Aansprakelijkheid van de netwerkbeheerder voor schade ten gevolge van een ransomware aanval

Photo by Michael Geiger on Unsplash

Als ict-beheerder 50.000 euro moeten betalen omdat je klant door ransomware werd getroffen, terwijl de netwerkbeveiliging eigenlijk bij een derde lag. Ja, dat kan: zorg dus dat je je documentatie goed op orde hebt, want dat is waar de zaak eigenlijk op mis ging voor de beheerder.

Dat vonnis gaat vooral in over verrekenen van de schadeclaim met openstaande facturen. Het echte verhaal lezen we in het tussenvonnis uit 2022 (nu pas gepubliceerd) waarin de rechter concludeerde dat de beheerder aansprakelijk was. Haar primaire taak was netwerkbeheer en onderhoud, maar ook een stukje security:

A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen: ? Deugdelijke antivirusbeveiliging; ? Firewall. B) Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen. C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan. D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
Op enig moment werd de klant (opdrachtgever) getroffen door ransomware. Onduidelijk was hoe dat precies was gebeurd, maar de rechter is daar snel klaar mee:
Hoe de hackers het netwerk van [de klant] zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van [de klant] versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van [de klant] enige tijd belemmerd is geweest doordat [de klant] niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
Het niet hebben van die drie dingen is iets waar de beheerpartij op had moeten screenen en waarschuwen. (Dit is niet zodanig subtiel dat je dat normaal mist.) Advies en waarschuwingen hierover ontbraken echter in het dossier.

Weliswaar was er een plan voor herziening van het netwerk, maar dat is niet echt hetzelfde als een waarschuwing:

Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat [de leverancier] de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan [de klant] heeft meegedeeld.
Bij enkele andere problemen was wél duidelijk gewaarschuwd: “Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.” Dat betrof een oude server die allang niet meer actief had moeten zijn. Er is een reële kans dat de criminelen via deze server zijn binnengedrongen, maar zoals gezegd maakt dat niet uit – de beveiliging elders had ze dan moeten stoppen.

Het lijkt er dus op dat de beheerder er op zich prima over nagedacht had, maar niet consequent handelde zoals ze had toegezegd. Ook schoten er dingen te kort in de uitvoering, bijvoorbeeld hetzelfde wachtwoord voor de backupserver als voor de gewone beheerserver. Maar uiteindelijk komt het neer op dit soort dingen:

[De leverancier] verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”

Daaruit blijkt niet dat [de leverancier] [de klant] heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen.

Ik blijf het zeggen: je zorgplicht als ict-dienstverlener wordt ingevuld door je documentatie. Wat heb je toegezegd, wat heb je uitgesloten en wat heb je aangegeven in de uitvoering? Dat leg je dus vast, van mails met signaleringen tot bevestigingen van telefonische (of mondelinge) opmerkingen.

Arnoud

5 reacties

  1. Wanneer een netwerkbeheerder een offerte opstelt voor een verbeterde beveiliging, zou dat niet impliceren dat de huidige situatie niet aan de gewenste norm voldoet? Zou een disclaimer als deze hebben kunnen helpen voor de beheerder?

    Deze offerte geeft de gewenste standaard van deugdelijkheid aan. Huidige systemen die niet aan deze standaard voldoen, kunnen potentieel kwetsbaar zijn en vallen niet onder de volledige verantwoordelijkheid van de nieuwe beheerder totdat de aangeboden verbeteringen zijn doorgevoerd.

    1. Ik ben altijd erg huiverig voor standaardteksten die aansprakelijkheid verleggen. Je zorgplicht is gewoon een ding, dat kun je niet met een tekst zonder klantspecifieke context verleggen.

      Ik denk dat ik liever zou zien dat de offerte dan een momentopname van de huidige omgeving bevat met aandachtspunten. Of dat de offerte zegt, binnen vier weken maken we een nulmeting met verbeterpunten en pas als die zijn gedaan dan nemen wij verantwoordelijkheid. Het hoeft niet gratis natuurlijk, maar als jouw werk is het regelen van adequate beveiliging dan moet je wel aan de bak.

