Een Nederlands IT-bedrijf moet de schade vergoeden die ontstond door een ransomware-infectie bij een van zijn klanten, het Hilversumse administratiekantoor O’Cliance. Het IT-bedrijf, dat verder niet bij naam wordt vernoemd, zou het netwerk onvoldoende beveiligd hebben.
Dit oordeelt de rechtbank Amsterdam. Het gaat om een bedrag van ruim 10.000 euro. Ook de proceskosten van 3.100 euro komen voor rekening van het IT-bedrijf. Het gaat om een zaak uit november 2018, die nu pas openbaar is gemaakt.
O’Cliance werd begin 2017 getroffen door ransomware, een vorm van malware die bestanden in gijzeling neemt door hen te versleutelen. In ruil voor de decryptiesleutel eisten de aanvallers vervolgens losgeld. O’Cliance ging uiteindelijk tot betaling over om de data weer toegankelijk te maken.
Onvoldoende beveiligd
Het IT-bedrijf waarmee het administratiekantoor al langer samenwerkte voerde naar aanleiding van de infectie herstelwerkzaamheden uit. Het bedrijf bracht hiervoor een bedrag van ruim 6.800 euro in rekening bij O’Cliance. Het administratiekantoor weigert die factuur echter te betalen en stelt dat het IT-bedrijf het netwerk onvoldoende heeft beveiligd. Het kantoor stapte naar de rechter.
Het IT-bedrijf erkent de volledige IT-infrastructuur van O’Cliance te hebben ingericht. Het beheerde en onderhield die infrastructuur ook, in de vorm van een totaalpakket aan diensten. Het IT-bedrijf stelt echter dat IT-security geen onderdeel was van dat pakket, terwijl O’Cliance stelt dat dit wel het geval was. Hoewel de inhoud van dit pakket op papier is vastgelegd, oordeelt de rechter dat O’Cliance er vanuit mocht gaan dat ook security hiervan onderdeel uitmaakte. De rechter wijst onder meer op het ontbreken van een firewall en externe back-upstructuur.
‘Beide partijen dragen schuld’
Tegelijkertijd wijst de rechter ook op het gebruik van zwakke wachtwoorden. Het IT-bedrijf stelde initieel complexe wachtwoorden in, maar wijzigde die later ‘op uitdrukkelijk verzoek van O’Cliance’ naar een set eenvoudige wachtwoorden. De rechtbank oordeelt daarom dat hoewel het IT-bedrijf aansprakelijk is voor de schade die is ontstaan door het ontbreken van een adequate beveiliging, ook het administratiekantoor schuld draagt in de zaak.
De volledige uitspraak is hier te vinden.
In samenwerking met Dutch IT-Channel
