image

Maakt onverstandig handelen op verzoek van de klant een IT-dienstverlener schadeplichtig?

woensdag 10 juni 2020, 11:18 door Arnoud Engelfriet, 24 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik werk als IT-automatiseerder voor mkb'ers. Een klant wil volledig opnieuw geautomatiseerd worden, dus ik ben druk bezig met netwerk, software, firewalls et cetera. Alleen vindt de klant mijn gekozen firewall- en VPN-oplossing te duur, zijn de wachtwoorden te moeilijk (het liefst heeft hij drieletterige wachtwoorden geloof ik) en wordt mijn advies over backups genegeerd. Ben ik nu aansprakelijk als ik toegeef?

Antwoord: Ja, dat is heel goed mogelijk. Je hebt écht een zorgplicht en dat betekent ook doorvragen en vasthoudend doen als de klant er niet aan wil. Doe je dat niet, en gaat er wat mis, dan hang jij voor de kosten die het bedrijf heeft geleden. Je komt niet weg met “ik heb het voorgesteld maar ze vonden het te duur / ze wilden er niet aan”. Onverstandig handelen op verzoek van de klant maakt je schadeplichtig. En nee, je algemene voorwaarden gaan je niet redden.

Een recent gepubliceerd vonnis uit 2018 laat goed zien hoe de rechter hiermee omgaat. Een IT-dienstverlener en automatiseerder had aan een administratiekantoor aangeboden om de IT-infrastructuur opnieuw in te richten. Er werd een nieuw netwerk aangelegd en allerlei onderhoud uitgevoerd. Wat me daarbij opvalt, is dat er geen uitgebreide afspraken gemaakt maar op basis van goed vertrouwen tegen een vast tarief (380 euro per maand, ja maand) werd gewerkt.

In 2017 werd het kantoor slachtoffer van ransomware. Zij heeft ervoor gekozen te betalen en zo haar bestanden terug te krijgen, kennelijk de enige manier want er was iets met de back-ups en daar kom ik zo op. Een cybersecuritybedrijf kwam tot de bevinding dat er een backoffice-account was met een zwak wachtwoord én dat poort 443 open stond zodat je vanaf internet een remote desktop kon starten. In juridische taal: slordigheden.

Ook signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke back-upvoorziening was. Met name dat laatste: "[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup."

Wat was nu het probleem daarmee? Nou ja, er was bij het offertetraject gesproken over een "totaalpakket" aan IT-dienstverlening. Het kantoor stelde nu dat beveiliging daar natuurlijk ook bij hoort, wat in 2017 best wel redelijk was als uitgangspunt. En aangezien die duidelijk was verzaakt, moest het IT-bedrijf de kosten van herstel (de bitcoins) en bereddering (de factuur van het securitybedrijf) komen vergoeden.

Maar het IT-bedrijf wierp daartegen op dat de klant steeds al zijn voorstellen op dat gebied had afgewezen. Zo vond men een firewall te duur, en waren alle back-upoplossingen te ingewikkeld – inclusief de oplossing van een externe USB-schijf die je dan in het weekend mee naar huis nam. Ook had het personeel kennelijk moeite met stevige wachtwoorden, zodat in arren moede dan maar simpele wachtwoorden werden toegestaan.

Je hebt dus een zorgplicht als IT-leverancier (art. 7:401 BW). Dat wil zeggen dat je moet handelen zoals een ‘goed’ vakgenoot zou doen. Dat is een open norm, en het hangt dus volledig af van de situatie wat dat precies inhoudt. Maar wat het niet inhoudt, is dat als de klant zegt "eh firewall is te duur en wachtwoorden graag alleen letters" dat je dan zegt "oké gaan we doen, wat jij wil". Het is en blijft jouw verantwoordelijkheid dat er een fatsoenlijke oplossing komt. Kan dat niet, dan moet je de opdracht teruggeven.

Iets specifieker, als de klant je opdraagt het op een ongepaste of onveilige manier te doen, dan zegt art. 7:402 BW:

De opdrachtnemer die op redelijke grond niet bereid is de opdracht volgens de hem gegeven aanwijzingen uit te voeren, kan, zo de opdrachtgever hem niettemin aan die aanwijzingen houdt, de overeenkomst opzeggen wegens gewichtige redenen.

