Beheer

Security
vinger

IT-aanbieder komt in beeld bij ransomware

Tij lijkt te keren qua vrijwaring voor IT-aanbieders die klanten niet goed beschermen.

© CC0: Pixabay.com geralt
28 april 2021

Tij lijkt te keren qua vrijwaring voor IT-aanbieders die klanten niet goed beschermen.

Recente uitspraken van Nederlandse rechters brengen een kentering in beeld voor verantwoordelijkheid - en aansprakelijkheid - voor IT-aanbieders bij ransomware. Het gaat hierbij niet om preventie of zelfs detectie, maar om herstel: het hebben van toereikende back-ups.

Heet hangijzer bij herstel van IT-rampen, zoals digitale gijzeling, is ICT-dienstverlening. Wie is waarvoor verantwoordelijkheid, en wie is waarvoor aansprakelijk? Terwijl de afnemer uiteindelijk eindverantwoordelijke is, ligt er ook een taak bij de IT-aanbieder. Maar zo'n IT-leverancier kan ook weer beveiligingsadviezen geven die een klant wellicht niet opvolgt. Hoe zit het dan als het misgaat?

Recente ransomwaregevallen zoals bij Nederlandse notariskantoren en bij de gemeente Hof van Twente hebben de grote afhankelijkheid van externe IT weer hard aangetoond. In het eerste geval zijn bijna 100 notarissen enkele dagen lam gelegd. Zij konden geen akten passeren en konden ook mensen daarover niet informeren, omdat ze geen toegang hadden tot de contactinformatie van die klanten.

Beheer, pentest, back-up

In het geval van Hof van Twente had de IT-leverancier voor die gemeente een reeks aan securitymissers gemaakt, zo blijkt uit forensische rapporten die zijn opgesteld na de gegevensgijzeling daar. Een eerder uitgevoerde pentest heeft ook cruciale tekortkomingen in de beveiliging gemist, aldus één van de drie rapporten waar AG Connect vóór publicatie al over is getipt.

De rol van IT-dienstverleners - zoals beheerders maar ook aanbieders van penetratietesten - ligt normaliter vastgelegd in gedetailleerde contracten. SLA's (service level agreements) kunnen details bevatten zoals de maximaal toegestane tijd voor gehinderd zijn in de bedrijfsvoering door digitale problemen.

Ransomware en rechtspraak

Herstel van een ramp, zoals digitale gijzeling, is vaak afhankelijk van het hebben van een goede, recente back-up én de mogelijkheid om die snel te kunnen terugplaatsen. In de praktijk blijkt het nogal eens te ontbreken aan één of beide van die elementen. Naast goede discipline voor back-up en restore is ook een goede bescherming daarvan nodig. Ransomware is namelijk net zo goed in staat om back-ups te versleutelen, of te wissen.

Tot op heden is de gangbare opvatting in de rechtspraak dat een IT-leverancier geen brede, algemene verplichting heeft om een volledige back-up te maken voor klanten. Maar, zo schrijft juridisch adviseur Annemarie Bolscher van Louwers Advocaten, er zijn recente uitspraken gepubliceerd waarin de IT-leverancier wél aansprakelijk wordt gehouden voor gemis van goede back-ups bij een ransomwareaanval.

Leverancier én klant verantwoordelijk

Daarmee is er geen sprake van een volledige afwenteling. IT-aanbieders worden weliswaar meer verantwoordelijk gesteld, maar de afnemer blijft zelf een verantwoordelijkheid houden. Daarbij komt ook goed 'klantgedrag' om de hoek kijken: in een zaak tussen een digitaal gegijzeld administratiekantoor en diens IT-dienstverlener had eerstgenoemde een waarschuwing voor eenvoudige wachtwoorden naast zich neergelegd.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.