It-leverancier zelf aansprakelijk voor schade door gehackte Azure-omgeving
Een Friese it-leverancier is zelf aansprakelijk voor de meer dan 800.000 euro schade die het gevolg is van een gehackte Azure-omgeving, zo heeft de rechtbank Noord-Nederland geoordeeld. De uitspraak werd eind vorig jaar gedaan, maar is nu pas openbaar geworden. De Friese it-leverancier richt zich op mkb-bedrijven en maakt daarbij gebruik van de clouddiensten van Microsoft. Deze diensten neemt het niet direct af bij Microsoft, maar bij een ict-distributeur.
De kosten voor het gebruik van de Azure-clouddiensten worden steeds achteraf in rekening gebracht. Microsoft brengt de kosten in rekening bij de ict-distributeur, die deze kosten in rekening brengt bij de zogenaamde "resellers", zoals de Friese it-leverancier. Die brengt de kosten op haar beurt in rekening bij de eindgebruikers. In 2020 mailde de ict-distributeur dat Microsoft allerlei beveiligingsmaatregelen ging verplichten en het gebruik van multifactorauthenticatie (MFA) voor beheerders moest worden ingesteld. MFA wordt sinds oktober 2022 standaard door Microsoft ingeschakeld op Azure-omgevingen.
Op 21 augustus 2021 heeft de Friese it-leverancier Microsoft Azure-diensten besteld voor een niet nader genoemde klant. Op 7 november 2022 detecteerde de ict-distributeur een ongebruikelijk hoog dataverbruik binnen het cloudplatform van deze klant, waarop de ict-distributeur de Friese it-leverancier waarschuwde. Het verbruik zorgde voor een kostenpost van 22.000 euro per dag.
Cryptominer
Een cybercrimineel had ingebroken op de cloudomgeving van de klant en daar zo'n zestig cloudservers aangemaakt voor het minen van cryptovaluta. Deze servers hebben vijf weken op de hoogste capaciteit gedraaid. Uit onderzoek bleek dat MFA voor toegang tot de Azure-omgeving van de klant door de Friese it-leverancier was uitgeschakeld. Daardoor kon de aanvaller op de omgeving inbreken en fors meer clouddiensten verbruiken.Dit resulteerde in een bedrag van honderdduizenden euro's. Uiteindelijk aanvaarde de ict-distributeur een betalingsvoorstel van de Friese it-leverancier van 178.000 euro in zijn geheel en een bedrag van 686.000 euro in delen. De totale schade komt daarmee uit op 864.000 euro. De Friese it-leverancier heeft als onderdeel van de betalingsregeling al 300.000 euro betaald.
De Friese it-leverancier had een verzekering, maar die bleek dit misbruik niet te dekken. Het bedrijf stapte naar de rechter en eiste een aantal zaken. Zo moest de rechter verklaren dat de Friese it-leverancier niet aansprakelijk is voor de schade, de getroffen betalingsregeling met de ict-distributeur vernietigen, de ict-distributeur de al betaalde 300.000 euro laten terugbetalen en de verzekeraar voor de schade van 864.000 euro laten opdraaien.
Volgens de Friese it-leverancier heeft de ict-distributeur haar zorgplicht geschonden door het bedrijf onvoldoende te wijzen op het inschakelen van MFA. Daarnaast stelt de leverancier dat de distributeur haar contractuele verplichting om te monitoren heeft geschonden. Volgens de leverancier had de distributeur eerder melding moeten maken over de onregelmatigheden op het cloudplatform van de klant. Daardoor kon het onrechtmatig gebruik veel langer doorgaan, met grote schade tot gevolg.
Oordeel
De rechter oordeelt dat de ict-distributeur haar zorgplicht niet heeft geschonden. De Friese it-leverancier werd geruime tijd voor de hack al gemaild over MFA en dat Microsoft deze beveiligingsvereisten verplichtte. Volgens de rechter had de it-leverancier op basis van de eerder verstuurde e-mail MFA actief moeten inschakelen. Ook heeft de distributeur haar zorgplicht niet geschonden met betrekking tot het monitoren. Toen Microsoft de distributeur belde, werd dezelfde dag nog de it-leverancier ingelicht.Daarnaast is de ict-distributeur een "Indirect Provider" van Microsoft-clouddiensten, die niet de tools of de middelen heeft om zelf te monitoren en in te grijpen. De rechter stelt dan ook dat de Friese it-leverancier richting haar eindgebruikers zelf verantwoordelijk is voor het it-beheer van de accounts van haar eindgebruikers, waaronder de instandhouding van de juiste beveiligingsmaatregelen.
