IT-bedrijf moet schade door ransomware-aanval vergoeden

awareness-bewustzijn

Door de Amterdamse rechtsbank is een It-bedrijf veroordeeld tot het vergoeden van de schade veroorzaakt door een ransomware-aanval én tot betaling van de proceskosten. Een belangrijke uitspraak die veel impact zal hebben op de samenwerking tussen organisaties en IT-bedrijven.

Begin 2017 werd administratiekantoor O’Cliance uit Hilversum aangevallen door cybercriminelen die ransomware installeerden. Hierdoor kon het kantoor niet meer bij haar bestanden tot er losgeld betaald was. Waarschijnlijk heeft een medewerker van het kantoor op een link in een e-mail geklikt in een e-mail waardoor de ransomware op het netwerk werd geïnstalleerd en cybercriminelen hun slag konden slaan. Nadat O’Cliance erachter kwam schakelde ze haar vaste IT-bedrijf in die herstelwerkzaamheden uitvoerde ter waarde van bijna 7.000 euro.

O’Cliance besloot deze factuur niet te betalen én stapte ze naar de rechter omdat het IT-bedrijf tekort zou zijn geschoten in haar dienstverlening om het netwerk tegen dergelijke aanvallen te beschermen.

Het IT-bedrijf heeft O’Cliance al voor de aanval geadviseerd om maatregelen te treffen om risico’s door cybercriminaliteit te verkleinen. Zo adviseerde ze gebruik te maken van roulerende externe schijven om de back-ups op te slaan. O’Cliancy wees deze adviezen af.

De rechter oordeelde dat beide partijen schuldig zijn aan het ‘lek in de beveiliging’ en veroordeelde het IT-bedrijf tot het betalen van tweederde van de schade. In totaal ruim 15.000 euro.

‘Dit is een heel belangrijke uitspraak die veel impact gaat hebben op de wijze waarop IT-bedrijven de samenwerking met hun klanten zullen gaan vormgeven’, aldus Rob de Leur van Orbedo. ‘Het bijzondere vind ik dat O’Cliance gewaarschuwd is voor de risico’s en nota bene concrete adviezen heeft gekregen om de risico’s te beperken. Ondanks het feit dat opdrachtgevers dus adviezen kunnen negeren én een IT-bedrijf ‘maar’ een leverancier is, is het IT-bedrijf toch mede verantwoordelijk. Ik ben erg benieuwd op welke wijze IT-bedrijven in de toekomst hiermee omgaan. Welke aanvullende afspraken er onderling worden gemaakt, want de toekomst van veel IT-bedrijven staat hiermee op het spel. In dit geval gaat het nog om een relatief laag bedrag en is de eventuele reputatieschade niet meegewogen, maar dat kan zomaar anders worden’, aldus De Leur.

#Aim2Community

#Aim2Incidents

#Aim2Management






Hirschel HesselAim2securemanagement1 Comment