Categorie op Overig

Corona: 1 op 3 bedrijven had geen continuïteitsplan

Ruim een derde van de Nederlandse organisaties ging volledig onvoorbereid de coronacrisis in. Ze beschikten over geen enkel bedrijfcontinuïteitsplan om de belangrijkste processen voort te zetten in een crisissituatie. Nog eens zeventien procent weet niet zeker of er intern zo’n plan lag. Dat blijkt uit onderzoek van Capterra.

Software-adviesbureau Capterra vroeg ruim tweeduizend senior managers, bedrijfsleiders en eigenaren van mkb-organisaties naar hun ervaringen tijdens de coronacrisis. Bijna de helft (48 procent) van hen moest halsoverkop software installeren om hun bedrijf draaiende te houden tijdens de crisis. Velen waren daar slecht op voorbereid.

Van de Nederlandse bedrijven die aan het onderzoek deelnamen, had minder dan de helft (47 procent) een continuïteitsplan klaarliggen. Zo’n plan beschrijft hoe je het herstel van het volledige bedrijfsproces moet aanpakken. Het betreft een plan voor onder meer de werkruimten, telefoons, werkstations, servers, applicaties en netwerkverbindingen.

36 procent van de ondernemingen had geen enkel continuïteitsplan voorhanden en zeventien procent wist dit niet zeker. Volgens Capterra kan het ontbreken van zo’n plan leiden tot grote verliezen en zelfs bedrijfssluiting. De onderzoekers bestempelen de coronapandemie als een onvoorspelbare crisis waarin zo’n plan belangrijk is.

Veel bedrijven moesten tijdens de crisis in korte tijd belangrijke beslissingen nemen en hielden daarbij geen rekening met de lange termijn. Dit betekent onder meer dat er weinig prioriteit is om de bedrijfsvoering verder te digitaliseren. Ongeveer een derde van de Nederlandse respondenten geeft aan dat aanpassing van de bedrijfsvoering voor digitaal zakendoen niet belangrijk is of dat ze daar neutraal tegenover staan. In Duitsland, Australië, Frankrijk en Italië ligt dit aandeel nog hoger.

Wat nu wel prioriteit heeft, is het behoud van productiviteit van medewerkers en het behoud van klanten. In Nederland vindt ruim driekwart dit in meer of mindere mate belangrijk. Deze prioriteit zie je ook terug in het soort software dat bedrijven tijdens de coronacrisis aanschaften: vooral remote desktop software (54 procent), videoconferencing software (36 procent), chat-software (34 procent) en samenwerkingssoftware (28 procent).

Lees hier verder. © Computable

Consumentenbond: Nederlanders hebben recht op schadevergoeding van Facebook. Kun jij ook geld claimen van Facebook? Dit moet je weten

De Consumentenbond en Data Privacy Stichting (DPS) gaan Facebook voor de rechter slepen. Ze vinden dat het bedrijf jarenlang de privacyrechten van gebruikers heeft geschonden, en daar flink aan heeft verdiend. Dus hebben consumenten recht op een schadevergoeding, stellen de twee organisaties. Hoe zit dat en heb jij er recht op? Vijf vragen en antwoorden.

Lees hier en hier verder. © RTL Nieuws.

Misleidende berichten over stiekeme ‘corona-tracker’ op je smartphone: hoe zit dat?

Op Facebook en via WhatsApp worden momenteel berichten verspreid waarin stellig wordt beweerd dat er zonder jouw toestemming een (voorzet voor een) corona-app op je smartphone is geïnstalleerd. Het betreft een bericht waar weliswaar een kern van waarheid in zit, maar door de wat paniekerige, overdreven context uit zijn verband wordt gerukt. Hoe zit het precies?

Op de afbeelding hierboven zien we één voorbeeld van een bericht dat momenteel rondgaat, maar er zijn een aantal varianten in omloop die onderling eigenlijk niet zo gek veel van elkaar afwijken. De suggestieve intonatie van het bericht biedt alvast voldoende reden tot enige scepsis, maar compleet verzonnen is het bericht ook niet, en dat is natuurlijk enigszins verwarrend.

Is het nou een app, of slechts een voorzet? En houden overheden en techbedrijven je nu al in de gaten via deze nieuwe functie? Tijd om het misverstand uit de wereld te helpen.

Geen app, maar een API

In de berichten die op dit moment rondgaan, wordt de suggestie gewekt dat techfabrikanten iedere smartphone – of je nu een iPhone hebt of een Androidtoestel – ongemerkt hebben voorzien van een optie om contact- en locatiegegevens te kunnen traceren. In zekere zin klopt dat.

De implicatie van deze berichten is echter dat jouw privacy wordt geschonden en dat je wordt bespioneerd. Smartphonereuzen zouden een loopje nemen met de privacy en uit de omschrijving blijkt de suggestie dat de gang van zaken qua transparantie nogal te wensen overlaat. 

