IT-beheerder niet aansprakelijk voor gevolgen ransomware-aanval

| AE 13406 | Informatiemaatschappij | 7 reacties

Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. Dat meldde Security.nl afgelopen maandag. Dit is de einduitspraak in vervolg op het tussenvonnis van vorig jaar, waarbij de rechtbank oordeelde dat een deskundige nodig was om te bepalen wat er precies wat gebeurd. Alleen was alle it-infrastructuur in de tussentijd vernietigd of vervangen, zodat dat geen zin meer had. Maar dan is de it-er ook niet meer aansprakelijk te houden.

Eiser was de stichting Zabawas, met als doel een erfenis aanwenden om mensen te steunen op gebied van sport en cultuur. In 2013 sloot ze met it-bedrijf PS Logic een overeenkomst voor “all-inclusive ICT-beheer”, waarbij voor ongeveer 130 euro per maand de it-infrastructuur (zegge vier computers, een server en een printer) werden beheerd:

proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers
Op enig moment in 2016 ontstonden problemen met de tapes van de backupserver, waarna werd overgegaan naar een cloudoplossing inclusief MS Office 365 en Verito software voor goede doelen.

In 2018 werd Zabawas getroffen door ransomware (via een kwetsbaarheid in Teamviewer). Daarna bleken relevante backups te ontbreken, waarbij een externe it-dienstverlener met opgetrokken wenkbrauwen constateerde:

Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een ‘normaal en redelijk handelend’ ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.
In reactie liet het it-bedrijf weten dat het probleem zat in een gebrekkige (afwezige) backup van de SQL database, wat voor veel bedrijven uiteindelijk het pijnlijkste is. Niet gek dus dat men het bedrijf aansprakelijk stelde: “proactief beheren en bewaken van .. backups” en dan geen data backuppen?

Bij de rechter verweerde het it-bedrijf zich door te stellen dat ze vanaf het moment van die cloudovergang geen backupdiensten meer zouden leveren, omdat een ander bedrijf (Verito, van die goededoelensoftware) dit nu op zich had genomen. De rechtbank las dat anders:

Vaststaat voorts dat ICT-omgeving van Zabawas begin 2017 is gewijzigd, waarbij – voor zover hier relevant – Zabawas gebruik ging maken van een nieuwe server die zich bevond in een extern datacenter en back-ups voortaan via de cloud zouden plaatsvinden (zie 2.10 tot en met 2.12). Naar het oordeel van de rechtbank kan niet worden vastgesteld dat daarmee de onder 2.3 vermelde overeenkomst, met in het bijzonder ten aanzien van de “24/7 monitoring van servers, backups en netwerk” is beëindigd. POS4 stelt dat weliswaar, maar Zabawas betwist dat en POS4 heeft haar stelling dat de “24/7 monitoring van servers, backups en netwerk” voor de nieuwe situatie niet meer gewenst was, niet onderbouwd.
Dat roept dan de vraag op wat er misging met de backups. Volgens de it-leverancier, POS4:
Zij stellen dat POS4 in de nieuwe ICT-omgeving van Zabawas had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server bestanden op de server. Op de betreffende server werd ook dagelijks een back-up uitgevoerd van de map SQLBackup. Gebleken is dat Verito de (telkens) nieuwe (wijzigende) bestanden van de SQL server niet heeft weggeschreven naar die daarvoor bestemde back-up map. De SQL back-up map was wel door Verito zelf voor dat doel aangemaakt.
Dat klinkt als een configuratiefout zoals je wel vaker ziet: de backupmap heet A en de te backuppen bestanden gaan naar map B. Maar ook mogelijk is dat de map niet goed opengesteld was voor de synchronisatie naar de cloudserver. Dat is dan typisch iets dat je aan een deskundige vraagt, wat de rechtbank dan ook ging doen.

Probleem daarna:

Zabawas heeft in haar eerste akte na tussenvonnis onder verwijzing naar de brief van haar advocaat van 28 mei 2021 erop gewezen dat de voorzitter en de secretaris van het bestuur van Zabawas bij de mondelinge behandeling hebben verklaard “dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.” In aansluiting hierop heeft Zabawas in haar eerste akte daaraan toegevoegd: “Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
Dan heeft het dus geen zin meer een deskundige te benoemen om te onderzoeken hoe het ransomware-incident heeft kunnen plaatsvinden, omdat de destijds bestaande ICT-omgeving van Zabawas niet meer aanwezig is en dus ook niet kan worden onderzocht. Maar goed, dan houdt het dus wel een beetje op met de schuldvraag.

Wat niet meehielp, is dat de stichting ook had gesteld dat het wel duidelijk was dat het aan de it-leverancier lag, mede op basis van haar ingehuurde externe deskundige. Dat is voor de rechtbank te mager als bewijs, en het zal aan mij liggen maar ik bespeur hier enige gekrenktheid bij de rechtbank:

Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken.
Gevolg is dat alle vorderingen van de stichting worden afgewezen en krijgt men een kostenveroordeling voor de kiezen.