Natuurlijk, klanten kunnen onverstandig en koppig zijn (zowel alle juristen als alle IT-ers glimlachen nu van herkenbaarheid) maar aangezien jij de professional op dit gebied bent, moet jij die klant bij z'n nekvel pakken en zeggen, zo kan het niet wat u wil. We kunnen het zus doen of zo. Je zet dan bijvoorbeeld alle desktop-firewalls dicht of configureert de router zodat er niet op afstand gewerkt kan worden. Wil men dat toch, ja dan is dat meerwerk want dat moet wel veilig.

Zoals de rechter het formuleert:

Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance.

Dit wil natuurlijk niet zeggen dat je tot in lengte van dagen moet blijven ploeteren tegen de wens van de klant in, zonder extra kosten te mogen rekenen omdat je nu eenmaal een vast maandtarief had afgerekend. Je kúnt op zeker punt best zeggen, goed, dit is het en vanaf hier is het jouw risico. Maar dat kan pas als je uitgebreid hebt voorgelicht en gewaarschuwd, wat niet hetzelfde is als "dit lijkt me niet veilig maar oké". En ook niet als "artikel 14.3 van mijn algemene voorwaarden zegt dat de gevolgen van klantkeuzes voor zijn rekening komen", zoals sommige IT-ers nog wel lijken te denken.

Op één punt had de IT-er het wel goed gedaan en dat waren die zwakke wachtwoorden. Hij had eerst keurig ingewikkelde wachtwoorden ingesteld, maar de klant had daar moeilijk over gedaan. En pas na diverse rondes discussie én een uitdrukkelijke waarschuwing gaf hij zich gewonnen:

Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van [het administratiekantoor] heeft vereenvoudigd. Op de zitting heeft [betrokkene] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.

Daarom komt een derde van de schade voor eigen risico van de klant. En die schade? Ja, een slordige 15 duizend euro: gederfde omzet door bedrijfsstilstand, de kosten van het onderzoek én de drie bitcoins die nodig waren om de data terug te krijgen. Wellicht dat algemene voorwaarden deze vordering iets hadden kunnen dempen, maar schending van je zorgplicht is een vrij fundamenteel ding dus denk niet dat je wegkomt met enkel dat zinnetje "gederfde omzet komt niet voor vergoeding in aanmerking" of iets dergelijks.

De belangrijkste les voor mij: zorg dat je blijft communiceren met je klant en dat je daarin de risico's ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm "ik snap de risico's en ik wil het tóch zo". Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (24)
10-06-2020, 11:37 door Anoniem
Prima dat je deze zaak bespreekt : maar het gevoel bekruipt me dat de vraag verzonnen was om de zaak te bespreken.

Wordt er werkelijk precies in de week dat deze uitspraak breed publiek wordt exact (firewall/ vpn te duur, zwakke wachtwoorden, backups genegeerd) de vraag gesteld waar de casus over ging ?

Het voelt gemanipuleerd - en daar houd ik niet van . Prima om een relevante juridische casus te belichten , en als er toevallig geen vraag is om dat aan op te hangen , dan is een bespreking ook goed.
10-06-2020, 13:03 door Anoniem
Tja.. Ik weet niet.. De klant wil natuurlijk wat het wilt..

Maar goed als je een gebouw aan het bouwen bent en de klant wil dat je goedkope en/of slecht beton moet gebruiken kan ik me ook voorstellen dat je als aannemer daar natuurlijk niet mee akkoord gaat.. Ongeacht de wensen van de klant..

Ik zou wat betreft de wachtwoorden waarboven over gesproken wordt in eerste instantie de moeilijke wachtwoorden instellen en vertellen dat de handleiding je uit kunt leggen hoe wachtwoorden aan te passen.. Dan blijf ik daar buiten beschouwing want ik heb de wachtwoorden niet ingesteld als simpel maar juist moeilijk achtergelaten. Ja dat het bedrijf zelf de wachtwoorden aanpast is niet mijn probleem meer.. Toch??

Maar als je wat aflevert moet je natuurlijk wel volgens een bepaald beleid handelen..
10-06-2020, 14:12 door Bitje-scheef
@Arnoud

Eigenlijk kun je beter uit elkaar gaan als een klant niet meewerkt aan je adviezen, althans zo lees ik dit verhaal. De kans is heel groot dat de klant (wellicht zelf iets handig met computers maar niet de gevolgen overziet) de boel saboteert.

