Het enkel waarschuwen dat een IT infrastructuur niet adequaat beveiligd wordt, en zich neerleggen bij de wens van zijn cliënt geen adequate beveiligingsmaatregelen te treffen, ontslaat een IT-beheerder niet van zijn aansprakelijkheid voor de schade die als gevolg daarvan heeft kunnen ontstaan. Zelfs als de cliënt redelijke kennis van zaken heeft op het gebied van IT en beveiliging. 

Dit was de belangrijkste conclusie van de rechter, die in het vonnis een aantal belangwekkende uitspraken deed. First Lawyers stond het administratiekantoor bij. Wat was het geval?

Ransomware aanval

In een nacht van zondag op maandag begin 2017 weten hackers binnen te dringen in het netwerk van een administratiekantoor. Alle gegevens worden versleuteld en geen enkele medewerker kan nog bij gegevens van cliënten. Het kantoor ligt een week compleet plat, daar de IT-beheerder geen adequate back-up structuur heeft opgebouwd.

Alleen als het kantoor drie bitcoins aan de gijzelnemers betaalt, kunnen de gegevens worden ontsleuteld. Het kantoor betaalt die bitcoins. Het heeft daarna nog minstens een week nodig om weer ‘in business’ te zijn.

Een onderzoek van een IT-recherchebureau wijst uit dat als de IT-infrastructuur beter was beveiligd, de hack hoogstwaarschijnlijk niet mogelijk was geweest en als dat toch was gelukt de hackers meer tijd nodig hadden gehad om de ransomware te kunnen uitvoeren en zij er wellicht zelfs van af hadden gezien.

De opdracht

Het administratiekantoor had het beheer en onderhoud van zijn netwerk uitbesteed aan een IT-bedrijf. Dit bedrijf had namelijk de opdracht gekregen een volledige IT-infrastructuur aan te leggen, alsook voor het beheer en onderhoud én een adequate beveiliging inclusief back up structuur zorg te dragen. Het administratiekantoor stelt het IT-bedrijf aansprakelijk voor de schade die het heeft geleden als gevolg van de ransomware aanval.

Wanprestatie

Hoewel het onderdeel beveiliging niet zwart op wit staat en dit door het IT-bedrijf wordt betwist, kan de rechtbank Amsterdam zich moeilijk voorstellen dat bij zo’n totaalopdracht niet ook een adequate beveiliging hoort. Zij is vervolgens van oordeel dat door niet te zorgen voor adequate beveiligingsmaatregelen de IT-beheerder de opdracht niet naar behoren heeft uitgevoerd. De rechtbank ging zelfs verder door te stellen dat zelfs als het administratiekantoor alle voorgestelde beveiligingsmaatregelen zou hebben afgewezen, alle waarschuwingen in de wind zou hebben geslagen en daarnaast ook zelf over IT-deskundigheid zou hebben beschikt, dit niet anders zou zijn. De IT-beheerder had de opdracht wegens onuitvoerbaarheid moeten weigeren, alternatieven moeten aandragen en indringend moeten waarschuwen voor de risico’s die het achterwege laten van een firewall en een externe back-upstructuur met zich meebrachten. De IT-beheerder heeft echter berust in de weigering, danwel onwetendheid van zijn cliënt. Dat is hem duur komen te staan.

Aansprakelijk voor schade

De rechtbank stelt de IT-beheerder aansprakelijk voor de schade die het administratiekantoor heeft opgelopen en veroordeelt deze de omzetderving en personeelskosten alsook de kosten voor het inhuren van het technische recherchebureau en de drie bitcoins aan het administratiekantoor te vergoeden.

Categories: Uitspraken