijk stellen omdat de beveiliging niet op orde was. Oja, ze hadden ook nog de antivirus uitgezet op die server omdat het download tooltje van de accountant anders niet werkte....
Of als het al enigszin professioneler zou gaan, een VPN oplossing die al 6 jaar geen updates gehad heeft omdat er altijd wel iemand op werkt en het niet uit kan om te updaten... En bovendien moet je al die clients ook nog updaten, en misschien werkt het dan wel niet meer op Windows 95...
Dit is geen claim cultuur. Dit is een terechte vordering. Enkel moet je als klant wel luisteren naar de rechter om de vordering toegewezen te krijgen. Ja, een IT leverancier heeft verantwoordelijkheden richting klant en dient zijn taken professioneel uit te voeren. Daarvoor vragen ze ook zakelijke tarieven.
Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?
Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?
Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
De gevallen die voor de rechter komen zijn natuurlijk nooit exact omschreven .
Als het klip en klaar in het contract staat zal een leverancier vaak wel schikken - en als het keihard en ondertekend NIET door de leverancier gedaan hoeft te worden zal een klant ook niet snel kansloos gaan procederen.
Dus dit soort zaken gaat over het grijze gebied tussen wat "van een professionele partij verwacht mag worden", en de mate van indringendheid waarin de klant bewust gemaakt is van het NIET afnemen van een bepaalde dienst (zoals inrichten van backups,of AV).
Ook bij een zakelijke klant wordt van de professionele partij (IT bedrijf) wat meer zorgplicht verwacht.
Gewoon 'mag verwacht worden dat de klant zich dat zelf realiseert' werkt niet helemaal .
Zo'n grijs geval is eerder toegewezen https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124
Ik neem aan dat dat de reden was voor deze stichting en d'r advocaat om het ook te proberen.
zeer waarschijnlijk linux.
Dan is de gatenkaas linux in jouw ogen het kwaad.
Vernoedelijk is linux wel de schuldige door de fanatici die zeggen dat een backup dan wel een dr plan met linux niet nodig zou zijn.
Gezien de reactie van die stichting ligt dat voor de hand
Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?
Ik ben werkzaam in de informatiebeveiliging in het MKB en zie erg vaak dat de klant in kwestie totaal zijn vraag niet weet te formuleren of zelfs een degelijk aanbod van een IT dienstverlener (zoals een back-up dienst) opzij schuift, omdat ze deze niet begrijpen, niet op waarde kunnen schatten of het gewoon te duur vinden en het risico niet zien als ze het niet doen.
Een IT leverancier mag geen backups maken van bedrijfsgegevens als dat niet is overeengekomen. Doet deze dat wel, dan is dit trouwens een GDPR overtreding al er persoonlijke data mee gemoeid is.
Ook in cloud omgevingen is standaard de klant zelf verantwoordelijk is voor de data (waaronder backups) en niet de cloud leverancier, tenzij anders overeengekomen.
Natuurlijk heeft een IT dienstverlener enige zorgplicht, maar had de klant in dit geval zelf wel enig kader geschetst over hoe deze back-up moest verlopen? Of 'ging men er vanuit' dat het wel geregeld was?
Hangt nogal af van wat er contractueel overeen is gekomen. En wie verantwoordelijk is, voor het uitvoeren van de backups.
De dienstverlener heeft zorgplicht over de dienst(en) die geleverd worden, niet over andere zaken.
Backups zijn standaard de verantwoordelijkheid van de klant, ook bij cloud.
Dus geen afspraken omtrent backups? Niet de zorg voor de dienstverlener!
zeer waarschijnlijk linux.
Terecht vonnis.
In het vonnis staat letterlijk dat de IT leverancier wel degelijk backups maakte volgens de afspraken, maar dat de data niet op de afgesproken plaats werd opgeslagen.
Men heeft dan de IT leverancier proberen aansprakelijk te stellen omdat men vond dat de IT leverancier ook backups moest maken van de volledige systemen. Dus meer dan overeengekomen.
Het is de stichting zelf die de afspraken niet is nagekomen.
Als ik met iemand afspreek om mijn vloer te poetsen, moet ik ook niet gaan klagen dat mijn ramen niet gewassen zijn...
zeer waarschijnlijk linux.
Terecht vonnis.
In het vonnis staat letterlijk dat de IT leverancier wel degelijk backups maakte volgens de afspraken, maar dat de data niet op de afgesproken plaats werd opgeslagen.
Men heeft dan de IT leverancier proberen aansprakelijk te stellen omdat men vond dat de IT leverancier ook backups moest maken van de volledige systemen. Dus meer dan overeengekomen.
Het is de stichting zelf die de afspraken niet is nagekomen.
Als ik met iemand afspreek om mijn vloer te poetsen, moet ik ook niet gaan klagen dat mijn ramen niet gewassen zijn...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.