IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Gepubliceerd op 9 juni 2020 om 12:22

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Nieuw netwerk en onderhouden

De uitspraak werd al in november 2018 gedaan, maar is pas nu openbaar geworden. De zaak was aangespannen door het Hilversumse administratiekantoor O'Cliance. Het kantoor had het niet nader genoemde it-bedrijf in 2009 de opdracht gegeven om een nieuw netwerk te installeren en onderhouden. Begin 2017 werd O'Cliance getroffen door een ransomware-aanval, waarbij alle bestanden op de server werden versleuteld, waaronder ook de back-upbestanden.

Zwak RDP-wachtwoord

Uit onderzoek van een extern adviesbureau bleek dat de aanvallers via een zwak RDP-wachtwoord op de server hadden kunnen inloggen. Tevens stelde het adviesbureau dat de back-upvoorzieningen niet op de juiste manier waren geregeld, waardoor het administratiekantoor uiteindelijk 2890 euro aan de criminelen moest betalen om de bestanden te ontsleutelen.

Gehandeld in strijd met zorgplicht

Na de ransomware-aanval voerde het it-bedrijf herstelwerkzaamheden uit, waarvoor het meer dan 6.800 euro bij het administratiekantoor in rekening bracht. O'Cliance besloot de factuur niet te betalen. Tevens stapte het naar de rechter omdat het vond dat het it-bedrijf te kort was geschoten in het nakomen van de gemaakte afspraken, er was gehandeld in strijd met de zorgplicht en er een onrechtmatige daad was gepleegd door een beroepsfout te maken. Het administratiekantoor eiste een schadevergoeding van ruim 42.000 euro en het betalen van 7.200 euro aan buitengerechtelijke kosten.

Volgens O'Cliance was ook de beveiliging onderdeel van de opdracht om een nieuw netwerk aan te leggen en beheren. Door de tekort schietende beveiliging kon de aanval plaatsvinden en had het kantoor schade geleden, wat het it-bedrijf moest vergoeden, aldus de eis van O'Cliance. Het it-bedrijf diende een tegenvordering in dat O'Cliance de uitgevoerde herstelwerkzaamheden moest betalen.

Volgens rechter beveiliging onderdeel van opdracht

Hoewel er niets op papier stond over het beveiligen van het netwerk mocht O'Cliance er volgens de rechter vanuit gaan dat de beveiliging ook onderdeel van de opdracht was. Het it-bedrijf stelde dat het beveiligingsmaatregelen had voorgesteld, maar dat die allemaal door het administratiekantoor werden afgewezen. Zo zouden het voorstel voor een firewall zijn afgewezen en wilde O'Cliance niet met back-ups op roulerende externe schijven werken. Daarnaast had het it-bedrijf "complexe wachtwoorden" ingesteld, maar werden die op verzoek van de klant vereenvoudigd.

De rechter stelt dat door het netwerk zonder firewall en zonder externe back-ups aan te leggen het it-bedrijf deze opdracht niet naar behoren heeft uitgevoerd. Dat O'Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen maakt hier geen verschil in. Het it-bedrijf had de opdracht dan moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico's van het achterwege laten van een firewall en externe back-upstructuur, aldus het vonnis.

Vereenvoudigen wachtwoorden

"Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance", aldus de rechter. Die stelde wel dat het administratiekantoor verantwoordelijk is voor het vereenvoudigen van de wachtwoorden, waardoor de aanvallers mede konden binnendringen. Dit deel van de aanval komt dan ook voor rekening van O'Cliance, zo stelt de rechter.

Beide partijen schuldig

De rechter komt uiteindelijk tot het oordeel dat beide partijen schuldig zijn aan "het lek in de beveiliging". Gelet op de mate waarin elk van de partijen aan de schade heeft bijgedragen stelt de rechter dat het it-bedrijf tweederde van de schade moet vergoeden. De totale schade, waaronder het externe onderzoek van 4.400 euro, wordt vastgesteld op 15.400 euro. Dat houdt in dat het it-bedrijf meer dan 10.000 euro moet betalen. Daarnaast moet het it-bedrijf ook de proceskosten van O'Cliance van 3.100 euro betalen.

Het it-bedrijf had een tegenvordering ingesteld, omdat het wilde dat het administratiekantoor de uitgevoerde herstelwerkzaamheden betaalde. Daarover zegt de rechtbank dat het it-bedrijf aansprakelijk is voor de schade van O’Cliance en verplicht was om de schade van zijn handelen zoveel mogelijk te beperken. Dat het kantoor een eigen aandeel heeft in het ontstaan van de schade doet hier niet aan af, zo staat in het vonnis te lezen. Wel moet O'Cliance de server, die als onderdeel van het herstelwerkzaamheden werd neergezet, teruggeven.

ECLI NL RBAMS 2018 10124
PDF – 143,4 KB 450 downloads

Ransomware gerelateerde artikelen