We krijgen dan dikke pakken papier met voorwaarden (zoals een verzekering) en alles driedubbel verklaart en getekend.
10-06-2020, 14:31 door Anoniem
[A]ngezien [de security] duidelijk was verzaakt, moest het IT-bedrijf de kosten van herstel (de bitcoins) en bereddering (de factuur van het securitybedrijf) komen vergoeden.
Hoezo heeft het IT-bedrijf niet eerst de kans gekregen zelf de oplossing te leveren?

Dan is het hun beslissing om al dan niet te betalen, en niet die van de klant waar dan de dienstverlener maar voor moet opdraaien.


Verder lijkt het me dat je als dienstverlener tegenwoordig backups vrijwel onzichtbaar zou moeten kunnen doen. Elke dag een incremental, versleutelen en naar je eigen opslag (of "de cloud") en je bent een heel eind.
10-06-2020, 15:25 door Anoniem
Door Anoniem:
Verder lijkt het me dat je als dienstverlener tegenwoordig backups vrijwel onzichtbaar zou moeten kunnen doen. Elke dag een incremental, versleutelen en naar je eigen opslag (of "de cloud") en je bent een heel eind.

Volgens mij had ik in een eerdere versie van het verhaal al gelezen dat er door de keuze voor hippe online backup
oplossingen in plaats van de oude vertrouwde tapes of andere offline media juist het probleem was dat de backups
ook niet meer te lezen waren na de ransomware aanval. En dat hoor je steeds vaker.
Dat is de IT dienstverlener ook wel aan te rekenen, als die komt met een oplossing die niet veilig is tegen malware.
(dwz alleen geschikt voor situaties als brand of per ongeluk verwijderde data, en niet voor recovery van sabotage)

Wat de wachtwoorden betreft, daar zie je voor de zoveelste keer weer dat je als IT'er wel betweterig kunt aankomen
met extreem complexe wachtwoorden die niet te kraken en ook niet te onthouden zijn, maar dat je daarbij wellicht
het tegenovergestelde bereikt omdat die klant dan de wachtwoorden niet meer kan onthouden en simpeler wachtwoorden
wil die wellicht nog simpeler zijn dan iets wat je er wel initieel doorheen had kunnen krijgen als je wat realistischer
complexiteitskeuzes had gemaakt.

Plus dat je de klant natuurlijk moet vertellen dat een wachtwoord alleen vergelijkbaar is met het slot op de kantoorkast
of een hangslotje op de schuur, maar niet met een kluisslot. DWZ wachtwoorden zijn geen beveiliging van data
tegen kwaadwillende aanvalles, daar heb je 2nd factor authenticatie voor nodig. Een remote desktop of andere
beheer login faciliteit zonder 2nd factor authenticatie dat is gewoon nalatig, eigenlijk onafhankelijk van de eisen die
je aan de wachtwoorden stelt. En zodra je 2nd factor hebt kunnen die eisen best wat omlaag.
10-06-2020, 15:48 door Anoniem
De uitspraak lijkt vrij weinig rekening te houden met de praktische situatie in het veld. Klanten willen van alles, totdat er betaald moet worden of het in hun ogen lastig is. Dat is een gevecht tegen de bierkaai. De rekening wordt eigenlijk volledig bij de dienstverlener neergelegd, behalve als je erg moeilijk wilt doen en alles vastlegt. Het gevolg kan niet anders zijn dan een extreem stroperig proces en een pijnlijke relatin. Naar aanleiding van deze uitspraak zal dan ook een situatie ontstaan waarbij dienstverleners klanten geen centimeter meer geven, totdat er een volgende uitspraak ligt die redelijker is en meer ruimte geeft.
10-06-2020, 17:11 door Anoniem
Door Anoniem:
Door Anoniem:
Verder lijkt het me dat je als dienstverlener tegenwoordig backups vrijwel onzichtbaar zou moeten kunnen doen. Elke dag een incremental, versleutelen en naar je eigen opslag (of "de cloud") en je bent een heel eind.
Volgens mij had ik in een eerdere versie van het verhaal al gelezen dat er door de keuze voor hippe online backup
oplossingen in plaats van de oude vertrouwde tapes of andere offline media juist het probleem was dat de backups
ook niet meer te lezen waren na de ransomware aanval. En dat hoor je steeds vaker.
Dan heb je ook geen backups, maar hippe cloudvulling. Backups staan of vallen met de restore.