Voor mij een tikje jammer dat er vrij weinig overblijft: de enige les die ik hieruit kan halen, is dat je bij een groot it-incident maar beter voor goede logging kunt zorgen en/of je infrastructuur in de kelder kunt zetten voor forensisch onderzoek achteraf. De ervaring leert alleen dat mensen die dat ingeregeld krijgen, ook de backups wel ingeregeld hebben.

Arnoud

Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

| AE 12971 | Ondernemingsvrijheid | 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

Het gaat concreet om een koppeling tussen het bekende webshoppakket Magento en Exact Online, waardoor de transacties van de Magento webshop worden doorgestuurd naar de boekhoudsoftware van Exact. Meelezende QA specialisten mogen even wegkijken, voor de rest:

Het boekhoudprogramma maakt gebruik van een tabel van nummering waarbij voor debiteuren en crediteuren dezelfde tabel wordt gebruikt. Beide groepen krijgen om die reden een verschillend startnummer. Voor debiteuren (klanten met een account en gastklanten zonder een account) is in dit geval gekozen voor een nummer beginnend met 3.000 respectievelijk 7.000 en voor crediteuren beginnend met 1-2.999 en vanaf 15.000. De crediteuren moeten handmatig worden ingevoerd, de debiteuren (zowel de bestellingen van klanten met een account als die van gastklanten) worden door de koppeling automatisch in het boekhoudprogramma ingevoerd.
Deze wijze van scheiden van relaties staat onder programmeurs ook wel bekend als een WTF want op deze manier is het natuurlijk mogelijk dat het aantal aankopen zo oploopt dat je de 15.000 aantikt en dat je debiteur dan een crediteur is. En dat gebeurde ook, omdat er een foutje zat in het toekennen van nummers bij klanten die als gast bestellen:
Hallo … De gast accounts beginnen bij 7000. Inmiddels hebben we al meer dan 8000 gast accounts, waardoor je dus uit komt op de nummering van de crediteuren.
Dit hoort natuurlijk niet te gebeuren, en pijnlijk voor de webshop was vervolgens dat men geen backup had van de relevante tabellen zodat het een berg werk was om alle debiteuren en crediteuren weer in ere te herstellen. Is dit nu het soort fout waar je voor aansprakelijk bent vanuit je zorgplicht als ICT-er? Helaas komt het Hof niet aan die vraag toe, maar ze bevestigt wel dat we zoiets best “eigen schuld” kunnen noemen.

Iedereen die met digitale gegevens werkt in de bedrijfsvoering, moet daar gewoon backups van hebben. Want of het nou gaat om ransomware, dikke vingers of een API koppeling die debiteuren moet invoeren maar die soms als crediteur aanmerkt, als je die data kwijt bent dan heb je een enórm probleem.

Juridisch gezien kom je dan uit bij “eigen schuld” (art. 6:101 BW): weliswaar ontslaat dat de leverancier niet van aansprakelijkheid, maar hij hoeft minder van de schade te vergoeden omdat de gevolgen mede aan de webwinkel te wijten zijn.

Het is aannemelijk dat geen handmatig herstel met de gevorderde kosten nodig was geweest als de door [de webwinkel] gestelde tekortkoming achterwege zou zijn gebleven (zo die na bewijslevering zou komen vast te staan). Maar dat geldt ook indien [de webwinkel] zelf de nodige zorgvuldigheid zou hebben betracht door een back-up te maken. De kosten van de advocaat in verband met het verhaal van herstelkosten bij [de leverancier] zouden ook niet gemaakt zijn.

Je kunt je natuurlijk afvragen of de leverancier niet meer had moeten doen. Nee, niet in dit geval:
Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat [de webwinkel] zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat [de webwinkel] niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.
Met name dat laatste geeft voor mij de doorslag: er zijn geen daadwerkelijke problemen, alleen maar rotzooi die opgeruimd moest worden omdat er geen backup was. Heel vervelend, maar dát is dan het gevolg van je eigen schuld.

Ondertussen blijft wel open de vraag of de leverancier beter had moeten programmeren, bijvoorbeeld een check dat het debiteurennummer altijd kleiner dan 15.000 had moeten zijn. Als je een koppeling met Exact verkoopt, en die heeft deze rare constructie in haar database-tabellen, dan moet je zulke dingen wel doen lijkt me. Maar kennelijk komt het weinig voor dat Exact Online-gebruikers meer dan 8000 klanten zonder registratie hebben?

Arnoud

Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

| AE 12151 | Ondernemingsvrijheid | 5 reacties

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Ondernemingsvrijheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Ondernemingsvrijheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht. In deze… Lees verder

Ik wilde een nieuw toetsenbord en kreeg een lege harde schijf!

| AE 6431 | Ondernemingsvrijheid | 42 reacties

Een lezer vroeg me: Onlangs was van mijn laptop, drie maanden na aanschaf een toets afgebroken. Na reparatie bleek dat de reparateur alle Linux software en verdere software omgeving van de PC verwijderd had zonder toestemming hiervoor te vragen. Het heeft drie volle dagen geduurd voordat ik (als ICT professional) weer alles hersteld had. Een… Lees verder