3 juli 2020 in ICT & Privacy door Mr. Drs. J.C. (Jan-Kees) Karels

Acht vragen en antwoorden over ransomware

ICT & Privacy

Een aanval met ransomware: wie gaat dat betalen?


Het is de nachtmerrie van elk bedrijf: kwaadaardige software van cybercriminelen die bestanden op jouw netwerk versleutelt waardoor de bestanden niet meer te gebruiken zijn. Wie draait er voor de schade op? Acht vragen & antwoorden.


1.   Stel: een bedrijf wordt slachtoffer van ransomware. Kan dit bedrijf z’n IT-beheerder aansprakelijk stellen?

Ja, dat kan. Zo moest een IT-beheerder van de rechter meer dan 10.000 euro betalen aan een administratiekantoor omdat de IT-beveiliging niet goed was geregeld. Wel had het administratiekantoor een veel hoger bedrag van 42.000 euro geëist. De uitspraak is uit 2018 en pas vorige maand gepubliceerd op rechtspraak.nl.


2.   Waaruit bestaat zo’n claim?

Denk aan de volgende schadeposten:

  • Losgeld dat in bitcoins moet worden betaald.
  • Inhuren van een gespecialiseerd bedrijf die de aanval onderzoekt.
  • Omzetderving en personeelskosten voor de tijd dat het bedrijf stilligt.


3.   Een bedrijf is toch zelf verantwoordelijk voor de beveiliging van haar IT-systemen?

In principe wel natuurlijk, maar de discussie is hier waar de verantwoordelijkheid van de IT-partner begint. Genoemde uitspraak heeft veel pennen in beweging gebracht. Met allerlei interessante vergelijkingen: als jij (lees: het administratiekantoor) een fiets zonder slot wil kopen, dan is dat toch je eigen verantwoordelijkheid? Dan kun je vervolgens toch niet de fietsenmaker (lees: het IT-bedrijf) aansprakelijk stellen voor diefstal? Klinkt voor de hand liggend. Alleen is dan de volgende vraag of deze vergelijking opgaat voor ICT-infrastructuren.


4.   Waarom werd het IT-bedrijf in deze zaak veroordeeld?

Het IT-bedrijf zou in opdracht van het administratiekantoor een ‘volledige IT-infrastructuur’ aanleggen. Het conflict gaat over de vraag of de beveiliging van de systemen ook bij dit totaalpakket hoort. Het kantoor zegt van wel, de IT-beheerder ontkent. Ook de rechter is van mening dat in dit geval de adequate beveiliging bij het totaalpakket hoort. En omdat de IT-beheerder het netwerk heeft aangelegd zonder firewall en zonder externe back-ups, vindt de rechter dat deze opdracht niet naar behoren is uitgevoerd.

 

5.   Moet het IT-bedrijf de volledige schade vergoeden?

Nee. De schade wordt uiteindelijk begroot op ruim 15.000 euro. Daarvan moet de IT-beheerder twee derde deel betalen, en het administratiekantoor een derde. De rechter vindt namelijk dat ook het kantoor schuld heeft. Het kantoor heeft immers, tegen uitdrukkelijk advies van de IT-beheerder in, gemakkelijke wachtwoorden gebruikt en zo bijgedragen aan de gebrekkige beveiliging.


6.   Wat kan een IT-bedrijf uit deze uitspraak leren?

  • Partijen hebben geen afspraken op schrift gesteld, constateert de rechter. Dat is dus een eerste les, een open deur weliswaar, maar toch: leg afspraken over de dienstverlening schriftelijk én specifiek vast. Vanuit het IT-bedrijf kan een Service Level Agreement (SLA) daarbij goede diensten bewijzen.
  • Je adviseert als IT-bedrijf je klant bepaalde maatregelen te nemen, zoals externe back-ups, twee-factor-authenticatie of het gebruik van sterke wachtwoorden. Klant heeft daar geen zin in of vindt het allemaal te duur? Waarschuw dan expliciet voor de risico’s, geef aan wat er mis kan gaan, en leg ook die waarschuwingen vast.
  • Is het beveiligingsrisico echt te groot en kun je er als IT-dienstverlener niet voor instaan, geef dan de opdracht terug.

 

7.   Wat kunnen klanten van IT-bedrijven van deze uitspraak leren?

  • Eerste bullet onder vraag zes is ook hier van toepassing: neem geen genoegen met mondelinge of onduidelijke schriftelijke toezeggingen.
  • Laat je goed adviseren door jouw IT-partner en neem de maatregelen die nodig zijn om een aanval met ransomware te beperken.
  • Het gaat om een combinatie van technische maatregelen én het gedrag van je medewerkers. Je kunt een goede firewall hebben, maar als je zwakke wachtwoorden (hallo123) gebruikt of twee factor authenticatie 'maar lastig' vindt, is jouw bedrijf onvoldoende beveiligd.
  • Gebruik in plaats van wachtwoorden wachtzinnen: makkelijk te onthouden, en door de langere reeks tekens minder snel te hacken. Bijvoorbeeld deze wachtzin van 26 tekens: Elkeavondlaatikdehonduit9! Tja, even typen, maar veiligheid mag wat moeite kosten, toch?


8.   Gaan IT-bedrijven een golf aan claims tegemoet zien?

De advocaat die het administratiekantoor bijstond waarschuwt in een artikel in het Financiële Dagblad voor meer en hogere claims. Anderen juristen zoals Arnoud Engelfriet zeggen: één zwaluw maakt nog geen zomer, niks stortvloed aan claims. Een zeker woord valt daarover nog niet te zeggen. Wat je alvast wel kunt doen als IT-bedrijf én als klant: neem de juiste maatregelen en leg deze duidelijk vast.

 

Wilt u advies over ICT-recht of hulp bij het opstellen van een Service Level Agreement, neem dan contact op met Jan-Kees Karels, j.c.karels@wolleswinkel.nl

Acht vragen en antwoorden over ransomware

Mr. Drs. J.C. (Jan-Kees) Karels
Advocaat


Stuur een mail 0342 491 028