Ransomwareaanvallen en hacks komen steeds vaker voor. Vaak wordt na de hack de IT-omgeving opnieuw ingericht. Men moet immers ook weer door. Een snelle herinrichting kan het echter ook moeilijker maken om aan te tonen welke partij aansprakelijk is voor de vanwege de hack geleden schade. Een recente beslissing van de rechtbank Rotterdam laat zien hoe weerbarstig dit kan zijn.
Overeenkomst all-inclusive beheer
Uit een eerdere tussenuitspraak blijken enkele belangrijke feiten. Opdrachtgever Zabawas heeft in 2013 een overeenkomst gesloten met PS Logic voor "all-inclusive ICT-beheer". Op grond van die overeenkomst zou PS Logic o.a. verantwoordelijk zijn voor “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”. Hiervoor zou 130€/maand worden betaald.
Van tape-backup naar cloud backup
In 2016 blijkt dat er enkele keren zaken niet goed lopen met de back-up tapes. Na wat correspondentie stelt PS Logic voor om over te stappen naar een backup in de cloud. Daarvoor wordt servercapaciteit beschikbaar gesteld en wordt backup-software geleverd. PS Logic, althans een zustervennootschap, bleef €130/maand factureren voor systeembeheer.
Na ransomware blijkt alleen oude backup beschikbaar
Op 12 april 2018 wordt een van de systemen van Zabawas getroffen door ransomware. Daardoor was het hele systeem onbruikbaar en kwam de bedrijfsvoering stil te liggen. Enkele dagen later blijkt dat er van bepaalde maatwerkprogrammatuur alleen een erg oude backup van juli 2017 beschikbaar is.
Rapport met stevige conclusies
Zabawas schakelt een deskundige in. Die deskundige concludeert o.m. als volgt:
De bevindingen in dit rapport laten zien dat het onderwerp informatiebeveiliging niet de aandacht heeft gekregen die past bij de huidige digitale samenleving (…).
Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.
In reactie op dit rapport erkent de IT-leverancier dat er geen backups van de SQL-databases werden gemaakt.
Rechtbank: wat is er afgesproken?
Bij de rechtbank is vervolgens de vraag wat de verplichtingen waren die rustten op de IT-leverancier. De overeenkomsten blinken namelijk niet bepaald uit in helderheid.
Gelet op de wordingsgeschiedenis concludeert de rechtbank dat de leverancier verplicht was tot het maken van backups.
Wie moest de maatwerkprogrammatuur backuppen?
Uiteindelijk blijkt ook dat er feitelijk ook backups werden gemaakt. Alleen de maatwerkprogrammatuur werd niet goed gebackupd. De vraag is aan wie dat ligt: aan de leverancier van dat maatwerk of aan de partij die het IT-beheer verzorgt. Daarvoor heeft de rechtbank bijstand van een deskundige nodig.
En was de beveiliging ondermaats?
Een tweede discussiepunt is of de beveiliging nu wel of niet ondermaats was en of dit de oorzaak was van de schade. De IT-leverancier betwist dat sprake was van ondermaatse beveiliging. Ook wordt betwist dat de ransomwarebesmetting het gevolg was van eventuele gebreken in de beveiliging. Gelet op die betwisting heeft de rechtbank ook hier een deskundige nodig.
Benoeming deskundige
De rechtbank beslist dan ook dat er een deskundige benoemd moet worden. Beide partijen krijgen de gelegenheid zich uit te laten over de deskundige en de aan de deskundige te stellen vragen.
Vervolgprocedure: er valt niets meer te onderzoeken
En daarmee komen we bij de einduitspraak. Partijen hebben zich uitgelaten over het voornemen van de rechtbank tot het benoemen van een deskundige. De eisende partij Zabawas stelt in de kern twee zaken:
- een deskundigenonderzoek is zinloos omdat de te onderzoeken IT-omgeving niet meer bestaat; en
- een deskundigenonderzoek is zinloos omdat het irrelevant is nader te onderzoeken of de leverancier van de maatwerkprogrammatuur dan wel de IT-beheerder de fout heeft gemaakt.
De rechtbank beoordeelt beide punten en concludeert:
- dat het zinledig is onderzoek te doen naar een niet meer bestaande omgeving is begrijpelijk, maar brengt wel met zich dat er (dus) geen bewijs is voor stellingen van eiser; en
- het is voor de claim en gelet op het verweer wel degelijk relevant te onderzoeken of een verwijt aan de IT-beheerder dan wel de leverancier van maatwerksoftware te maken is.
Afwijzing van de vordering bij gebreke van bewijs
Kort en goed: zonder deskundigenbericht komt niet vast te staan dat de IT-beheerder is tekortgeschoten. Daarmee wordt de vordering (dus) afgewezen.
Slotopmerking
De kwestie laat zien hoe weerbarstig de IT-praktijk kan zijn.
Zorg ervoor dat afspraken vooraf zeer helder en eenduidig zijn. Let extra goed op de taak- en rolverdeling zodra er meerdere partijen betrokken worden (zoals hier maatwerkleverancier en een beheerder). Hoe duidelijker die afspraken vooraf zijn, hoe eenvoudiger het kan zijn om (achteraf) aan te tonen wie aansprakelijk is voor schade.
Toets die afspraken ook gedurende de uitvoering van het project. Niemand heeft er iets aan indien een contract een dode letter is dat stil in een la ligt.
En als het dan misgaat, zorg er dan ook voor dat direct op dat moment het juiste bewijs wordt veiliggesteld en dat zo snel mogelijk de juiste onderzoeken worden gedaan. Zo was hier kennelijk onderzoek gedaan naar de beveiliging en was kennelijk evident dat die beveiliging onder de maat was, terwijl uiteindelijk de meer relevante vraag blijkt te zien wie verantwoordelijk was voor het plaatsen van gegevens in een bepaalde backup-map. Pas ook op met het direct herinrichten van de IT-omgeving alvorens bewijs is veiliggesteld. Er geldt immers al snel: weg=weg. En dan zit je zowel met de hack als met de pijn van het verlies van een procedure.
Hulp nodig bij die weerbarstige materie? Neem gerust contact op.