Dus bijvoorbeeld een bootable USB-stick die toegang heeft op die opslag (bij de leverancier of "in de cloud" of op een tape ofzo) waar de backups staan en daarmee de restore kan doen, en dat test je regelmatig.

Dat is de IT dienstverlener ook wel aan te rekenen, als die komt met een oplossing die niet veilig is tegen malware.
(dwz alleen geschikt voor situaties als brand of per ongeluk verwijderde data, en niet voor recovery van sabotage)
Een "bare metal restore" maakt het niet uit wat de aanleiding is. Zolang de data maar beschikbaar is, en de restore-software gestart kan worden.

Maargoed dan heb je dus een soort eenwegluik voor het opslaan van je backups nodig, en niet een gedeelde schijf waar eventuele malware eerdere backups kapot kan maken.


DWZ wachtwoorden zijn geen beveiliging van data tegen kwaadwillende aanvalles, daar heb je 2nd factor authenticatie voor nodig.
Ook "2FA" is geen panacea. Niets dat malware weerhoudt om "data met wachtwoord erop" nog een keer te versleutelen. Tenzij die data ergens staat waar malware niet bij kan of de opslag niet toestaat dat eenmaal geschreven data nog eens geschreven of gewist wordt.

Een remote desktop of andere beheer login faciliteit zonder 2nd factor authenticatie dat is gewoon nalatig, eigenlijk onafhankelijk van de eisen die je aan de wachtwoorden stelt. En zodra je 2nd factor hebt kunnen die eisen best wat omlaag.
Dat wil ik niet zo zeggen. Ik zou bijvoorbeeld met een ssh-sleutel zonder "tweede factor" durven werken.* Daarnaast, als die remote desktop vooral bedoeld is voor de beheerders, dan is het heel raar dat daar ook wachtwoorden maar moeilijk gevonden worden.

* Zit meestal in een agent op mijn werkstation, verder staat er een wachtzin en niet een wachtwoord op.
10-06-2020, 18:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Verder lijkt het me dat je als dienstverlener tegenwoordig backups vrijwel onzichtbaar zou moeten kunnen doen. Elke dag een incremental, versleutelen en naar je eigen opslag (of "de cloud") en je bent een heel eind.
Volgens mij had ik in een eerdere versie van het verhaal al gelezen dat er door de keuze voor hippe online backup
oplossingen in plaats van de oude vertrouwde tapes of andere offline media juist het probleem was dat de backups
ook niet meer te lezen waren na de ransomware aanval. En dat hoor je steeds vaker.
Dan heb je ook geen backups, maar hippe cloudvulling. Backups staan of vallen met de restore.

Dus bijvoorbeeld een bootable USB-stick die toegang heeft op die opslag (bij de leverancier of "in de cloud" of op een tape ofzo) waar de backups staan en daarmee de restore kan doen, en dat test je regelmatig.

Zolang je systeem zowel je back-ups als je data kan benaderen blijf je dit probleem houden. De enige echte oplossing lijken nog steeds tapes of, iets meer houtje-touwtje, externe harde schijven die afgekoppeld worden. Alle andere oplossingen zitten vol met valkuilen of zijn domweg geen oplossing.
10-06-2020, 22:22 door Anoniem
Een zeer herkenbaar probleem. Hoe meer ervaring je hebt, hoe meer zinnige oplossingen, hoe meer de kant de neiging heeft om ondernemers verantwoordelijkheden en keuzes bij je neer te leggen. Veel te vaak hoor ik "jij bent zo een kei in alles, dat laten we met een gerust hart aan jou over". Tot het geld kost. Zowel in producten van derden als in tijd van jezelf. Klinkt het allemaal te logisch, dan volgt ook nog, het is allemaal simpel, jij kunt dat gemakkelijk, dus veel kan dat toch niet kosten hè? In dat geval identificeert de klant zich met jouw vaardigheden, en begint serieus te menen zelf alles bedacht te hebben. Dus belachelijk dat de klant je nog gaat betalen voor zaken die hij zelf bedacht heeft. Aan het einde sta je in het zelfde straatje als wat je te horen kreeg toen je binnen kwam: "Die vorige kon niks, en was veel te duur en deed nooit wat". Dat laatste is overigens erg slecht voor ons als beroepsgroep in het algemeen. Nooit je voorgangers afvallen. Naast steken die ze mogelijk hebben laten vallen, altijd prijzen om wat ze wel erg goed gedaan hebben.

