IT-bedrijf moet schade na ransomware-uitbraak vergoeden

Een IT-bedrijf moet de schade die ontstond bij het Hilversumse administratiekantoor O’Cliance na een ransomware-infectie grotendeels vergoeden. Het gaat om een bedrag van ruim 10.000 euro. Ook de proceskosten van 3.100 euro komen voor rekening van het IT-bedrijf.

Dit oordeelt de rechtbank Amsterdam in een uitspraak dat 7 juni 2020 is bekend gemaakt. Het gaat om een zaak uit november 2018, die nu pas openbaar is gemaakt. O’Cliance werd begin 2017 getroffen door ransomware, een vorm van malware die bestanden in gijzeling neemt door hen te versleutelen. In ruil voor de decryptiesleutel eisen de aanvallers vervolgens losgeld. O’Cliance ging uiteindelijk tot betaling over om de data weer toegankelijk te maken.

Onvoldoende beveiligd

Het IT-bedrijf waarmee het administratiekantoor al langer samenwerkte voerde naar aanleiding van de infectie herstelwerkzaamheden uit. Het bedrijf bracht hiervoor een bedrag van ruim 6.800 euro in rekening bij O’Cliance. Het administratiekantoor weigert dit factuur echter te betalen en stelt dat het IT-bedrijf het netwerk onvoldoende heeft beveiligd. Het kantoor stapte naar de rechter.

Het IT-bedrijf erkent de volledige IT-infrastructuur van O’Cliance te hebben ingericht en deze infrastructuur zowel beheerde als onderhield. Hierbij was spraken van een totaalpakket. Het IT-bedrijf stelt echter dat IT-security geen onderdeel was van dit pakket, terwijl O’Cliance stelt dat dit wel het geval was. Ondanks dat de inhoud van dit pakket op papier is vastgelegd, oordeelt de rechter dat O’Cliance er vanuit mocht gaan dat ook security hiervan onderdeel uitmaakte. De rechter wijst onder meer op het ontbreken van een firewall en externe back-upstructuur.

‘Beide partijen dragen schuld’

Tegelijkertijd wijst de rechter ook op het gebruik van zwakke wachtwoorden. Het IT-bedrijf stelde initieel complexe wachtwoorden in, maar wijzigde deze later op ‘deze op uitdrukkelijk verzoek van O’Cliance heeft vereenvoudigd’. De rechtbank oordeelt daarom dat hoewel het IT-bedrijf aansprakelijk is voor de schade die is ontstaan door het ontbreken van een adequate beveiliging, ook het administratiekantoor schuld draagt in de zaak.

De volledige uitspraak is hier te vinden.