Pas recent werd duidelijk dat een rechter in 2018 een vonnis heeft gewezen waarin een IT-dienstverlener de kosten grotendeels moest vergoeden die het gevolg waren van schade door een ransomware infectie. In de dagen nadat het vonnis bekend werd ontstonden verschillende discussies op LinkedIn en sites als Security.nl. De meningen liepen sterk uiteen: voor sommigen was het een onbegrijpelijke uitspraak, anderen verzuchtten dat er nu eindelijk eens opgetreden werd.
Wat was er aan de hand? Doordat er op afstand op een RDP-server ingelogd kon worden met eenvoudig te achterhalen credentials, is het de criminelen gelukt om ransomware in het netwerk actief te maken, waardoor bestanden onbeschikbaar werden. De back-up voorzieningen waren niet afdoende ingericht waardoor de klant zich genoodzaakt voelde om bitcoins te betalen om de bestanden weer terug te krijgen. Omdat de partijen in de ogen van de rechter beiden schuldig zijn aan het ontstaan van deze situatie, heeft de rechter geoordeeld dat de IT-dienstverlener twee derde van de financiële schade voor zijn rekening moest nemen. Deze kosten voor onderzoek en herstel worden daarnaast nog verhoogd omdat de IT- dienstverlener ook de proceskosten van zijn klant moet vergoeden.
Zorgplicht IT-dienstverlener
Wat de uitspraak mede interessant maakt, is dat de rechter een uitspraak gedaan heeft die deels gebaseerd is op de zorgplicht die een IT-dienstverlener heeft en de verwachtingen die een klant ten aanzien van informatiebeveiliging mag hebben. Ondanks dat er geen wettelijke verplichtingen zijn, mag een klant wel een bepaald basisniveau van beveiliging van zijn IT-dienstverlener verwachten. Saillant detail is dat de IT-dienstverlener wel heeft aangegeven bij zijn klant dat er zwakke wachtwoorden gebruikt werden. Maar omdat men dat onhandig vond, koos de klant ervoor deze niet sterker te maken. De rechter verwijt de IT-dienstverlener dat hij niet meer indringend en herhaaldelijk gewaarschuwd heeft. De rechter stelde ook dat de IT-dienstverlener de opdracht had kunnen weigeren omdat het simpelweg niet mogelijk was om een nieuw netwerk aan te leggen en te beheren dat aan de basisveiligheid eisen voldoet.
Precedent geschapen?
Wat ikzelf interessant vind aan deze zaak is, dat een IT-dienstverlener aansprakelijk gesteld is voor schade, terwijl de klant de IT-middelen niet veilig genoeg gebruikt heeft. Volgens de rechter mag een klant een bepaald basisniveau van beveiliging verwachten van zijn IT- dienstverlener en is het de plicht van de IT-dienstverlener om de klant indringend en herhaaldelijk te waarschuwen wanneer hij beveiligingsadviezen niet opvolgt.
Het voelt een beetje alsof een autoverkoper niet alleen moet controleren dat een klant een rijbewijs heeft, maar ook herhaaldelijk moet benadrukken dat hij niet te hard moet rijden, niet te veel alcohol moet drinken en om zijn verlichting moet denken. Tegelijkertijd vind ik het een positieve ontwikkeling dat IT-dienstverleners meer zorg gaan dragen voor hun klanten. Elk bedrijf is tegenwoordig een automatiseringsbedrijf; zonder IT staat alles stil. En laten de meeste klanten nou weinig tot geen verstand hebben van IT, anders hadden ze de IT-dienstverlener helemaal niet nodig, toch?
De metafoor met de auto gaat hier dan weer op. Als automobilist vind je het heel normaal dat je met een geldig rijbewijs de weg op gaat, dat je verzekerd bent en dat je je auto regelmatig laat onder- houden en APK-keuren.
Wetgeving en brancherichtlijnen
Belangrijk detail is echter wel dat er veel wetgeving is rondom autorijden. Zonder rijbewijs of APK-keuring mag je niet eens de weg op. Bij het gebruik van IT-middelen en afnemen van IT-diensten is deze wetgeving er nog niet. Maar die zit er wel aan te komen. Er ligt namelijk een wetsvoorstel op Europees niveau klaar met de naam: Uitvoeringswet Cyberbeveiligingsverordening. Deze verordening biedt een Europees kader voor cyberbeveiligingscertificering voor ICT-producten, ICT-diensten en ICT-processen die gelden in de hele EU. Hoewel de certificering in beginsel nog vrijwillig is, verwacht ik wel dat afnemers steeds meer naar dit certificaat zullen gaan vragen, net zoals gebeurd is met de ISO 27001. Zodra het certificaat vaak genoeg verlangd wordt, zullen steeds meer rechters van mening zijn dat het voldoen aan bepaalde standaarden simpelweg van de IT- dienstverlener verwacht mag worden, ondanks dat het misschien nog geen geldende wetgeving is.
Risicobeheersing
Ook voor de IT-dienstverleners die het MKB bedienen geldt dat zij hun eigen risicobeheersing steeds beter op orde moeten krijgen, willen ze ongeschonden door juridische procedures komen. Dit zal helaas wel als gevolg hebben dat IT-dienstverleners nog meer tijd kwijt zijn aan het administreren en minder tijd overhouden voor daadwerkelijk ondersteunen van hun klanten. Wat dit met de tarieven gaat doen zal de tijd uitwijzen, maar ik verwacht dat IT-dienstverleners alleen kunnen overleven door nauw samen te gaan werken met andere IT- dienstverleners of zich over te laten nemen door een grotere partij.
Binnen Cyberveilig Nederland wordt ook nagedacht over het borgen van kwaliteit door informatiebeveiligers. Welke kwaliteit mag een klant verwachten van een bij de branchevereniging aangesloten bedrijf? Ik zou de IT-dienstverleners willen adviseren om die ontwikkeling nauwlettend in de gaten te houden. Informatiebeveiliging is niet alleen een essentieel element binnen hun dienstverlening, deze component zal in de komende jaren alleen maar zwaarder gaan wegen.
Referenties
-
[1] Bron: https://uitspraken.rechtspraak.nl/inziendocument?id=- ECLI:NL:RBAMS:2018:10124
-
[2] Bron: www.security.nl/posting/660081/It- bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden
-
[3] Bron: www.internetconsultatie.nl/uitvoeringswetcyberbeveiligingsverordening
-
[4] Bron: https://cyberveilignederland.nl/kwaliteit-transparantie/
Dit artikel werd eerder gepubliceerd in IB Magazine 5 2020, https://www.pvib.nl.
Bron: Jan Martijn Broekhof MBA