Managed hosting door True

Verkoop van schijnveiligheid mag niet

 

Rechtspraak

Het komt zelden voor dat een uitspraak van de rechter in it-land beroering veroorzaakt. Begin juni zagen we zo'n zeldzaam geval. Een it-leverancier werd door de rechter veroordeeld omdat hij zijn zorgplicht had verzaakt door het achterwege laten van basis beveiligingsmaatregelen voor het netwerk dat aan zijn klant werd geleverd. Die klant had weliswaar aangegeven geen behoefte te hebben aan een firewall, een backupsysteem en ingewikkelde wachtwoorden, maar de rechter vond dat geen rechtvaardiging voor het dan maar achterwege te laten van beveiliging.

Aanleiding van de rechtszaak was een geslaagde ransomware-aanval op de klant, die vervolgens de it-leverancier aansprakelijk stelde. Met succes, want de leverancier moest een groot deel vergoeden van de geleden schade.

De consternatie die dit vonnis heeft veroorzaakt is natuurlijk niet vreemd. Want de organisaties die getroffen zijn door een digitale aanval gaan nu goed kijken of zij wellicht ook hun it-leverancier voor de schade aansprakelijk kunnen stellen. In het bovengenoemde geval valt de schade die de leverancier moest vergoeden (tienduizend euro) in absolute zin misschien nog wel mee. Wat niet meevalt zijn de soorten schade die de klant had opgevoerd en door de rechter gehonoreerd werden: het losgeld, de herstelwerkzaamheden, omzetderving, het onderzoek naar de kwestie door een cybersecurity-bedrijf en de proceskosten.

Schade

"Iedereen wil weten wie voor opgelopen schade aansprakelijk is"

Als je dit allemaal meetelt is een schade van enkele tonnen of zelfs miljoenen euro’s heel goed denkbaar. En dergelijke grote schades zien we dan ook regelmatig terug in de onderzoeken die wij draaien bij slachtoffers. Overigens meldde het FD onlangs dat de schade van een hack de laatste tijd behoorlijk is opgelopen. De gemiddelde schade is verzesvoudigd tot gemiddeld 51.000 euro. Geen wonder dat iedereen die de afgelopen tijd door een digitale aanval is getroffen nu wil weten of daar iemand (alsnog) voor aansprakelijk kan worden gesteld.

De uitspraak roept natuurlijk de nodige vragen op. Als security onder de zorgplicht van een it-leverancier valt, hoe ziet die plicht er dan precies uit? Wanneer is er sprake van nalatigheid in het geval van schade door een security-incident? Wie stelt dat vervolgens vast? Heeft de it-leverancier wel voldoende securitykennis in huis om die zorgplicht op de juiste manier in te vullen? Allemaal inhoudelijke vragen. Er is ook nog een juridische kant: in hoeverre valt dit soort ‘security-aansprakelijkheid’ contractueel uit te sluiten?

De vraag of aan de zorgplicht is voldaan kan alleen worden beantwoord door digitaal forensisch onderzoek te doen naar wat er precies is gebeurd. Zo’n onderzoek moet zo snel mogelijk plaatsvinden. Als alles na een geslaagde aanval al is hersteld, is het te laat. Je kan niet als een kantoor na een brand opnieuw is opgebouwd nog vaststellen of de brand is aangestoken en zo ja door wie. Zo’n onderzoek zal in eerste instantie in opdracht van het slachtoffer worden uitgevoerd. Maar ik denk dat een it-leverancier die met een aansprakelijkheidsclaim wordt geconfronteerd er goed aan doet een contra-expertise te laten uitvoeren om sterker te staan in een onafhankelijkheidsdiscussie.

Onafhankelijkheid toetsen

Een it-leverancier zou er natuurlijk beter aan doen om in het kader van de zorgplicht vooraf al onafhankelijk te laten toetsen of wat aan de klant is geleverd voldoet aan de basis beveiligingseisen. Denk in dit verband niet alleen aan de configuratie van bepaalde instellingen, en de technologie, maar ook aan cybersecurity-trainingen van de werknemers van die it-leverancier, want zij moeten op de hoogte zijn van de laatste ontwikkelingen

Een laatste punt van zorg is de kennis van zaken als het over cybersecurity gaat. Er zijn genoeg it-leveranciers die claimen dat zij over de vereiste securitykennis beschikken. Die claim kan terecht zijn, maar hoe controleer je dat als klant? Securitycertificeringen zijn dan een goede maatstaf. Er zijn ook it-leveranciers die samenwerken met cybersecurity-experts. Ook dan kan het geen kwaad om expliciet aan de it-leverancier of de securitykennis van deze partners te vragen of dit wel onafhankelijk is getoetst, gezien zijn zorgplicht. Of vraag als klant zelf om een second opinion. Als de kennis er is, moet die ook echt ingezet worden. Want bovengenoemde veroordeling tot schadevergoeding was niet gebaseerd op gebrek aan securitykennis, maar op het verzaken van de zorgplicht. Zelfs als de klant om wat voor reden dan ook geen beveiligingsmaatregelen wil, blijft de zorgplicht van kracht. De leverancier mag geen schijnveiligheid leveren en moet blijven aandringen op maatregelen en in het uiterste geval de opdracht niet uitvoeren en teruggeven. In de praktijk doet niemand dat. De uitspraak van de rechter zou daar wel eens heel snel verandering in kunnen brengen.

Frank Groenewegen, chief security expert bij Fox-IT 

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7044442). © Jaarbeurs IT Media.

?


Lees ook


 
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.