Een ict-dienstverlener uit Coevorden is aansprakelijk voor de schade die een ransomware-aanval bij een klant veroorzaakte, zo heeft de rechtbank Noord-Nederland geoordeeld. Het ict-bedrijf verzorgde het netwerkbeheer voor de klant, die in oktober 2019 door een ransomware-aanval werd getroffen. Hierbij werden bestanden op systemen alsmede de back-ups versleuteld. De klant heeft de aanvallers geen losgeld betaald.

Volgens de klant was de ransomware-aanval mogelijk door zes risicofactoren: RDP-poorten stonden open; er werd geen ip-adres whitelisting toegepast; de wachtwoorden die het ict-bedrijf gebruikte voor het uitvoeren van het beheer voor de servers waren één en dezelfde en bovendien gemakkelijk te achterhalen; er was geen netwerksegmentatie toegepast; updates van servers waren niet doorgevoerd; en een server die al jaren buiten service was en niet meer werd gebruikt, was niet uitgezet, maar hing nog steeds onbeveiligd aan het internet.

De klant liet onderzoek naar de ransomware-aanval uitvoeren, maar er kon niet worden achterhaald hoe de aanvallers toegang tot het netwerk hadden gekregen. Hoe de aanvallers het netwerk konden binnendringen kan volgens de rechter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-ups versleuteld werden. "Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen", aldus de rechter.

De rechtbank is van oordeel dat het ict-bedrijf toerekenbaar tekort is geschoten in haar verplichtingen uit de netwerkbeheerovereenkomst door de klant niet in duidelijke bewoordingen te wijzen op het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-upvoorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande beveiligingsrisico’s. Het ict-bedrijf is dan ook aansprakelijk voor de schade die de klant als gevolg van deze tekortkoming heeft geleden, aldus de rechter.

De klant eiste dat het ict-bedrijf vergoedingen van bij elkaar één miljoen euro zou betalen. Het ict-bedrijf stelde dat de aansprakelijkheid is beperkt tot vijftigduizend euro. De rechter gaat niet mee in de eis van de klant. Zo komen de kosten van forensisch onderzoek en mitigatie niet voor schadevergoeding in aanmerking en zijn de door de klant genoemde schadebedragen niet zodanig disproportioneel dat hierdoor een beroep op de aansprakelijkheidsbeperking onaanvaardbaar zou zijn. De rechter wijst de vordering van de klant dan ook toe tot een bedrag van vijftigduizend euro.