Rechter dwingt gehackt softwarebedrijf tot flinke verplichtingen

Maar de IT-firma en de marktonderzoeker zijn er niet uitgekomen. Blauw-CEO Jos Vink heeft op woensdagmiddag al openlijk verklaard dat hij verwachtte er niet uit te zullen komen met Nebu. Die leverancier was voor het kort geding al weinig scheutig met informatie en heeft het feit van de hackaanval pas na verloop van tijd gemeld aan zijn klanten.

De vrijblijvend lijkende verklaring van Nebu, om te bekijken wat er mogelijk aan informatie gedeeld kan worden, is geheel van tafel geveegd met het oordeel van de rechter. Die verplicht het gehackte bedrijf tot uitgebreide, diepgaande en langdurige overdracht van informatie. Daarbij gaat de rechter ook inhoudelijk de diepte in.

Gedetailleerde informatie verstrekken

Zo moet Nebu allereerst "alle beschikbare informatie met betrekking tot de cyberaanval" verstrekken aan Blauw. Dit betreft niet alleen de manier waarop de datadieven initieel zijn binnengekomen (initial access), maar ook wat zij allemaal hebben gedaan tot en met het moment dat Nebu zijn systemen offline heeft gehaald in reactie op de geslaagde aanval.

Deze hack is op 10 maart begonnen, heeft zeker drie kwartier aan data-exfiltratie mogelijk gemaakt, en is pas na 31 uur ontdekt door Nebu. Pas drie weken daarna heeft het gehackte bedrijf dit nieuws naar buiten gebracht. De Rotterdamse rechter lijkt dat tijdsbestek met kritische blik te hebben meegenomen in het vonnis.

Verder moet alle beschikbare informatie over de data-exfiltratie en het onderzoek daarnaar worden gedeeld. Ook hierbij geeft de rechter heldere instructies: "met inbegrip van de indicatoren die wijzen op data-exfiltratie, de analyse van die indicatoren en welke data van Blauw en/of haar klanten is geëxfiltreerd". Ook informatie over en communicatie met de aanvallers moet Nebu van de rechter verstrekken aan Blauw.

Herstelwerk laten onderzoeken

Naast de hack en de initiële reactie van Nebu komt ook herstelwerk aan de orde; wat er is gedaan en wat mogelijk nog gedaan gaat worden. Deze informatie is "met inbegrip van de methode en tooling die gebruikt is voor het 'scannen' van de systemen op resterende malafide software, data en overige kwetsbaarheden". De rechter schrijft in het vonnis: "alle beschikbare informatie over de door Nebu getroffen en voorgenomen technische en organisatorische maatregelen naar aanleiding van het incident". Dit omvat ook "interne en externe aanbevelingen daarover en de status van opvolging daarvan".

Hier blijft het echter niet bij. Nebu moet van de rechter ook nog eens dagelijks om 18:00 uur Nederlandse tijd een schriftelijke update verstrekken. Die bevat dan "alle voor Blauw relevante ontwikkelingen met betrekking tot het beveiligingsincident" en informatie over het forensische onderzoek "naar de oorzaak en de (mogelijke) gevolgen van het incident". Deze dagelijkse rapportage loopt tot 6 juni 2023, 18:30 uur Nederlandse tijd.

Nebu heeft vijf werkdagen de tijd om een externe partij opdracht te geven voor het uitvoeren van dat door de rechter nu verplichte forensische onderzoek. Die termijn loopt vanaf vandaag, de dag van het vonnis. Die partij mag niet zomaar een securityfirma zijn, maar moet "aantoonbare expertise en kwalificaties op het gebied van cybersecurity en het uitvoeren van forensische onderzoeken in die context bezitten".

Over vier weken rapport

Deze onderzoeker moet van de rechter dan zowel de oorzaak van de hackaanval en de mate van datadiefstal uitpluizen, als ook de maatregelen die Nebu heeft getroffen. Verder moet het gehackte bedrijf de aan te halen forensische firma als opdracht geven om het definitieve rapport binnen vier weken op te stellen.

Dat rapport moet dan zodra het gereed is binnen 24 uur aan Blauw beschikbaar worden gesteld. Daarin mogen dan persoonsgegevens worden geanonimiseerd en mogen gegevens van andere klanten van Nebu dan Blauw (en haar klanten) worden weggelaten, specificeert de rechter in het vonnis. Hierbij moet Nebu ook een reeks aan gegevens, informatie en documentatie bewaren voor een eventueel forensisch tegenonderzoek, dat dan door Nebu zelf of door Blauw kan worden uitgevoerd.

De getroffen marktonderzoeker krijgt van de rechter ook het recht om verdergaande vragen te stellen over de cyberaanval, die Nebu dan zo goed en volledig mogelijk moet beantwoorden. Deze informatieplicht heeft een looptijd tot 6 juni dit jaar, om 18:00 uur Nederlandse tijd. Inperking qua persoonsgegevens, informatie van andere Nebu-klanten en juridische adviezen aan Nebu is wel van toepassing. Daarnaast geldt er een behoud voor als Blauw "apert onredelijke eisen" zou stellen zoals bijvoorbeeld "onredelijk korte termijnen".

Dagelijkse dwangsommen

Tot slot veroordeelt de rechter het gehackte softwarebedrijf tot een dwangsom van 25.000 euro voor elke dag dat er niet wordt voldaan aan één of meer van de vele, gedetailleerde hoofdveroordelingen. Daarbij is een plafond ingesteld van 500.000 euro, wat dus neerkomt op twintig dagen. De door Blauw gemaakte proceskosten van zo'n 2400 euro moeten door Nebu worden voldaan.