IT Bedrijven zullen nu echt hun beveiliging moeten verbeteren en duidelijk afspraken moeten maken. Een artikel in het FD deed veel stof opwaaien. De titel: ‘automatiseerders wacht een stortvloed aan claims om schade door hackers’. Wij begrijpen deze reactie wel, maar dit is natuurlijk niet de manier om dit aan te pakken. Wat nu?
Aanleiding voor dit artikel is een vonnis van een rechtszaak uit 2018. Deze uitslag van deze rechtzaak is recentelijk gepubliceerd. De gedaagde, een eenmans-IT bedrijf werd aansprakelijk gesteld voor schade veroorzaakt door een geslaagde ransomware aanval bij één van zijn klanten. De advocaat van het gedupeerde Klant, Anne-Wil Duthler, stelt in het artikel meer zaken onder haar hoede te hebben. Ook stelt ze dat deze zaak de opstap is naar het toekennen van meer schadevergoedingen door rechters. Wij verwachten dat wel mee zal vallen. Maar toch adviseren wij IT bedrijven wel actie te ondernemen. De vraag ‘waarom?’ zal misschien bij u opkomen.
Wij leggen het u graag uit
Helaas was er door de IT dienstverlener en de klant niets op papier gezet. Hoe en welke IT-dienstverlening er werd verricht was dus nergens schriftelijk vastgelegd. Daar gaat het al fout. Bij de introductie van de AVG wet is hier veel aandacht aan besteed, ‘zet zoveel mogelijk op papier’. Deze schriftelijke overeenkomst bevat de verplichtingen en verantwoordelijkheden over de IT werkzaamheden. Op deze manier is duidelijk wie waar voor verantwoordelijk voor is. Niet onbelangrijk, een dergelijke overeenkomst bevat ook een regime omtrent de beperking van de aansprakelijkheid van de IT Dienstverlener.
In deze zaak heeft de rechtbank gezien dat er op projectmatige basis een overeenkomst is afgesloten. Namelijk de opdracht tot het aanleggen van een netwerk, het moge duidelijk zijn dat iedereen ook een veilig netwerk wil, dus geen netwerk met beveiligingsgebreken. De uitkomst zal genuanceerder liggen als de overeenkomst kwalificeert als een dienst.
De rechtbank oordeelde op basis van de specifieke erkenningen van de IT-eenmanszaak (‘de gedaagde’), dat deze ‘wist’ dat het netwerk niet veilig was. Onderstaande quotes geven een duidelijk beeld dat de gedaagde wist dat er een aantal zaken niet op orde waren:
- De gedaagde betwist ‘niet zozeer dat de opdracht tevens de aanleg van de beveiliging inhield. Maar enkel dat gedaagde hier door toedoen van de eiser niet in is geslaagd.’
- De gedaagde heeft op de zitting bevestigd dat ‘het met een goede beveiliging (…) had kunnen maken. dat de hackers de aanval hadden afgebroken.’
- De gedaagde heeft erkend dat ‘als er externe back-ups waren gebruikt. Deze buiten het bereik van de ransomware waren gebleven’ en het administratiekantoor ‘haar activiteiten dan aanzienlijk sneller had kunnen oppakken, zonder de noodzaak om de betaling van bitcoins’.
Conclusie beveiliging
Tot slot bevat de uitspraak een vreemde conclusie. Uit het vonnis kwam naar voren dat partijen het eens zijn dat ‘te gemakkelijke wachtwoorden door een slechte beveiliging’ aan de basis hebben gestaan ‘van de gelegenheid voor een geslaagde ransomware-aanval’. Ook bleek dat deze wachtwoorden ‘op uitdrukkelijk verzoek’ van de klant zijn vereenvoudigd. Ook blijkt dat de klant zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich mee bracht. De rechtbank verdisconteert dit niet in de grond voor aansprakelijkheid, maar enkel in de verdeling van de schade. Simpelweg een vreemde insteek. Ook met betrekking tot de verdeelsleutel die de rechtbank hanteert is er een vreemde verdeling opgedoken. Namelijk 2/3 voor de IT’er en 1/3 voor het klant. Op zich geen gekke gedachte aangezien beide partijen hadden dit beter hadden kunnen oppakken, maar als de klant om een versimpeling vraagt dan had de rechter dit punt zwaarder mogen toerekenen aan het administratiekantoor. ‘Het succes’ van een ransomware-aanval begint immers bij het kraken van de in dit geval van de sterk vereenvoudigde wachtwoorden om binnen te kunnen dringen. Dan zou er een andere verdeelsleutel 2/3 voor de klant en 1/3 voor de IT-er eerlijker zijn.
Betalingen in Bitcoins
Over de betaling van de bitcoins is de rechter duidelijker: ‘Tussen partijen is niet in geschil dat [gedaagde] drie bitcoins ter waarde van €963,61 en daarmee een totaalbedrag van €2.890,83 heeft moeten betalen om haar bestanden terug te krijgen. Dit bedrag zal daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt’. De rechtbank onderbouwt dit verder niet in het vonnis, wat vreemd is. Immers zijn beide partijen gedeeltelijk schuldig ( via de verdeelsleutel). Of deze zaak nu een basis zal zijn voor andere gevallen valt nog te bezien. Wel is duidelijk geworden dat er consequenties zijn als er zonder overeenkomt er maar wat wordt gedaan. Dit kan uitmonden in een drama, welke tegen redelijke gemakkelijke oplossingen had kunnen worden voorkomen. Gemakkelijke oplossingen zijn backups en een goed beveiligings-(wachtwoord) beleid.
Optimale beveiliging
Tot slot de vraag: ‘gaat deze zaak een stortvloed aan claims triggeren’. Wij denken van niet. Het krijgen van een grote schadevergoeding is bepaald geen gelopen race, is mijn take. Ook niet met deze uitspraak in de hand. Wilt u meer weten hoe u uw bedrijf beter kunt beveiligen. Neem contact met ons op en wij helpen u graag.