Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. De stichting wilde geen deskundigenonderzoek laten uitvoeren, waardoor de rechter niet kan vaststellen of het it-bedrijf aansprakelijk is voor het zich voordoen van de ransomware-aanval.
De stichting was sinds 2013 klant bij het it-bedrijf. Op 12 april 2018 raakte één van de systemen van de stichting besmet met ransomware, waardoor het systeem onbruikbaar werd en de bedrijfsvoering van de stichting in zijn geheel kwam stil te liggen. Er bleek alleen nog een back-up van juli 2017 beschikbaar, waardoor de stichting veel data kwijt was, alsmede allerlei programmatuur die het door een softwarebedrijf had laten ontwikkelen.
De stichting liet een onderzoek naar de ransomware-aanval uitvoeren. Daaruit kwam naar voren dat die waarschijnlijk via Teamviewer heeft plaatsgevonden. Door beperkte logging-informatie kon dit echter niet met zekerheid worden vastgesteld. "Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ict-leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken", aldus het securitybedrijf dat het onderzoek uitvoerde.
Dat liet weten niet verbaasd te zijn dat er een ernstig verstorend incident zich heeft voorgedaan. "Gezien de huidige staat van de ict-omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau."
Volgens de stichting heeft de it-leverancier nagelaten om periodiek volledige back-ups te maken van de systemen van de stichting en de informatie binnen die systemen. Daarmee is het it-bedrijf tekort geschoten in het nakomen van haar verplichtingen uit de overeenkomst, aldus de aanklacht. Het it-bedrijf stelt dat de ransomware-infectie ook door een medewerker kan zijn ontstaan die een bijlage opende. Wat betreft het ontbreken van data in de back-ups reageerde het it-bedrijf dat dit kwam door het softwarebedrijf dat software voor de stichting ontwikkelde.
De rechtbank stelde vorig jaar augustus in een tussenvonnis dat het op basis van de stellingen van beide partijen niet kan bepalen wat de oorzaak van de ontbrekende data is. Daarom vroeg de rechtbank om het oordeel van een onafhankelijke deskundige. Die moest vaststellen wat de oorzaak is van het ontbreken van de gemaakte software en andere data in de back-ups van de stichting. Tevens moest de deskundige de oorzaak van de ransomwarebesmetting zien te achterhalen en welke rol de beveiliging van het ict-systeem van het it-bedrijf hierbij speelde. Pas met deze informatie zou de rechtbank tot een oordeel kunnen komen.
De stichting stelde dat het geen zin had om het deskundigeonderzoek uit te laten voeren, omdat de destijds bestaande ict-omgeving niet meer aanwezig is en dus ook niet kan worden onderzocht. Daarnaast liet de stichting weten dat in andere zaken er geen deskundige is ingeschakeld. Dat de stichting geen deskundigeonderzoek wil laten uitvoeren zorgt er echter voor dat de rechter naar eigen zeggen niet kan vaststellen dat het it-bedrijf tekort is geschoten in het nakomen van de verplichtingen.
De rechter besloot dan ook de vorderingen van de stichting, die zo'n 27.000 euro van het it-bedrijf eiste, af te wijzen. De stichting werd als verliezende partij uiteindelijk veroordeeld tot het betalen van de proceskosten van het it-bedrijf, die zo'n 4300 euro bedroegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.