      1. Het gaat daarbij (mij) om, dat het duidelijk is, dat de nieuwe beheerder nooit volledig verantwoordelijk is voor kwetsbaarheden in het bestaande netwerk.

        Inderdaad bij elk verbeterpunt in de offerte dan de noodzaak en urgentie aangeven dit door te voeren, zeker als je verantwoordelijk bent voor netwerkbeheer voor de verbeteringen zijn uitgevoerd.

        Dat mailtje waar het uiteindelijk op uitkwam over wachtwoordbeleid, kan beter zo?

        De huidige systemen of praktijken vertonen bekende kwetsbaarheden [geen eenduidig wachtwoordbeleid] die, indien niet aangepakt, de integriteit en veiligheid van het netwerk kunnen compromitteren. Wij adviseren dringend om binnen [x tijd] actie te ondernemen om deze kwetsbaarheden te mitigeren. De beheerder wijst hierbij op zijn zorgplicht om deze risico’s te communiceren, maar de verantwoordelijkheid voor het ondernemen van actie ligt bij de klant.

    2. In het contract staat “Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen.” Dat betekent dat er mailtjes horen te zijn die dingen zeggen als “Er hangt een oude ongebruikte server aan het netwerk”, “De backup is onvoldoende gescheiden van de werksystemen”, “Nu Uw bedrijf gegroeid is raden we netwerksegmentatie aan”, etc.

      Als die mailtjes er niet zijn dan is er een redelijk vermoeden dat Uitvoerder op het punt van adviseren van de klant over de actuele beveiliging in gebreke is. De beveiliging is de expertise van Uitvoerder, niet van de klant, dat de aansprakelijk in dit geval zijn kant op komt is zeer redelijk.

      1. Dit was een dramatische vechtscheiding. Het ging om een B.V. holding met 54 servers, een eigen IT team, en een ander bedrijf compleet verantwoordelijkheid voor de netwerkveiligheid (dingen zoals medewerkers die klikken op een malware attachment).

        Aanklager huurt dan een “onafhankelijk” forensisch bedrijf in voor 2.5 ton, wat onbesproken een relatie van zowel advocaat, als de nieuwe beheerder en dat andere bedrijf te zijn.

        Dat bedrijf vind de oorzaak niet, maar geeft 6 punten aan waar beheerder dan wel te kort in is geschoten. Eerste daarvan is die server die vergeten was door de IT afdeling. Maar daar hadden ze juist nog voor gewaarschuwd.

        De hoofdzaak was schade voor anderhalve week op z’n gat: iets van 6 ton. Het ging er dan om of dat naar 50k mocht met een beperkte schadeverantwoordelijkheid voor toerekenbare directe schade.

        De advocaat dient eerst de 2017 voorwaarden in waar de clausule in is opgenomen. Dan de trukendoos:

        • voorwaarden uit 2005 waar deze clausule ontbreekt gelden, want clausule toegevoegd in 2012, en eerste overeenkomst 2010 (tuurlijk geld de laatst overeengekomen voorwaardes)

        • clausule telt niet, want grove opzet (toerekenbaar betekend niet grove opzet)

        • voorwaarden telt niet, want niet ter fysiek hand gesteld (hoeft niet voor groot bedrijf, mag met referentie)

        • clausule niet billijk, want disproportioneel naar schade (wel proportioneel, en schade zo groot wegens BTW optellen, en advocatenkosten claimen voor aanklacht B.V.’s die helemaal niet getroffen waren door de aanval.

        De netwerkbeheerder mag uiteindelijk geen aanspraak maken op de factuur van 32k, om de ransomware aanval te herstellen, en de data van backup-snapshots van 1.5 week terug te vervangen, want kan niet factureren voor schade waar je deel aan bent…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.