IT-beheerder niet aansprakelijk voor gevolgen ransomware-aanval

Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. Dat meldde Security.nl afgelopen maandag. Dit is de einduitspraak in vervolg op het tussenvonnis van vorig jaar, waarbij de rechtbank oordeelde dat een deskundige nodig was om te bepalen wat er precies wat gebeurd. Alleen was alle it-infrastructuur in de tussentijd vernietigd of vervangen, zodat dat geen zin meer had. Maar dan is de it-er ook niet meer aansprakelijk te houden.

Eiser was de stichting Zabawas, met als doel een erfenis aanwenden om mensen te steunen op gebied van sport en cultuur. In 2013 sloot ze met it-bedrijf PS Logic een overeenkomst voor “all-inclusive ICT-beheer”, waarbij voor ongeveer 130 euro per maand de it-infrastructuur (zegge vier computers, een server en een printer) werden beheerd:

proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers
Op enig moment in 2016 ontstonden problemen met de tapes van de backupserver, waarna werd overgegaan naar een cloudoplossing inclusief MS Office 365 en Verito software voor goede doelen.

In 2018 werd Zabawas getroffen door ransomware (via een kwetsbaarheid in Teamviewer). Daarna bleken relevante backups te ontbreken, waarbij een externe it-dienstverlener met opgetrokken wenkbrauwen constateerde:

Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een ‘normaal en redelijk handelend’ ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.
In reactie liet het it-bedrijf weten dat het probleem zat in een gebrekkige (afwezige) backup van de SQL database, wat voor veel bedrijven uiteindelijk het pijnlijkste is. Niet gek dus dat men het bedrijf aansprakelijk stelde: “proactief beheren en bewaken van .. backups” en dan geen data backuppen?

Bij de rechter verweerde het it-bedrijf zich door te stellen dat ze vanaf het moment van die cloudovergang geen backupdiensten meer zouden leveren, omdat een ander bedrijf (Verito, van die goededoelensoftware) dit nu op zich had genomen. De rechtbank las dat anders:

Vaststaat voorts dat ICT-omgeving van Zabawas begin 2017 is gewijzigd, waarbij – voor zover hier relevant – Zabawas gebruik ging maken van een nieuwe server die zich bevond in een extern datacenter en back-ups voortaan via de cloud zouden plaatsvinden (zie 2.10 tot en met 2.12). Naar het oordeel van de rechtbank kan niet worden vastgesteld dat daarmee de onder 2.3 vermelde overeenkomst, met in het bijzonder ten aanzien van de “24/7 monitoring van servers, backups en netwerk” is beëindigd. POS4 stelt dat weliswaar, maar Zabawas betwist dat en POS4 heeft haar stelling dat de “24/7 monitoring van servers, backups en netwerk” voor de nieuwe situatie niet meer gewenst was, niet onderbouwd.
Dat roept dan de vraag op wat er misging met de backups. Volgens de it-leverancier, POS4:
Zij stellen dat POS4 in de nieuwe ICT-omgeving van Zabawas had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server bestanden op de server. Op de betreffende server werd ook dagelijks een back-up uitgevoerd van de map SQLBackup. Gebleken is dat Verito de (telkens) nieuwe (wijzigende) bestanden van de SQL server niet heeft weggeschreven naar die daarvoor bestemde back-up map. De SQL back-up map was wel door Verito zelf voor dat doel aangemaakt.
Dat klinkt als een configuratiefout zoals je wel vaker ziet: de backupmap heet A en de te backuppen bestanden gaan naar map B. Maar ook mogelijk is dat de map niet goed opengesteld was voor de synchronisatie naar de cloudserver. Dat is dan typisch iets dat je aan een deskundige vraagt, wat de rechtbank dan ook ging doen.

Probleem daarna:

Zabawas heeft in haar eerste akte na tussenvonnis onder verwijzing naar de brief van haar advocaat van 28 mei 2021 erop gewezen dat de voorzitter en de secretaris van het bestuur van Zabawas bij de mondelinge behandeling hebben verklaard “dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.” In aansluiting hierop heeft Zabawas in haar eerste akte daaraan toegevoegd: “Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
Dan heeft het dus geen zin meer een deskundige te benoemen om te onderzoeken hoe het ransomware-incident heeft kunnen plaatsvinden, omdat de destijds bestaande ICT-omgeving van Zabawas niet meer aanwezig is en dus ook niet kan worden onderzocht. Maar goed, dan houdt het dus wel een beetje op met de schuldvraag.

Wat niet meehielp, is dat de stichting ook had gesteld dat het wel duidelijk was dat het aan de it-leverancier lag, mede op basis van haar ingehuurde externe deskundige. Dat is voor de rechtbank te mager als bewijs, en het zal aan mij liggen maar ik bespeur hier enige gekrenktheid bij de rechtbank:

Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken.
Gevolg is dat alle vorderingen van de stichting worden afgewezen en krijgt men een kostenveroordeling voor de kiezen.

Voor mij een tikje jammer dat er vrij weinig overblijft: de enige les die ik hieruit kan halen, is dat je bij een groot it-incident maar beter voor goede logging kunt zorgen en/of je infrastructuur in de kelder kunt zetten voor forensisch onderzoek achteraf. De ervaring leert alleen dat mensen die dat ingeregeld krijgen, ook de backups wel ingeregeld hebben.

Arnoud

7 reacties

      1. Een restoretest, een controle op de hoeveelheid data die is opgenomen in de backup, een dagelijks rapport waarin wordt aangegeven welke bestanden en hoeveel data er is gewijzigd. En dat rapport dan via mail of in een dashboard van de monitoring software opnemen.

        Daar staat tegenover dat ik 130 euro per maand voor 4 computers een server en een printer ook niet veel geld vind voor compleet beheer en pro-actief monitoring. iets met een dubbeltje en op de eerste rang willen zitten.

        Als ik nu even ga zoeken, zie ik dat het bedrijf POS4 in Berkel en Rodenrijs zich vooral richt op kassasystemen (iets dat de naam al deed vermoeden). Dus het beheer en monitoring van computers is niet de kern van hun bedrijfsvoering. Dat ze fouten hebben gemaakt, geloof ik direct, vooral de conclusie van de externe IT-leverancier spreekt boekdelen, maar ik zou als bedrijf zijnde mijn beheer en monitoring niet neerleggen bij een club die dat soort taken ‘erbij doet’. Dan maar iets meer betalen, maar wel stukken meer zekerheid krijgen.

          1. Als je directie zegt dat er geen budget is en ‘hoe moeilijk kan het zijn?’ kun je als beheerder vrij eenvoudig wat voorbeelden aangeven (zoek even op tweakers naar ransomware voor slechts een paar voorbeelden) waarom er wel budget voor moet komen en waarom het goed inrichten van die dingen moeilijker is dan het in eerste oogopslag lijkt.

            Nu is het voor een kleine organisatie als deze uiteindelijk niet heel moeilijk, maar er is in het zoeken naar een ICT-partner onvoldoende gekeken naar de geboden diensten en wellicht iets teveel gekeken naar budget.

  1. Weinig PDCA te bekennen. Geen test, geen controle, veel aannames etc. Lijkt erg op buy peanuts, get monkeys. Sneu, duur, maar ook een wijze les. Ook als klein bedrijf, besef dat je in deze tijd bijna niet zonder ICT kan. Dus zorg voor goede afspraken en een goed BCP. Die extra kosten betalen zich uit in geval van problemen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.