IT-bedrijf draait op voor schade ‘gegijzeld’ administratiekantoor

IT-bedrijf draait op voor schade ‘gegijzeld’ administratiekantoor

De zaak speelde al een paar jaar geleden, maar het vonnis werd pas op 7 juni j.l. gepubliceerd. Een IT-bedrijf dat een administratiekantoor verkeerd adviseerde draait op voor de schade. Het kantoor kreeg te maken met zogenaamde gijzelsoftware.

‘Te veel kosten en gedoe’

De IT-leverancier verrichtte diensten op het gebied van IT en automatisering voor een administratiekantoor. Een schriftelijke overeenkomst hadden deze partijen niet. In 2009 richtte het IT-bedrijf de IT-infrastructuur van het administratiekantoor opnieuw in. Er werden verschillende suggesties gedaan voor beveiliging, bijvoorbeeld het aanleggen van een firewall en het werken met roulerende externe schijven als back-up. Maar het administratiekantoor wilde dit niet vanwege de kosten en het gedoe. De IT-leverancier ging hierin mee, ook omdat het administratiekantoor geen leek op computergebied was en volgens de IT-leverancier dus welke risico’s aan deze keuze kleefden.

Bestanden gegijzeld

In 2017 werd het administratiekantoor getroffen door ransomware. Het systeem kon niet worden teruggezet met een back-up. De criminelen eisten drie bitcoins van ruim € 950,- per stuk (€2850). Het kantoor betaalde en kreeg een sleutel om de bestanden op de server weer te ontgrendelen. Het kantoor liet onderzoek doen hoe dit had kunnen gebeuren. De oorzaak van de gijzeling bleek een combinatie van zwakke wachtwoorden en een gemakkelijke toegang. Volgens het onderzoeksbureau had deze aanval met relatief eenvoudige maatregelen voorkomen kunnen worden, namelijk het gebruik van sterkere wachtwoorden, een VPN-verbinding en een betere back-upvoorziening. Het betalen van losgeld had voorkomen kunnen worden met een op de juiste manier ingeregelde back-up.

‘IT-bedrijf schoot tekort’

De IT-leverancier heeft na de aanval herstelwerkzaamheden verricht voor het administratiekantoor en deze werkzaamheden in rekening gebracht. Het administratiekantoor weigert echter om deze facturen te betalen, omdat de IT-leverancier in haar ogen toerekenbaar tekort is geschoten. Volgens het administratiekantoor was met de IT-leverancier afgesproken dat deze een volledige IT-infrastructuur zou aanleggen en dus ‘totaalpakket’ zou leveren. Onderdeel van dit totaalpakket is de adequate beveiliging van het netwerk, aldus het administratiekantoor. De IT-leverancier was er immers van op de hoogte dat een adequate beveiliging van groot belang was, omdat zij met gevoelige gegevens werkt.

‘Nooit uit te sluiten’

De IT-leverancier vond echter dat ze die beveiligingsmaatregelen had voorgesteld, maar dat het administratiekantoor deze telkens van de hand had gewezen. Dit terwijl het administratiekantoor geen leek was en dus ook zelf goed kon inschatten wat daarvan de risico’s zouden zijn. Daarnaast stelde de IT-leverancier dat een ransomware-aanval nooit kan worden uitgesloten. Daarmee betwistte de IT-leverancier dus het causaal verband tussen een eventuele tekortkoming van zijn kant en het plaatsvinden van de aanval (en daarmee het ontstaan van de schade).

Zorgplicht

De rechtbank gaat niet mee in het verweer van de IT-leverancier. Het administratiekantoor is er terecht van uitgegaan dat de IT-leverancier bij het vervullen van de opdracht om een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Volgens de rechter is het moeilijk voorstelbaar dat onder een ‘totaalpakket’ niet ook de aanleg van de daarbij behorende beveiliging zou zijn inbegrepen. Door geen firewall aan te leggen en geen externe back-ups te verzorgen, heeft de IT-leverancier zijn opdracht niet goed uitgevoerd, zo oordeelt de rechter. Het feit dat het administratiekantoor bepaalde beveiligingsmaatregelen zelf niet wilde, maakt dat niet anders. De IT-leverancier had dan de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen, of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s die het achterwege laten van een firewall en een externe back-upstructuur met zich zouden brengen.

Causaal verband

Ook het argument dat het administratiekantoor geen leek was en zij deze risico’s dus ook zelf had kunnen inschatten, is volgens de rechter onvoldoende om de IT-leverancier van zijn verantwoordelijkheden te ontslaan. Gezien de professionele deskundigheid van de IT-leverancier kon hij niet met een enkele waarschuwing volstaan. De rechtbank ziet bovendien een causaal verband: de IT-leverancier heeft erkend dat het met goede beveiliging, waaronder sterke wachtwoorden, in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en zij het daarom misschien wel hadden opgegeven. Daarnaast heeft de IT-leverancier erkend dat externe back-ups de betaling van losgeld mogelijk hadden kunnen voorkomen. De gevolgen van de aanval waren dan beperkt gebleven.

Zwakke wachtwoorden

Op één punt komt de rechter de IT-leverancier tegemoet. Het administratiekantoor heeft er zelf voor gekozen om zwakke wachtwoorden te gebruiken. Dit komt voor rekening van het administratiekantoor. De rechter stelt het gedeelte eigen schuld vast op 1/3. Als gevolg van de ransomware-aanval heeft het administratiekantoor een aantal weken stilgelegen. De gederfde omzet en het geleden verlies door de gemaakte personeelskosten moeten door de IT-leverancier worden vergoed. Ook de kosten voor het uitvoeren van het externe onderzoek naar de oorzaak van de ransomware komen voor vergoeding in aanmerking. Daarnaast merkt de rechtbank de betaalde bitcoins aan als schade die voor vergoeding in aanmerking komt, zodat ook deze kosten door de IT-leverancier moeten worden vergoed. De totale schade zou zo’n € 10.000 zijn.

Meer claims?

Bij IT-bedrijven leidt de recente uitspraak van de rechtbank tot veel onrust. Experts voorzien een stortvloed aan schadeclaims van andere bedrijven die door hackers zijn gedupeerd. ‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers in het Financieele Dagblad. Het voormalige Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen. ‘Op dit moment heb ik enkele vergelijkbare zaken onder behandeling. De omvang van de schade wisselt. Ik heb er ook een zaak tussen zitten waarbij de gevorderde schade meer dan €1 mln bedraagt.’

Conclusie

Volgens advocatenkantoor Dirkzwager kunnen uit de uitspraak van de rechtbank een aantal conclusies worden getrokken:

  1. Het belang van duidelijke (schriftelijke) afspraken;
  2. Indien het treffen van adequate beveiligingsmaatregelen tot de opdracht van de IT-leverancier behoort, rust op de IT-leverancier als deskundige de (zorg)plicht om beveiligingsmaatregelen te treffen om ransomware-aanvallen te voorkomen;
  3. Indien de afnemer bepaalde (noodzakelijke) beveiligingsmaatregelen van de hand wijst, kan de IT-leverancier niet volstaan met een enkele waarschuwing. Hij dient dan op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s van het achterwege laten van deze beveiligingsmaatregelen, alternatieven aan te dragen of zelfs de opdracht te weigeren wegens onuitvoerbaarheid.

Lees hier verder. © Accountancy van Morgen

Peter Hickendorff

Reacties zijn gesloten.