07 jul
Begin juni werd officieel bekend dat een IT-bedrijf verantwoordelijk is gesteld voor de cybercrimeschade van een van zijn klanten. Het nieuws is hier en daar opgepakt door de media, maar deze zaak kan wel eens een ongekende impact hebben op de branche.
De zaak: een administratiekantoor dat het IT-beheer had uitbesteed aan een IT-bedrijf, kreeg in 2017 te maken met een ransomware-aanval. Het betaalde het geëiste losgeld en de versleutelde bestanden op de server werden vrijgegeven. Na eigen onderzoek bleek de aanval mogelijk te zijn geweest door het gebruik van zwakke wachtwoorden en gemakkelijke toegang tot het netwerk.
Het kwam tot een rechtszaak, waarvan het vonnis op 7 juni 2020 werd gepubliceerd. Het oordeel van de rechter: het IT-bedrijf is verantwoordelijk en moet een schadevergoeding betalen. Het verzorgen van een goede beveiliging behoorde tot het takenpakket van het IT-bedrijf. Door geen firewall aan te leggen en geen externe back-ups te verzorgen, heeft de IT-leverancier zijn opdracht niet goed uitgevoerd. Dat het administratiekantoor voorgestelde maatregelen niet wilde opvolgen, doet daaraan niets af. Het IT-bedrijf had herhaaldelijk moeten waarschuwen of zelfs de opdracht moeten weigeren. Katsjing…
(Het bedrijf was naar oordeel van de rechter overigens wel zelf verantwoordelijk voor het instellen van de wachtwoorden.)
Verantwoordelijk zijn = verantwoordelijkheid nemen
Deze cruciale uitspraak zorgt voor jurisprudentie in onze branche. Als het goed is, moeten nu bij de IT-adviseurs van Nederland alle alarmbellen zijn gaan rinkelen. Want als het misgaat bij een van hun klanten, kan de rekening zomaar op hun bord terecht komen.
Zij zijn verantwoordelijk. En dus is het nu de hoogste tijd om die verantwoordelijkheid te nemen.
Wat te doen? Ons advies: zet weloverwogen stappen met beleid. Begin met een nulmeting bij klanten om inzichtelijk te maken waar mogelijke zwakke plekken in het netwerk zitten. Is het de techniek, het beleid of gaat het om menselijk handelen (zoals het instellen van sterke wachtwoorden). Stel op basis van zo’n nulmeting gericht beleid op. Wil een klant dat niet opvolgen, om welke reden dan ook, stel dan een doortimmerde overeenkomst op, die eventueel wordt gecontroleerd door een juridisch expert. Voer periodiek controles uit, bijvoorbeeld met een phishingcampagne. En herhaal de nulmeting na een jaar, om een actueel beeld te krijgen.
Alle tools zijn er (alleen al bij ThreadStone kunnen IT-adviseurs een compleet pakket afnemen), het gaat er nu om dat de markt in actie komt.
Ook hosters zijn gewaarschuwd
En wat geldt voor de verantwoordelijkheid van IT-bedrijven, kan ook wel eens gaan gelden voor hostingpartijen. Zij zijn immers ook een belangrijke schakel in de IT-keten. Het goede nieuws is dat SIDN en de VvR eind juni hebben aangekondigd veiligheidscans mogelijk te maken via de Hostinginfrascan. Vanuit ThreadStone zijn wij hier nauw bij betrokken.
Hoewel deze ontwikkeling een serieus effect kan hebben op de hele IT-sector, vinden wij de aandacht voor veiligheid een goede zaak. Cybercriminaliteit blijft groeien, denken ‘dat gebeurt ons niet’ is niet langer houdbaar. Aan ons zal het niet liggen: wij doen er alles aan om het Nederlandse internet veiliger te maken.