De rechter komt tot de slotsom dat de Friese it-leverancier zelf aansprakelijk is voor de schade die het gevolg is van de hack, die volgens de rechter hoogstwaarschijnlijk kon plaatsvinden doordat de it-leverancier MFA niet had ingeschakeld. Het bedrijf moet dan ook zelf voor de schade opdraaien. Ook de andere vorderingen wijst de rechter af. Als verliezende partij moet de Friese it-leverancier ook de proceskosten van de andere partijen betalen, die op zo'n 39.000 euro uitkomen.
Minen van crypto kost koelwater en rekenkracht, net zoals de beruchte "speelgoedgeld" memecoins van Trump ea en AI.
Heel vreemd dat de uitspraak nu pas openbaar wordt gemaakt, en ik heb nergens van de hand van een automatiseringsjournalist gelezen dat deze zaak speelde.
Iemand hier?
Wordt tijd dat media automatiserigsjournalisten in dienst neemt om verslag vanuit rechtbanken te gaan twitteren.
Ik zou wel een perskaart willen om dit soort zaken te gaan volgen, en desnoods over te gaan bloggen.
On premise en nergens anders.
Minen van crypto kost koelwater en rekenkracht, net zoals de beruchte "speelgoedgeld" memecoins van Trump ea en AI.
Moet natuurlijk weer aan Trump haat gekoppeld worden .
Zeker vergeten dat het hele cryptocoin gebeuren gestart is door de hacktivisten/privacy fanatiekelingen en altijd een anarchistisch trekje had . Geen toeval dat PGP developers vroeg in de bitcoin development zaten.
Kortom - precies de tegenstelling van alles wat Trump verweten wordt.
Heel vreemd dat de uitspraak nu pas openbaar wordt gemaakt, en ik heb nergens van de hand van een automatiseringsjournalist gelezen dat deze zaak speelde.
Waarom zou het groot nieuws zijn ?
Gewoon schade/aansprakelijkheidszaak tussen twee bedrijven , het IT aspect is vrij secundair , maar dat vinden we hier nou eenmaal boeiend.
Ik zou wel een perskaart willen om dit soort zaken te gaan volgen, en desnoods over te gaan bloggen.
Waarom denk je dat dat nodig is ? Journalisten zijn totaal niet bijzonder.
Rechtzaken zijn openbaar voor iedereen , met een paar uitzonderingen (kinder/zeden zaken) . Gewoon aanschuiven en bloggen maar als je dat wilt. Of vonnissen lezen en bloggen.
On premise en nergens anders.
Vertel eens of je uberhaupt ergens iets te beslissen hebt ?
Des te gekker dat de uitspraak pas onlangs gepubliceerd is.
ict leverancier (die het niet snapt) en ict distribiteur (die niet de tools of de middelen heeft om zelf te monitoren en in te grijpen) ertussen, mag wat kosten blijkbaar.
On premise en nergens anders.
Dat we geen investeringen mochten doen, dus geen hardware mochten komen ivm de jaarafsluiting (of het boekjaar).
Dat de cashflow het net niet even aankon.
Laatst in Azure een server van 64CPU's en 256Gb memory, naar 128CPU's en 512Gb gedaan. Koste mij letterlijk geen euro investering of desinvestering en ik deed het binnen een paar minuten, voor 5 servers. Nu jij weer......
Je kan trouwens ook vooruit betalen als je dat wilt, of een commitment voor gebruikt afnemen.
[...]
Volgens de Friese it-leverancier heeft de ict-distributeur haar zorgplicht geschonden door het bedrijf onvoldoende te wijzen op het inschakelen van MFA
Hun naam staat in het vonnis en hun website geeft aan dat het een bedrijf van 20 mensen is, die lang niet allemaal ICT-specialisten zijn en met maar één security-specialist. Enerzijds snap ik dat als in zo'n klein team iemand steken laat vallen de capaciteit om dat op te merken en op te vangen beperkt is, zeker als ze het al druk hebben met wat er dagelijks op ze afkomt. Anderzijds hadden ze die acht ton die het ze nu kost beter kunnen besteden aan extra capaciteit om dit soort ongelukken te voorkomen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?