Het komt zelden voor dat een uitspraak van de rechter in it-land beroering veroorzaakt. Begin juni zagen we zo'n zeldzaam geval. Een it-leverancier werd door de rechter veroordeeld omdat hij zijn zorgplicht had verzaakt door het achterwege laten van basis beveiligingsmaatregelen voor het netwerk dat aan zijn klant werd geleverd. Die klant had weliswaar aangegeven geen behoefte te hebben aan een firewall, een backupsysteem en ingewikkelde wachtwoorden, maar de rechter vond dat geen rechtvaardiging voor het dan maar achterwege te laten van beveiliging.
Aanleiding van de rechtszaak was een geslaagde ransomware-aanval op de klant, die vervolgens de it-leverancier aansprakelijk stelde. Met succes, want de leverancier moest een groot deel vergoeden van de geleden schade.
De consternatie die dit vonnis heeft veroorzaakt is natuurlijk niet vreemd. Want de organisaties die getroffen zijn door een digitale aanval gaan nu goed kijken of zij wellicht ook hun it-leverancier voor de schade aansprakelijk kunnen stellen. In het bovengenoemde geval valt de schade die de leverancier moest vergoeden (tienduizend euro) in absolute zin misschien nog wel mee. Wat niet meevalt zijn de soorten schade die de klant had opgevoerd en door de rechter gehonoreerd werden: het losgeld, de herstelwerkzaamheden, omzetderving, het onderzoek naar de kwestie door een cybersecurity-bedrijf en de proceskosten.
Schade
Als je dit allemaal meetelt is een schade van enkele tonnen of zelfs miljoenen euro’s heel goed denkbaar. En dergelijke grote schades zien we dan ook regelmatig terug in de onderzoeken die wij draaien bij slachtoffers. Overigens meldde het FD onlangs dat de schade van een hack de laatste tijd behoorlijk is opgelopen. De gemiddelde schade is verzesvoudigd tot gemiddeld 51.000 euro. Geen wonder dat iedereen die de afgelopen tijd door een digitale aanval is getroffen nu wil weten of daar iemand (alsnog) voor aansprakelijk kan worden gesteld.
De uitspraak roept natuurlijk de nodige vragen op. Als security onder de zorgplicht van een it-leverancier valt, hoe ziet die plicht er dan precies uit? Wanneer is er sprake van nalatigheid in het geval van schade door een security-incident? Wie stelt dat vervolgens vast? Heeft de it-leverancier wel voldoende securitykennis in huis om die zorgplicht op de juiste manier in te vullen? Allemaal inhoudelijke vragen. Er is ook nog een juridische kant: in hoeverre valt dit soort ‘security-aansprakelijkheid’ contractueel uit te sluiten?
De vraag of aan de zorgplicht is voldaan kan alleen worden beantwoord door digitaal forensisch onderzoek te doen naar wat er precies is gebeurd. Zo’n onderzoek moet zo snel mogelijk plaatsvinden. Als alles na een geslaagde aanval al is hersteld, is het te laat. Je kan niet als een kantoor na een brand opnieuw is opgebouwd nog vaststellen of de brand is aangestoken en zo ja door wie. Zo’n onderzoek zal in eerste instantie in opdracht van het slachtoffer worden uitgevoerd. Maar ik denk dat een it-leverancier die met een aansprakelijkheidsclaim wordt geconfronteerd er goed aan doet een contra-expertise te laten uitvoeren om sterker te staan in een onafhankelijkheidsdiscussie.
Onafhankelijkheid toetsen
Een it-leverancier zou er natuurlijk beter aan doen om in het kader van de zorgplicht vooraf al onafhankelijk te laten toetsen of wat aan de klant is geleverd voldoet aan de basis beveiligingseisen. Denk in dit verband niet alleen aan de configuratie van bepaalde instellingen, en de technologie, maar ook aan cybersecurity-trainingen van de werknemers van die it-leverancier, want zij moeten op de hoogte zijn van de laatste ontwikkelingen
Een laatste punt van zorg is de kennis van zaken als het over cybersecurity gaat. Er zijn genoeg it-leveranciers die claimen dat zij over de vereiste securitykennis beschikken. Die claim kan terecht zijn, maar hoe controleer je dat als klant? Securitycertificeringen zijn dan een goede maatstaf. Er zijn ook it-leveranciers die samenwerken met cybersecurity-experts. Ook dan kan het geen kwaad om expliciet aan de it-leverancier of de securitykennis van deze partners te vragen of dit wel onafhankelijk is getoetst, gezien zijn zorgplicht. Of vraag als klant zelf om een second opinion. Als de kennis er is, moet die ook echt ingezet worden. Want bovengenoemde veroordeling tot schadevergoeding was niet gebaseerd op gebrek aan securitykennis, maar op het verzaken van de zorgplicht. Zelfs als de klant om wat voor reden dan ook geen beveiligingsmaatregelen wil, blijft de zorgplicht van kracht. De leverancier mag geen schijnveiligheid leveren en moet blijven aandringen op maatregelen en in het uiterste geval de opdracht niet uitvoeren en teruggeven. In de praktijk doet niemand dat. De uitspraak van de rechter zou daar wel eens heel snel verandering in kunnen brengen.
Frank Groenewegen, chief security expert bij Fox-IT
Frank,
Opvallend aan deze juridische dwaling is het gebrek aan zorg voor beveiliging door afnemer waardoor ik als klant een ander administratiekantoor zou zoeken als ik even onderstaande tekst uit rechtbank verslag analyseer:
“Tussen partijen is echter niet in geschil dat naast het ontbreken van een firewall en externe back-upstructuur ook het gebruik van te gemakkelijke wachtwoorden heeft bijgedragen aan de gelegenheid voor geslaagde een ransomware-aanval. Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van [eiser] heeft vereenvoudigd. Op de zitting heeft [eiser] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.”
Kortom, het administratiekantoor (wat in verslag bij naam genoemd wordt) heeft willens en wetens onvoldoende zorg betracht aangaande de privacy waardoor me juridisch sprake lijkt van een Pyrrusoverwinning als klanten van dit administratiekantoor zich bewust worden van de impact hiervan op hun privacy.