IT-beheerder niet aansprakelijk voor gevolgen ransomware-aanval

23/06
Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. Dat meldde Security.nl afgelopen maandag. Dit is de einduitspraak in vervolg op het tussenvonnis van vorig jaar, waarbij de rechtbank oordeelde dat een deskundige nodig was om te bepalen wat er precies wat gebeurd. Alleen was alle it-infrastructuur in de tussentijd vernietigd of vervangen, zodat dat geen zin meer had. Maar dan is de it-er ook niet meer aansprakelijk te houden.

Eiser was de stichting Zabawas, met als doel een erfenis aanwenden om mensen te steunen op gebied van sport en cultuur. In 2013 sloot ze met it-bedrijf PS Logic een overeenkomst voor “all-inclusive ICT-beheer”, waarbij voor ongeveer 130 euro per maand de it-infrastructuur (zegge vier computers, een server en een printer) werden beheerd:
proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers
Op enig moment in 2016 ontstonden problemen met de tapes van de backupserver, waarna werd overgegaan naar een cloudoplossing inclusief MS Office 365 en Verito software voor goede doelen.

In 2018 werd Zabawas getroffen door ransomware (via een kwetsbaarheid in Teamviewer). Daarna bleken relevante backups te ontbreken, waarbij een externe it-dienstverlener met opgetrokken wenkbrauwen constateerde:
Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een `normaal en redelijk handelend’ ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.
In reactie liet het it-bedrijf weten dat het probleem zat in een gebrekkige (afwezige) backup van de SQL database, wat voor veel bedrijven uiteindelijk het pijnlijkste is. Niet gek dus dat men het bedrijf aansprakelijk stelde: “proactief beheren en bewaken van .. backups” en dan geen data backuppen?

Bij de rechter verweerde het it-bedrijf zich door te stellen dat ze vanaf het moment van die cloudovergang geen backupdiensten meer zouden leveren, omdat een ander bedrijf (Verito, van die goededoelensoftware) dit nu op zich had genomen. De rechtbank las dat anders:
Vaststaat voorts dat ICT-omgeving van Zabawas begin 2017 is gewijzigd, waarbij – voor zover hier relevant – Zabawas gebruik ging maken van een nieuwe server die zich bevond in een extern datacenter en back-ups voortaan via de cloud zouden plaatsvinden (zie 2.10 tot en met 2.12). Naar het oordeel van de rechtbank kan niet worden vastgesteld dat daarmee de onder 2.3 vermelde overeenkomst, met in het bijzonder ten aanzien van de “24/7 monitoring van servers, backups en netwerk” is beëindigd. POS4 stelt dat weliswaar, maar Zabawas betwist dat en POS4 heeft haar stelling dat de “24/7 monitoring van servers, backups en netwerk” voor de nieuwe situatie niet meer gewenst was, niet onderbouwd.
Dat roept dan de vraag op wat er misging met de backups. Volgens de it-leverancier, POS4:
Zij stellen dat POS4 in de nieuwe ICT-omgeving van Zabawas had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server bestanden op de server. Op de betreffende server werd ook dagelijks een back-up uitgevoerd van de map SQLBackup. Gebleken is dat Verito de (telkens) nieuwe (wijzigende) bestanden van de SQL server niet heeft weggeschreven naar die daarvoor bestemde back-up map. De SQL back-up map was wel door Verito zelf voor dat doel aangemaakt.
Dat klinkt als een configuratiefout zoals je wel vaker ziet: de backupmap heet A en de te backuppen bestanden gaan naar map B. Maar ook mogelijk is dat de map niet goed opengesteld was voor de synchronisatie naar de cloudserver. Dat is dan typisch iets dat je aan een deskundige vraagt, wat de rechtbank dan ook ging doen.

Probleem daarna:
Zabawas heeft in haar eerste akte na tussenvonnis onder verwijzing naar de brief van haar advocaat van 28 mei 2021 erop gewezen dat de voorzitter en de secretaris van het bestuur van Zabawas bij de mondelinge behandeling hebben verklaard “dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.” In aansluiting hierop heeft Zabawas in haar eerste akte daaraan toegevoegd: “Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
Dan heeft het dus geen zin meer een deskundige te benoemen om te onderzoeken hoe het ransomware-incident heeft kunnen plaatsvinden, omdat de destijds bestaande ICT-omgeving van Zabawas niet meer aanwezig is en dus ook niet kan worden onderzocht. Maar goed, dan houdt het dus wel een beetje op met de schuldvraag.

Wat niet meehielp, is dat de stichting ook had gesteld dat het wel duidelijk was dat het aan de it-leverancier lag, mede op basis van haar ingehuurde externe deskundige. Dat is voor de rechtbank te mager als bewijs, en het zal aan mij liggen maar ik bespeur hier enige gekrenktheid bij de rechtbank:
Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken.
Gevolg is dat alle vorderingen van de stichting worden afgewezen en krijgt men een kostenveroordeling voor de kiezen.

Voor mij een tikje jammer dat er vrij weinig overblijft: de enige les die ik hieruit kan halen, is dat je bij een groot it-incident maar beter voor goede logging kunt zorgen en/of je infrastructuur in de kelder kunt zetten voor forensisch onderzoek achteraf. De ervaring leert alleen dat mensen die dat ingeregeld krijgen, ook de backups wel ingeregeld hebben.

Arnoud

Het bericht IT-beheerder niet aansprakelijk voor gevolgen ransomware-aanval verscheen eerst op Ius Mentis.

Datum: donderdag 23 juni 2022, 08:15
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Rotterdam, Zuid-Holland

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry