Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die al tijden bij de NSA bekend zou zijn maar nooit gemeld is. Is er nu enige mogelijkheid Microsoft aansprakelijk te stellen voor de schade van zulke downtime?

Het makkelijke antwoord is natuurlijk nee, want in de voorwaarden van Microsoft staat gewoon dat ze niet aansprakelijk zijn voor de gevolgen van fouten in hun software. En ja, dat is rechtsgeldig bij grote partijen zoals de Rotterdamse Haven. Bij consumenten in principe niet, tenzij er heel bijzondere omstandigheden zijn (zoals, blijf ik volhouden, wanneer de software gratis beschikbaar werd gesteld).

Maar goed, wat in het hypothetische geval dat er geen rechtsgeldige beperking van aansprakelijkheid was. Dan zou het kunnen. Wel moet er dan aan een aantal eisen zijn voldaan. Kort gezegd is de belangrijkste vraag of Microsoft deze fout had moeten voorkomen, vanuit hun zorgplicht als dienstverlener. Of iets anders geformuleerd, of je het Microsoft kunt aanrekenen dat die fout erin zat (toerekenbare tekortkoming).

Ik denk dat je daar in het algemeen niet meteen van kunt spreken, tenzij men de fout kende en deze dan onnodig lang liet liggen. Alle software heeft fouten, zeker zulke grote en complexe software als Windows. Het is onvermijdelijk dat er dan van tijd tot tijd een exploit opduikt die mensen schade berokkent.

Verder, zelfs als je uitkomt bij een toerekenbare tekortkoming of verzaken van de zorgplicht, dan nog heb je altijd het verweer “waarom had je geen backup” of andere maatregelen ter beperking van de schade. Want anno 2017 behoort iedereen te weten dat je je systeem goed moet afschermen voor onheil van buitenaf, en dat je je data moet backuppen om terug te kunnen na een geslaagde aanval. Het voelt weinig redelijk om je bedrijfsdata kwijt te spelen door een aanval en dan Microsoft de rekening te geven.

Bij consumenten blijf je zitten met het probleem dat zij juridisch gezien meestal geen schade hebben. Zet maar eens een geldbedrag op het gegijzeld hebben van je vakantiefoto’s of persoonlijke administratie. En zonder schade geen claim.

Arnoud

25 reacties

    1. En eigenlijk was het ook geen ransomware… maar zag het er slechts uit als ransomware. Was dit gat ook niet vrij snel na het bekend worden gepatched door Microsoft? Waardoor je de schuld ook weer door kan schuiven naar de systeembeheerders die de systemen niet op tijd gepatched hadden of anders ingesteld hadden waardoor ze niet meer vatbaar hadden moeten zijn (uitschakelen SMBv1 geloof ik)

      1. De patches om deze lekken te dichten waren inderdaad vrijgegeven al ruim voordat malware gebaseerd op deze exploits in het wild is gesignaleerd (wannacry was de eerste op 12 mei, terwijl de patches op 17 maart al klaar stonden).

    1. Klopt, Microsoft heeft inderdaad een patch voor de EternalBlue zeo-day uitgebracht. Ze hebben voor deze patch ook aangegeven dat het een critical security update was en iedereen aangeraden deze zsm te installeren. Dus als de besmetting door het SMB lek kwam, is APM zelf nalatig geweest en zullen ze de schade echt bij niemand kunnen claimen. NotPetya maakte echter gebruik van nog wat andere ‘features’, zoals WMI en psexec om zich te verspreiden. Hierbij werd via Mimikatz gekeken of de ingelogde gebruiker administratieve rechten had en werd dat account vervolgens gebruikt om het virus over het netwerk te verspreiden. Dit zou dus alleen impact mogen hebben als de geinfecteerde machine wordt gebruikt door iemand met domain admin rechten (wat een grote no-go is).

  1. Is de schade voor consumenten niet in ieder geval gelijk aan het losgeld wat geëist wordt voor ongedaan maken van de gijzeling? En indien dat niet kan en de foto’s als verloren beschouwd moeten worden, in hoeverre zijn de kosten om de foto’s opnieuw te maken dan niet als schade te zien?

    1. Dat lijkt me een hele goede. Als je, zeg, als Nederlander op vakantie gaat naar California en daar foto’s maakt en die hierdoor kwijtraakt, dan is dat wel degelijk een flinke schade. Vliegtuigje + hotelletje California is al gauw meer dan 1000 euro. En dan moet je wellicht daar ook nog reizen om die foto’s te maken en zit je ook nog met de vraag “welke foto’s kunnen opnieuw worden gemaakt?”. Want als het een eenmalig iets was, dan kun je dat niet opnieuw fotograferen. Kortom: zelfs vakantiekiekjes kunnen dus kostbaar zijn.

  2. Bepaalde foto’s zijn mogelijk niet opnieuw te maken. In hoeverre valt dat onder schade? Bv de eerste stapjes van een kind of trouwerij.

    Voor bedrijven zou de schade vergoeding ook beperkt kunnen worden doordat het niet vreemd is om met netwerksegmenten te werken en blijkbaar veel met elkaar verbonden is zonder degelijke beschermingsmaatregelen er tussen.

    1. Laat ik het zo zeggen, in het Nederlands aansprakelijkheidsrecht is het basisbeginsel dat je alleen schade hebt als je een bonnetje kunt laten zien voor herstel of vervanging. Bij het soort foto’s dat je noemt is de emotionele waarde natuurlijk hoog, maar herstel of vervanging onmogelijk. Zuiver zakelijk bekeken is er dan geen schade, geld kan dit niet goedmaken. Natuurlijk mag de rechter altijd vanuit de billijkheid de schade toch ergens op zetten, maar veel zal het niet zijn en veel zul je er niet aan hebben ook.

