Een ransomware-aanval kan leiden tot flink wat schade. Het is goed mogelijk dat de IT-leverancier in dit geval gedeeltelijk aansprakelijk is voor de schade die wordt geleden als gevolg van deze aanval. In 2018 deed de rechtbank uitspraak in een dergelijke zaak, waarbij de rechtbank de IT-leverancier wees op de informatieplicht. De IT-expert zou onvoldoende aan zijn informatieplicht hebben voldaan richting de klant en werd hierdoor aansprakelijk bevonden voor een deel van de ransomware-schade die door de klant werd geleden.
Om wat voor opdracht ging het?
De opdracht werd al in 2009 geplaatst door de betreffende klant bij de IT-leverancier. De twee partijen sloten een overeenkomst voor het door de IT-specialist laten installeren van een nieuw netwerk. Hierbij zou de IT-leverancier tegen een vaste prijs per maand de nodige onderhouds- en beheerwerkzaamheden voor de klant uitvoeren. Nieuwe installatiewerkzaamheden en producten werden daarbij apart in rekening gebracht. De klant maakt tijdens de installatiewerkzaamheden duidelijk dat er geen beveiligingsmaatregelen hoeven te worden getroffen, zoals een externe back-up en een firewall, omdat dit te duur zou zijn. De IT-leverancier doet geen moeite om de klant van de noodzaak van beveiliging te overtuigen en gaat direct akkoord met deze keuze van de klant. Uiteindelijk zou dit de IT-leverancier duur komen te staan, zo blijkt.
De ransomware-aanval volgde 10 jaar later
Begin 2019, zo’n 10 jaar na het aangaan van de samenwerking met de IT-leverancier, wordt de klant slachtoffer van een ransomware-aanval. Hackers legden beslag op het systeem en eisten een bedrag om het systeem weer vrij te geven. De klant besloot om het bedrag te betalen aan de hackers en schakelt vervolgens een cybersecuritybedrijf in om te onderzoeken waar de oorzaak van deze aanval ligt. Deze onderneming bepaalt dat de oorzaak ligt in een gebrekkige beveiliging.
De totale ransomware-schade liep hoog op
Het schadebedrag liep al snel op voor de klant. Aan het onderzoek en de betaling aan de hackers raakte de klant al 7.000 euro kwijt en er ging nog eens 7.000 euro verloren aan het laten uitvoeren van herstelwerkzaamheden door de leverancier. De klant kan anderhalve week geen zaken doen, waardoor de kosten ook op dit vlak hoog oplopen. Hierop start de klant de procedure voor betaling van deze schadekosten, plus de buitengerechtelijke incassokosten en de wettelijk vastgestelde rente. Alles bij elkaar gerekend ging het om een bedrag van meer dan 42.000 euro.
De IT-leverancier moet 2/3 van de schade betalen
Bij de rechter komt de IT-leverancier met het verweer dat de klant zelf duidelijk de keuze heeft gemaakt om de beveiliging achterwege te laten, omdat dit te duur zou zijn. De rechter besluit niet in het verweer mee te gaan en stelt dat de leverancier sterker had moeten wijzen op de risico’s van het ontbreken van een goede beveiliging. In het uiterste geval had de IT-leverancier de opdracht moeten weigeren, volgens de rechter. De schade wordt door de rechter wel op meerdere punten gematigd, waardoor de uiteindelijke ransomware-schade vast komt te staan op een bedrag van 15.00 euro. De rechter bepaalt dat de klant zelf 5.000 euro dient te betalen en dat de IT-leverancier 10.000 euro dient te vergoeden.
Online werken moet altijd veilig zijn
We werken allemaal steeds meer online en dat betekent dat we zorg moeten dragen voor een optimale online veiligheid. Zo moeten onze systemen maximaal beveiligd zijn, bijvoorbeeld om ransomware-aanvallen te voorkomen, en doen we er goed aan om gebruik te maken van een VPN-service. Wanneer je als advocaat online een externe partij in wilt schakelen, zoals een gerechtsdeurwaarder, dan heb je ook de zekerheid nodig dat dit allemaal betrouwbaar is. Via FORES heb je hier altijd zekerheid van. Bij ons kun je veilig online een gerechtsdeurwaarder bereiken en inschakelen, waar en wanneer jij het nodig hebt. Maak eenvoudig online een account bij ons aan.