Mijn oplossing vergt enige zelfdiscipline. Een ticket systeem. Daarin leg je alles vast. Wat je zelf doet, maar ook de klant kan daarin toevoegen of updaten. Prioriteiten kunnen worden gesteld, of als de klant iets moet doen (eigen verantwoordelijkheid nemen) dan kun je ook een project on hold zetten als het weer eens te lang duurt. Dat houdt het overzichtelijker voor jezelf ook.

Je zult gelijk merken dat de klanten zo een ticket systeem "enorm veel gedoe" gaan vinden en "erg omslachtig en onhandig". Hoe mooi het ook is. Dat los je op door te zeggen, geen punt, wat je ook via welke emails of chatgroepen of voice berichtjes via de whatsapp allemaal om mij af stuurt (en heel veel CC gedoe), dat zet ik er zelf in. Dat we overzicht houden.

Eind van de rit hou je mooi overzicht. Plus dat de klant altijd automatisch een email krijgt van ticket updates. Het scheelt heel veel algemene voorwaarden formuleren. Als er zaken aan te bevelen zijn op security gebied het zelfde. Als de klant er vanaf ziet wegens te duur, vastleggen. Met dag en datum. En even goeie vrienden. Komt er later gedoe van, dan heb je een mooi overzichtje dat ook elke advocaat en rechter graag ziet. Vastlegging van wat er precies gebeurd is. Wordt de klant dan later gehackt, geransomwared en gedefaced tegelijk, dan kun je heel fraai zelf laten zien dat daar met afbestellen wegens de kosten zelf om gevraagd is.

Op het moment dat je de ondernemers verantwoordelijkheid terug legt bij de klant zul je snel merken dat de klant dat heel goed door heeft. En wél ineens de knip opentrekt. Want de vlieger van afgekochte zelf hebben we er geen verstand van dus de leverancier is schuldig gaat niet meer op.

Het is allemaal een kwestie van even streng zijn, en het daarnaast voor de klant zo gemakkelijk mogelijk maken (als het te moeilijk is, zet je het er zelf even in). Ook besluitenlijstjes van video chats met het maakt niet uit hoeveel meningen aan de andere kant, gewoon even vastleggen. Zodat degene die betaalt een mooi overzichtje krijgt van wat "we" afgesproken hebben en wat "we" gaan doen.

Zijn er conflicten, dan is het in veel gevallen vast tarief voor een advocaat. Als er dan niet honderd emails en allerlei vage chat backups doorgeploegd moeten worden, maar alles piekfijn op een rijtje staat, dan is het voor je advocaat ook leuker werken.
10-06-2020, 22:54 door Anoniem
Door Anoniem: Zolang je systeem zowel je back-ups als je data kan benaderen blijf je dit probleem houden.
Dan zorg je dus dat dat niet kan. Dat kan al met zoiets simpels als een "incoming" FTP waar de backups heen gaan, waar dus de bestandsverstuurder wel een bestand kan aanmaken in die directory maar niet kan zien wat er verder nog in staat. Daar zijn nog wel meer truuks voor te verzinnen.

(En ja ik weet dat FTP standaard niet versleuteld is en nee dat hoeft geen probleem te zijn. Je wil namelijk toch dat de backups zelf versleuteld zijn, dus daar begin je mee. Of daarna voor het transport nog een keer versleutelen zin heeft is een beetje academisch. Maar een vergelijkbare truuk kan ook best met een wel-versleuteld transportmechanisme.)

De enige echte oplossing lijken nog steeds tapes of, iets meer houtje-touwtje, externe harde schijven die afgekoppeld worden. Alle andere oplossingen zitten vol met valkuilen of zijn domweg geen oplossing.
Ik denk dat je jezelf een beetje doodstaart. Je wil het liefste werkelijke off-line storage, maar laten we even nadenken wat het probleem ookalweer was. Dat de klant het te moeilijk vond zelf backups te regelen of zelfs maar een USB-schijf aan- en af te koppelen.

(Wat mij betreft een stukje onwil van de klant, waarvan er veel stukjes te zien waren. Ik was als dienstverlener waarschijnlijk eens even goed ernstig met ze gaan babbelen en als ze niet inbonden dan gewoon weggelopen wegens het gezeik niet waard. 10000 / 380 is 26 maanden voor nop werken. Leuk. Is ook wel een beetje fly-by-night prijsje dus klant wilde al voor een dubbeltje op de eerste rang zitten. Tsja.)