      1. in het Nederlands aansprakelijkheidsrecht is het basisbeginsel dat je alleen schade hebt als je een bonnetje kunt laten zien voor herstel of vervanging

        Dus als die monteur die mijn unieke oldtimer total loss rijdt heb ik geen schade?

    1. Ligt er natuurlijk aan, als je een retail versie van Windows draait zal lijkt mij de verkoper dan wel Microsoft aansprakelijk zijn. Draai je een OEM versie op bijv. een HP of Dell machine lijkt het mij dat de OEM aansprakelijk is, MS levert namelijk geen directe ondersteuning op OEM software, dit wordt gedaan door de OEM (die daarvoor een flinke korting van MS krijgt).

  3. Zet maar eens een geldbedrag op het gegijzeld hebben van je vakantiefoto’s of persoonlijke administratie. En zonder schade geen claim.
    Misschien een bitcoin wallet? Je kan dan eenvoudig claimen dat je meerdere bitcoins (op dit moment ruim $2500,- per bitcoin https://price.bitcoin.com/ ) er in had zitten en die nu kwijt bent.

    1. Leuk, maar je verandert de vraag zonder de oorspronkelijke vraag te beantwoorden. Wat is de prijs van persoonlijke vakantiefoto’s? Misschien in ieder geval de kosten die gemaakt moeten worden om opnieuw naar de vakantiebestemmingen te gaan en daar de foto’s opnieuw te maken? Wat als de foto’s niet opnieuw gemaakt kunnen worden omdat sommige mensen op de foto’s inmiddels zijn overleden?

      In principe is emotionele waarde ook wel in geld uit te drukken: je zou bijvoorbeeld mensen geld kunnen bieden in ruil voor het vernietigen van zaken die voor hen emotionele waarde hebben. Heb je liever een miljoen euro, of die foto van je overleden ouders? Sommige mensen hebben waarschijnlijk wel een prijs waarbij ze “overstag gaan”; anderen misschien niet. Natuurlijk is zo’n prijs extreem subjectief, en niet goed door anderen te bepalen.

    1. Dat voelt inderdaad rechtvaardiger. Maar kunnen we ook preventief werken, door via een WOB-verzoek alle zero-days op te eisen die de Nederlandse diensten kennen? (En we zouden ook driekwart van de ‘cyberpolitie’ kunnen inzetten op het opsporen van lekken: Dat zou veel meer effect hebben)

  4. “Had je geen backup” is niet zo’n hele goede vraag in dit geval. Die backup is natuurlijk net zo gevoelig voor de aanvallen als het origineel. Het lijkt me niet heel onwaarschijnlijk dat de backup automatisch in actie is gekomen, waarna die even hard gepakt werd.

    Backups zijn moeilijk, je moet namelijk van te voren in schatten wat er fout kan gaan (wat dacht je van fouten die langzaam je database verklooien. Kom je er pas achter als alle backup-tapes ook al niet meer op orde zijn).

    1. Als je backup net zo gevoelig is voor aanvallen als het origineel doe je toch echt iets niet goed, zeker niet omdat je in een best practise situatie meerdere backups dient te hebben (on-site, off-site, offline) waarbij je er er uiteraard voor zorgt dat de opslag locaties voor deze backups niet bereikbaar zijn voor Crypto lockers als deze.

      Een backup zou behoudens het automatisch draaien van de backup ook niet automatisch in actie mogen komen, waarbij deze natuurlijk nooit de backup van de dag ervoor mag overschrijven. Retentie tijden dienen veel langer te zijn dan dat.

      Lastig in te schatten is het ook niet direct, alle data die niet verloren mag gaan moet gewoon in de backup worden meegenomen. Als je er pas achter komt dat alle tapes niet meer op orde zijn (al wordt het gebruik van tapes zeker in het MKB steeds minder) doe je ook iets niet goed, Backuppen bestaat niet alleen uit het maken van backups en hopen dat deze goed zijn, nee je moet ze ook met regelmaat Controleren, verifiëren en testen door middel van het uitvoeren van een restore, waarmee je controleert of alle stappen in het backup plan / disaster recovery plan correct werken en daadwerkelijk uitvoerbaar zijn met de juiste data integriteit in de backup. Dit laatste wordt helaas nog wel eens vergeten bij veel bedrijven, met alle mogelijke gevolgen van dien wanneer ze aanspraak moeten maken op de backup.

      1. Als je naar de gemiddelde ransomware kijkt is die in staat om ook de online backups van je gegevens te versleutelen. Daarom is het nuttig om ook regelmatig een offline backup te maken; hoeft niet perse op tape, kan ook op een externe harde schijf.

        1. In de meeste gevallen alleen wanneer het account waaronder de ransomware draait ook kan verbinden met de online backup service of wanneer dit account een mapping heeft naar de locatie waar deze data staat (bijv. omdat deze gekoppeld is via dropbox /onedrive / google drive binnen dat account). Het zal dan waarschijnlijk ook niet raar klinken dat een dropbox of onedrive account geen best practise locatie is om backups op te slaan. Doe je dit wel, map dan absoluut dit account nergens behalve in je backup software of een account dat speciaal ingericht is om backups te maken en zeker niet in een account dat (dagelijks) gebruikt wordt voor andere activiteiten op de computer.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.