Maar is er reden voor paniek? In werkelijkheid verandert het feit dat deze functionaliteit inderdaad is opgeleverd in beginsel nog niets: als gebruiker moet je zelf namelijk een aantal handelingen verrichten voordat deze functionaliteit daadwerkelijk iets doet.

Lees hier verder. © AvroTros

IT-bedrijf draait op voor schade ‘gegijzeld’ administratiekantoor

De zaak speelde al een paar jaar geleden, maar het vonnis werd pas op 7 juni j.l. gepubliceerd. Een IT-bedrijf dat een administratiekantoor verkeerd adviseerde draait op voor de schade. Het kantoor kreeg te maken met zogenaamde gijzelsoftware.

‘Te veel kosten en gedoe’

De IT-leverancier verrichtte diensten op het gebied van IT en automatisering voor een administratiekantoor. Een schriftelijke overeenkomst hadden deze partijen niet. In 2009 richtte het IT-bedrijf de IT-infrastructuur van het administratiekantoor opnieuw in. Er werden verschillende suggesties gedaan voor beveiliging, bijvoorbeeld het aanleggen van een firewall en het werken met roulerende externe schijven als back-up. Maar het administratiekantoor wilde dit niet vanwege de kosten en het gedoe. De IT-leverancier ging hierin mee, ook omdat het administratiekantoor geen leek op computergebied was en volgens de IT-leverancier dus welke risico’s aan deze keuze kleefden.

Bestanden gegijzeld

In 2017 werd het administratiekantoor getroffen door ransomware. Het systeem kon niet worden teruggezet met een back-up. De criminelen eisten drie bitcoins van ruim € 950,- per stuk (€2850). Het kantoor betaalde en kreeg een sleutel om de bestanden op de server weer te ontgrendelen. Het kantoor liet onderzoek doen hoe dit had kunnen gebeuren. De oorzaak van de gijzeling bleek een combinatie van zwakke wachtwoorden en een gemakkelijke toegang. Volgens het onderzoeksbureau had deze aanval met relatief eenvoudige maatregelen voorkomen kunnen worden, namelijk het gebruik van sterkere wachtwoorden, een VPN-verbinding en een betere back-upvoorziening. Het betalen van losgeld had voorkomen kunnen worden met een op de juiste manier ingeregelde back-up.

‘IT-bedrijf schoot tekort’

De IT-leverancier heeft na de aanval herstelwerkzaamheden verricht voor het administratiekantoor en deze werkzaamheden in rekening gebracht. Het administratiekantoor weigert echter om deze facturen te betalen, omdat de IT-leverancier in haar ogen toerekenbaar tekort is geschoten. Volgens het administratiekantoor was met de IT-leverancier afgesproken dat deze een volledige IT-infrastructuur zou aanleggen en dus ‘totaalpakket’ zou leveren. Onderdeel van dit totaalpakket is de adequate beveiliging van het netwerk, aldus het administratiekantoor. De IT-leverancier was er immers van op de hoogte dat een adequate beveiliging van groot belang was, omdat zij met gevoelige gegevens werkt.

‘Nooit uit te sluiten’

De IT-leverancier vond echter dat ze die beveiligingsmaatregelen had voorgesteld, maar dat het administratiekantoor deze telkens van de hand had gewezen. Dit terwijl het administratiekantoor geen leek was en dus ook zelf goed kon inschatten wat daarvan de risico’s zouden zijn. Daarnaast stelde de IT-leverancier dat een ransomware-aanval nooit kan worden uitgesloten. Daarmee betwistte de IT-leverancier dus het causaal verband tussen een eventuele tekortkoming van zijn kant en het plaatsvinden van de aanval (en daarmee het ontstaan van de schade).

Zorgplicht

De rechtbank gaat niet mee in het verweer van de IT-leverancier. Het administratiekantoor is er terecht van uitgegaan dat de IT-leverancier bij het vervullen van de opdracht om een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Volgens de rechter is het moeilijk voorstelbaar dat onder een ‘totaalpakket’ niet ook de aanleg van de daarbij behorende beveiliging zou zijn inbegrepen. Door geen firewall aan te leggen en geen externe back-ups te verzorgen, heeft de IT-leverancier zijn opdracht niet goed uitgevoerd, zo oordeelt de rechter. Het feit dat het administratiekantoor bepaalde beveiligingsmaatregelen zelf niet wilde, maakt dat niet anders. De IT-leverancier had dan de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen, of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s die het achterwege laten van een firewall en een externe back-upstructuur met zich zouden brengen.