Nou, wat is er tegen om die backups bij de dienstverlener (en dus "off-site") neer te zetten? De dienstverlener kan ze dan vervolgens op tape gooien. En als'ie dat voor veel klanten doet heeft'ie zelfs een excuus om een grote tape library neer te zetten en dat allemaal helemaal automatisch te doen. Zelfs met aparte tapes voor klanten en alles.

Vroeger kon dat niet wegens bandbreedte, maar nu waarschijnlijk wel. Zelfs met al die moderne bestandsformaten die om onduidelijke redenen alleen maar groter worden. Een administratiekantoor doet nog steeds vooral in cijfertjes en briefjes, en als je dat maar genoeg compresseert past dat wellicht zelfs nog wel op een spreekwoordelijk ceedeetje per week ofzo.
11-06-2020, 07:58 door Bitje-scheef - Bijgewerkt: 11-06-2020, 07:59
Zolang je systeem zowel je back-ups als je data kan benaderen blijf je dit probleem houden. De enige echte oplossing lijken nog steeds tapes of, iets meer houtje-touwtje, externe harde schijven die afgekoppeld worden. Alle andere oplossingen zitten vol met valkuilen of zijn domweg geen oplossing.

Een populair backup product is VEEAM. Die was zogenaamd ook ransomewareproof, althans dachten ze zelf. Tot dat er ransomeware kwam die online backup en VEEAM aware was. Alle backups encrypted en de database was verwijderd/versleuteld.

Als een leverancier binnenkomt met een backupoplossing, is mijn eerste vraag altijd; wat als ransomeware...
Vele backupproducten hebben daar gewoon nog steeds geen goede oplossing voor. De scheidslijn tussen de sjaak en netjes kunnen restoren is flinterdun.

Inmiddels is de detectie vanuit endpoint-security aardig verbeterd, maar die ransomeware-cowboys zitten ook niet stil.
11-06-2020, 10:30 door Anoniem
Door Bitje-scheef:
Als een leverancier binnenkomt met een backupoplossing, is mijn eerste vraag altijd; wat als ransomeware...?
Vele backupproducten hebben daar gewoon nog steeds geen goede oplossing voor. De scheidslijn tussen de sjaak en netjes kunnen restoren is flinterdun.
Mischien moet je dat ook niet van je "backupoplossing" verwachten. Of iig niet alleen.

Wat hier ook meespeelt is inadequate tooling. Een "backupoplossing" voor een OS dat zelf al een fs-dumper meelevert die incrementals kan doen is een heel ander verhaal dan een OS dat dat niet doet. Ransomware-resistentie verwachten van een programma dat op een OS loopt dat dat helemaal niet heeft is een stuk hopelozer dan als de software nuttige ondersteuning en beveiliging vanuit het OS meekrijgt. En zo verder.

En nu even practisch. Stel je voor je zet een servertje neer met een ander OS dan de werkstationnetjes, dat daar gedeelde schijfruimte aan levert. Die server maakt regelmatig backups en zet die ergens neer waar de werkstationnetjes er niet bij kunnen (ook niet via het werkstationnetje van de beheerder, echt eerst op de server inloggen danku), en verschuift ze vervolgens naar off-site off-line backup voor de lange duur. Via een server bij de leverancier met nog weer een ander OS. Zet eventueel extra vlaggetjes op de backupbestanden als onwisbaar, onveranderbaar, alleen-aanvastplakken, etc.

Het is nog steeds een beter idee om ook de werkstationnetjes te voorzien van een OS dat meer resistentie heeft tegen ransomware dan gangbaar is op de desktop. Maar met zo'n relatief simpele* opzet maak je het ransomware veel lastiger want om echt te rotten moet het nu "aware" zijn van minstens twee OSen én je backupsysteem. En dus is je ransomware-resistentie niet meer afhankelijk van je "backupoplossing".

* Voor mij dan, ik heb namelijk wel ervaring met meer dan één OS.
11-06-2020, 11:14 door Anoniem
Onzin. Ransomware heeft vaak succes door het kraken van de zwakste schakel, de mens met bijv. phishing.

Argument: Als de betreffende klant/bedrijf zijn personeel niet bewust maakt van gevaren en het personeel dus onbekwaam is om veilig met IT te werken, is het dan de schuld van de automatiseerder?

