IT-bedrijven blijken verantwoordelijk voor schade door gijzelsoftware bij hun klant wanneer blijkt dat ze de beveiliging bij die klant niet op orde hadden. In een onlangs gepubliceerd vonnis moest de leverancier niet alleen de directe schade vergoeden, maar ook de herstelkosten en de verloren omzet. Experts verwachten naar aanleiding van dit vonnis een stortvloed aan zaken, zo meldt het FD.
Bedrijven die zijn getroffen door gijzelsoftware kunnen in veel gevallen hun IT-leverancier laten opdraaien voor de kosten. Wanneer geleverde basisbeveiliging aantoonbaar tekortschoot, moet de leverancier alle opgelopen schade, inclusief misgelopen omzet en kosten voor herstel, grotendeels vergoeden, oordeelde de rechter onlangs.
Golf aan schadeclaims
Experts denken dat deze uitspraak gaat leiden tot een golf aan schadeclaims. "Ik verwacht dat heel veel onderzoeken die wij gedraaid hebben bij getroffen bedrijven alsnog tot een claim gaan leiden", zegt Frank Groenewegen, chief security expert bij Fox-IT. Het cyberbeveiligingsbedrijf doet die onderzoeken onder meer om vast te stellen hoe een cyberaanval kon slagen.
Automatiseerders maken zich zorgen. "Mijn mailbox is de afgelopen dagen volgestroomd met vragen van leden", zegt Inge Bremmer, jurist bij branchevereniging NLdigital.
Aanleiding
Aanleiding is een uitspraak uit 2018 die pas vorige week werd gepubliceerd. In deze zaak oordeelde de rechter dat een IT-leverancier de schade moet vergoeden die een klant, een klein administratiekantoor, opliep door het tekortschieten van de beveiliging van het bedrijfsnetwerk. Het kantoor werd gehackt en moest enkele duizenden euro's in bitcoins betalen om weer toegang tot zijn bestanden te krijgen. Deze zaak draait om zo'n € 10.000,- aan totale schade, maar staat model voor een breder fenomeen. "In heel veel onderzoeken die wij draaien is exact hetzelfde gebeurd. Alleen gaat het dan om tonnen aan directe schade en miljoenen aan indirecte schade", stelt Groenewegen.
"Al tientallen zaken"
"Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien", zegt advocaat Anne-Wil Duthler van First Lawyers tegen het FD. Zij stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen. "Op dit moment heb ik enkele vergelijkbare zaken onder behandeling. De omvang van de schade wisselt. Ik heb er ook een zaak tussen zitten waarbij de gevorderde schade meer dan 1 miljoen euro bedraagt."
Topje van de ijsberg
Haar zaken zijn vermoedelijk slechts het topje van de ijsberg. De afgelopen jaren raakten vermoedelijk honderden grotere en kleinere bedrijven besmet met gijzelsoftware; kwaadaardige software van cybercriminelen die bestanden op het netwerk versleutelt waardoor ze niet meer te gebruiken zijn. Slachtoffers konden daardoor niet meer bij hun bedrijfscomputers en misten vervolgens omzet of gingen zelfs failliet. Vaak blijkt de aanval later het gevolg van ondermaatse beveiliging, zoals de mogelijkheid om op afstand in te loggen op de computer zonder extra veiligheidsmaatregelen, of het gebruik van zwakke wachtwoorden.
In veel gevallen hadden de getroffen bedrijven het beheer van hun computernetwerk uitbesteed aan een IT-leverancier. Die leveranciers bleven tot nu toe buiten beeld als het bij een klant misging, en claimden alleen een inspanningsverplichting te hebben. Daar komt met deze uitspraak mogelijk verandering in.
Schone naald en fiets zonder slot
In de zaak uit 2018 adviseerde het IT-bedrijf de klant om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven, maar die werden, volgens het IT-bedrijf, door het administratiekantoor geweigerd vanwege de kosten. Het IT-bedrijf liet de maatregelen daardoor vallen. Het administratiekantoor claimt overigens meer dan een ton te hebben geïnvesteerd. De rechter oordeelt dat de leverancier zijn klant explicieter had moeten waarschuwen voor de risico's of de opdracht zelfs terug had moeten geven.
"Terecht", zegt Groenewegen. "In allerlei andere beroepen gaan we er ook van uit dat dingen veilig zijn. Als ik naar de dokter ga en zeg dat ik een schone naald te duur vind, dan gaat die daar ook niet in mee. Ook bij een elektricien mag je ervan uitgaan dat hij de elektriciteit veilig aanlegt. En wie in de winkel een waterkoker koopt, mag verwachten dat de stekker ervan veilig in het stopcontact kan."
Jurist Bremmer van NLdigital ziet dat echter anders. Zij vergelijkt de zaak met het verkopen van een fiets zonder slot. "Een fietsenmaker zal je altijd adviseren te investeren in een deugdelijk slot. Maar de rechter zegt hier als het ware: als die klant dan nee zegt, moet je eigenlijk ook de fiets niet verkopen. Dat gaat wel erg ver. Bij een fiets snapt iedereen dat een slot nodig is, maar als het om IT gaat, is dat begrip er helaas nog niet altijd." Zij verwacht niet dat door de uitspraak IT-leveranciers zonder meer aansprakelijk gesteld kunnen worden wanneer bedrijven in problemen komen door een onvoldoende beveiligd systeem. In de betreffende zaak had de leverancier de klant naar eigen zeggen wel gewaarschuwd dat de situatie niet veilig was, maar dat was niet op papier vastgelegd.
Vastleggen
De les is volgens Bremmer dan ook: "Leg je afspraken met klanten altijd vast en wijs klanten op de risico’s rondom beveiliging." Volgens Duthler is het vastleggen op zichzelf onvoldoende: bij grote risico's rondom de beveiliging moet de opdracht volgens haar sowieso teruggenomen worden op basis van het vonnis.
Bent u hier als automatiseerder voor verzekerd?
Als automatiseerder vraagt u zich waarschijnlijk af wat het gevolg van een dergelijke claim voor uw organisatie is. Bent u hiervoor verzekerd, bijvoorbeeld via de beroepsaansprakelijkheidsverzekering? Natuurlijk is dit volledig afhankelijk van de verzekering die u heeft afgesloten en welke voorwaarden er gelden. Wij adviseren u hier graag over zodat u zeker weet dat u bij een eventuele claim goed verzekerd bent.
Bron: FD.nl
Publicatiedatum: 19 juni 2020