Causaal verband

Ook het argument dat het administratiekantoor geen leek was en zij deze risico’s dus ook zelf had kunnen inschatten, is volgens de rechter onvoldoende om de IT-leverancier van zijn verantwoordelijkheden te ontslaan. Gezien de professionele deskundigheid van de IT-leverancier kon hij niet met een enkele waarschuwing volstaan. De rechtbank ziet bovendien een causaal verband: de IT-leverancier heeft erkend dat het met goede beveiliging, waaronder sterke wachtwoorden, in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en zij het daarom misschien wel hadden opgegeven. Daarnaast heeft de IT-leverancier erkend dat externe back-ups de betaling van losgeld mogelijk hadden kunnen voorkomen. De gevolgen van de aanval waren dan beperkt gebleven.

Zwakke wachtwoorden

Op één punt komt de rechter de IT-leverancier tegemoet. Het administratiekantoor heeft er zelf voor gekozen om zwakke wachtwoorden te gebruiken. Dit komt voor rekening van het administratiekantoor. De rechter stelt het gedeelte eigen schuld vast op 1/3. Als gevolg van de ransomware-aanval heeft het administratiekantoor een aantal weken stilgelegen. De gederfde omzet en het geleden verlies door de gemaakte personeelskosten moeten door de IT-leverancier worden vergoed. Ook de kosten voor het uitvoeren van het externe onderzoek naar de oorzaak van de ransomware komen voor vergoeding in aanmerking. Daarnaast merkt de rechtbank de betaalde bitcoins aan als schade die voor vergoeding in aanmerking komt, zodat ook deze kosten door de IT-leverancier moeten worden vergoed. De totale schade zou zo’n € 10.000 zijn.

Meer claims?

Bij IT-bedrijven leidt de recente uitspraak van de rechtbank tot veel onrust. Experts voorzien een stortvloed aan schadeclaims van andere bedrijven die door hackers zijn gedupeerd. ‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers in het Financieele Dagblad. Het voormalige Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen. ‘Op dit moment heb ik enkele vergelijkbare zaken onder behandeling. De omvang van de schade wisselt. Ik heb er ook een zaak tussen zitten waarbij de gevorderde schade meer dan €1 mln bedraagt.’

Conclusie

Volgens advocatenkantoor Dirkzwager kunnen uit de uitspraak van de rechtbank een aantal conclusies worden getrokken:

  1. Het belang van duidelijke (schriftelijke) afspraken;
  2. Indien het treffen van adequate beveiligingsmaatregelen tot de opdracht van de IT-leverancier behoort, rust op de IT-leverancier als deskundige de (zorg)plicht om beveiligingsmaatregelen te treffen om ransomware-aanvallen te voorkomen;
  3. Indien de afnemer bepaalde (noodzakelijke) beveiligingsmaatregelen van de hand wijst, kan de IT-leverancier niet volstaan met een enkele waarschuwing. Hij dient dan op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s van het achterwege laten van deze beveiligingsmaatregelen, alternatieven aan te dragen of zelfs de opdracht te weigeren wegens onuitvoerbaarheid.

Lees hier verder. © Accountancy van Morgen

IT-bedrijf moet schade door ransomware-infectie aan klant vergoeden

Een IT-bedrijf moet grotendeels de schade door een infectie met ransomware vergoeden aan de klant, het Hilversumse administratiekantoor O’Cliance. Dit bepaalde de rechtbank Amsterdam. Het gaat om een bedrag van ruim 10.000 euro, waar de proceskosten van 3.100 bovenop komen.

De uitspraak werd al in november 2018 gedaan, maar is nu pas openbaar geworden. Begin 2017 werd O’Cliance getroffen door een ransomware; daarbij versleutelen cybercriminelen alle bestanden en worden deze pas weer toegankelijk wanneer er een bepaalde som aan losgeld betaald is.

Na de ransomwareaanval voerde het IT-bedrijf herstelwerkzaamheden uit, waarvoor het meer dan 6.800 euro bij het administratiekantoor in rekening bracht. O’Cliance besloot de factuur niet te betalen. Ook stapte O’Cliance naar de rechter, omdat het IT-bedrijf tekort zou zijn geschoten in in het beveiligen van het netwerk.

Hoewel er niets op papier stond over het beveiligen van het netwerk, mocht O’Cliance er volgens de rechter van uitgaan dat de beveiliging ook onderdeel van de opdracht was. Wel zou het administratiekantoor de door het IT-bedrijf voorgestelde beveiligingsmaatregelen hebben afgewezen, waaronder back-ups op roulerende externe schijven.

De rechter oordeelt uiteindelijk dat beide partijen schuldig zijn aan “het lek in de beveiliging”. De rechter stelt dat het IT-bedrijf twee derde van de schade moet vergoeden. De totale schade, waaronder het externe onderzoek van 4.400 euro, wordt vastgesteld op 15.400 euro.

Lees hier verder. © Nu.nl