Je kunt een dienstverlener niet overal de schuld van in de schoenen schuiven.
11-06-2020, 11:18 door Anoniem
Door Anoniem:
Door Anoniem: Zolang je systeem zowel je back-ups als je data kan benaderen blijf je dit probleem houden.
Dan zorg je dus dat dat niet kan. Dat kan al met zoiets simpels als een "incoming" FTP waar de backups heen gaan, waar dus de bestandsverstuurder wel een bestand kan aanmaken in die directory maar niet kan zien wat er verder nog in staat. Daar zijn nog wel meer truuks voor te verzinnen.
Ja en er zijn ook weer truuks te verzinnen waardoor die truuks niet meer werken!
Als je niet een simpele on-the-fly ransomware hebt die door een gebruiker of beheerder per ongeluk is gestart vanuit
een mail of website en even alles gaat encrypten, maar een geavanceerdere situatie zoals wat men bij die universiteit
had, dan werkt dit niet. Stel je hebt een indringer op je netwerk die gewoon zijn gang kan gaan in het systeem. Dan
kan die iets installeren wat zorgt dat jouw bestaande backup systeem modificeert waardoor al die data die je via FTP
naar een readonly directory stuurt meteen ook encrypted wordt. Dit laat ie een paar weken of maanden zo draaien,
jij hebt niks in de gaten want je backups worden gewoon gemaakt en je test niet iedere dag de restore op een totaal
offline systeem. Na enige tijd encrypt hij ook de live bestanden en denk jij "geen probleem ik pak de backup" maar dan
blijken alle backups na een bepaalde datum ook encrypted te zijn, en de impact van 2 maanden terug gaan in je
backups te groot. Dan zul je alsnog moeten betalen...
11-06-2020, 12:47 door Anoniem
Jammer dat de rechter niet heeft meegewogen dat je voor EUR 380,- in de maand ook niet veel mag verwachten. Een beetje in stand houding en wat servicedeskachtige activiteiten. Hoe kan je nu in godsnaam voor EUR 380,- / maand een deugdelijk beveiligde ICT omgeving verwachten. Je bent die kosten al kwijt aan enkel een firewall/vpn licentie.

Voor een dubbeltje op de eerste rang.....en dan wel Duthler als advocatenkantoor. Bijzondere afwegingen.....
11-06-2020, 15:34 door Anoniem
Door Anoniem: Jammer dat de rechter niet heeft meegewogen dat je voor EUR 380,- in de maand ook niet veel mag verwachten. Een beetje in stand houding en wat servicedeskachtige activiteiten. Hoe kan je nu in godsnaam voor EUR 380,- / maand een deugdelijk beveiligde ICT omgeving verwachten. Je bent die kosten al kwijt aan enkel een firewall/vpn licentie.

Voor een dubbeltje op de eerste rang.....en dan wel Duthler als advocatenkantoor. Bijzondere afwegingen.....
Ik begreep dat ook mee telde dat onvoldoende vastgelegd was dat de dienstverlener advies had gegeven, en onvoldoende concreet had aangegeven dat als ze "xyz" niet doen de dienstverlener niet meer voor de veiligheid kan in staan.

Stel dat de garage je verteld dat de banden te oud zijn en vervangen moeten worden, en als klant zeg je: dat kan nog best wel.
En je krijgt een klapband, of in hevige regen glij je van de weg. Ben je dan als klant ook in staat om bij de rechter te claimen: mijn garage verzorgt de auto, zij moeten de schade betalen? Of moet je dan als garage tegen de klant zeggen: zonder nieuwe banden krijg je de auto niet meer mee!

Q
12-06-2020, 06:32 door Anoniem
Een recent gepubliceerd vonnis uit 2018 laat goed zien hoe de rechter hiermee omgaat.
...
Wat me daarbij opvalt, is dat er geen uitgebreide afspraken gemaakt maar op basis van goed vertrouwen tegen een vast tarief (380 euro per maand, ja maand) werd gewerkt.

If you pay peanuts, you get monkeys!

Mijn ervaring is dat er veel bestuurders zijn die tegen wil-en-weten hun eigen omgeving saboteren, zodat *als* er problemen ontstaan zij niet aansprakelijk zijn.

Walgelijk!
12-06-2020, 07:36 door Anoniem
signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke back-upvoorziening was. Met name dat laatste: "[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup."

Sorry, maar je kan met een goede backup de gevolgen oplossen, NIET de aanval voorkomen.
12-06-2020, 09:45 door Anoniem
Door Anoniem:
signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke back-upvoorziening was. Met name dat laatste: "[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup."

Sorry, maar je kan met een goede backup de gevolgen oplossen, NIET de aanval voorkomen.
Als je de betreffende tekst in het vonnis opzoekt blijkt dat daar niet staat dat de aanval voorkomen had kunnen worden maar dat het om het betalen van het losgeld gaat, en dat klopt.
12-06-2020, 10:24 door Anoniem
Volgens mij is de enige les hiervan dat alles goed vastgelegd moet worden.
Je kan best als leverancier adviezen uitbrengen, mocht de klant dit niet willen om wat voor reden dan ook, leg dit goed vast en wat de consequentie is van het besluit, laat de klant tekenen dat zij akkoord gaan met lagere security.

Mogelijk wanneer je verantwoordelijkheid bij klant legt, met een getekend document, dat ze ook beter nadenken wanneer zij verantwoordelijk zijn.

Een rechter zal met de leverancier akkoord gaan mits alles goed gedocumenteerd en getekend door klant over verantwoordelijkheid na een ransomware aanval lijkt mij.
Uit het verhaal lijkt dat het over een "totaal pakket" gaat, waar dus niet duidelijk beschreven staat wat het inhoud.c@#u6nc
12-06-2020, 11:13 door Anoniem
Door Anoniem:
Door Anoniem:
signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke back-upvoorziening was. Met name dat laatste: "[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup."

Sorry, maar je kan met een goede backup de gevolgen oplossen, NIET de aanval voorkomen.
Als je de betreffende tekst in het vonnis opzoekt blijkt dat daar niet staat dat de aanval voorkomen had kunnen worden maar dat het om het betalen van het losgeld gaat, en dat klopt.
Ik reageerde op de tekst van Arnoud!
12-06-2020, 13:46 door Anoniem
Die MKB'er is verkeerd van start gegaan.

Hij had eerst een volledig voorstel moeten maken met alle randvoorwaarden en klant eisen daarin opgenomen.
Als uit dat voorstel dan een offerte vraag komt kan de klant daar altijd een nee op geven en is er niets verkeerd gedaan door die MKB'er.
Klant komt er dan vanzelf achter dat elke MKB'er dat doet en de klant moet dan ergens een compomis gaan doen in zijn eisen pakket om toch geholpen te worden.
15-06-2020, 12:20 door Anoniem
Door Anoniem: Prima dat je deze zaak bespreekt : maar het gevoel bekruipt me dat de vraag verzonnen was om de zaak te bespreken.

Wordt er werkelijk precies in de week dat deze uitspraak breed publiek wordt exact (firewall/ vpn te duur, zwakke wachtwoorden, backups genegeerd) de vraag gesteld waar de casus over ging ?

Het voelt gemanipuleerd - en daar houd ik niet van . Prima om een relevante juridische casus te belichten , en als er toevallig geen vraag is om dat aan op te hangen , dan is een bespreking ook goed.

Nou de zaak komt mij wel heel bekend voor en meer dan 1 of 2 keer. Vooral als de IT verantwoordelijke eigenlijk weinig met IT op heeft (extra taak van een manager of directeur...). Alles is te duur, firewall kan ook met een Linksys van de Mediamarkt, UPS is wel een hele dure batterij en backup software word met een goede raid-configuratie zelfs soms ook als onnodig gezien. Wel je auto even wegzetten graag, je staat voor de laadpaal van zijn Tesla.... Zo'n UPS op wielen die *wel* kan...
15-06-2020, 15:09 door Anoniem
Door Anoniem: Prima dat je deze zaak bespreekt : maar het gevoel bekruipt me dat de vraag verzonnen was om de zaak te bespreken.

Wordt er werkelijk precies in de week dat deze uitspraak breed publiek wordt exact (firewall/ vpn te duur, zwakke wachtwoorden, backups genegeerd) de vraag gesteld waar de casus over ging ?

Het voelt gemanipuleerd - en daar houd ik niet van . Prima om een relevante juridische casus te belichten , en als er toevallig geen vraag is om dat aan op te hangen , dan is een bespreking ook goed.

Het betreft geen verzonnen vraag zie uitspraak op rechtspraak.nl:
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.