Een ransomware-aanval en een lege backup
Recent is er een vraag voorgelegd aan de Rechtbank Rotterdam waarin een ransomware-aanval en het niet hebben van een backup centraal staat. De centrale vraag in deze zaak is of de gedaagde is tekortgeschoten in de nakoming van zijn verplichtingen, doordat bepaalde data niet binnen de gemaakte backups vielen. Op zijn zachtst gezegd een vervelende constatering nadat je met een ransomware-aanval bent geconfronteerd. Een actuele backup is na een ransomware-aanval immers vaak een “last resort”
Zorgplicht
Al eerder schreef ik over de zorgplicht en mogelijke aansprakelijkheid van ICT leveranciers bij ransomware en benadrukte ik het belang van een goede backup als remedie na een ransomware-uitbraak. Ook het maken van duidelijke afspraken omtrent ICT dienstverlening, bijvoorbeeld in een SLA, is een terugkerend mantra. Dit laatste is ook in deze zaak aan de orde.
All-inclusive ICT beheer
Hieronder geef ik in het kort weer waarover het in deze zaak gaat. Ik beperk mij in dit artikel specifiek op de verantwoordelijkheid rondom de backup. In het arrest komt o.a. ook de oorzaak van de ransomware-uitbraak aan bod alsmede een vraagstuk van contractoverneming zoals bedoeld in art. 6:159 BW. Klik hier voor de uitspraak in deze zaak.
In deze zaak heeft een Stichting in 2013 een “all-inclusive ICT-beheer” overeenkomst met een ICT dienstverlener gesloten. De ICT dienstverlener heeft daarbij aangegeven dat dit beheer het volgende omvat: “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”.
Geen backup na ransomware-uitbraak
Vanaf 2016 treden er fouten op in de manier waarop de backup wordt gemaakt en wordt er een overstap gemaakt op een andere server en een “cloud backup”.
In 2018 wordt één van de systemen van de Stichting getroffen door ransomware. Het systeem raakt hierdoor onbruikbaar. Er moet worden teruggegrepen op de backup. Er werden echter geen backups gemaakt van dit specifieke systeem en/of van de informatie binnen dit systeem. Er werden wel dagelijkse backups gemaakt van de Windows servers alleen niet van de SQL databases.
Tekort geschoten?
De Stichting stelt dat ICT leverancier tekort is geschoten in de nakoming van zijn verplichtingen uit de overeenkomst. De ICT leverancier, zo stelt de Stichting, heeft nagelaten om periodiek volledige back-ups te maken van haar systemen en de informatie binnen die systemen. Hierdoor zijn er na de ransomware-aanval data en software verloren gegaan. Als gevolg hiervan hebben de Stichting en haar applicatieleverancier veel kosten moeten maken.
De ICT leverancier betwisten dat zij tekort is geschoten in de nakoming van de overeenkomst. De ICT leverancier stelt dat zij bij de levering van de nieuwe ICT-omgeving had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server-bestanden op de server. Op de betreffende server werd ook dagelijks een backup uitgevoerd van een specifieke datamap; de map “SQLBackup”. De ICT leverancier voert aan dat de wijzigende bestanden van de SQL server, door de applicatieleverancier niet zijn weggeschreven naar die, daarvoor bestemde backup map.
Deskundigenonderzoek naar backup en ransomware
De vraag is nu of de oorzaak daarvan is gelegen in het handelen van de ICT leverancier of in het handelen van de applicatieleverancier?
Op basis van de stellingen zoals de partijen over en weer hebben aangedragen kan de rechtbank dat op dit moment niet vaststellen. De rechtbank geeft aan dat zij behoefte heeft aan het oordeel van een onafhankelijke deskundige om zo tot een oordeel te komen.
Deze onafhankelijke deskundige krijgt vervolgens de volgende vraag voorgelegd: “wat is de oorzaak van het niet aanwezig zijn van de door de applicatieleverancier gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) backups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of de ICT leverancier hiervoor verantwoordelijkheid droeg?”. Daarnaast wil de rechtbank graag een antwoord op de vraag wat de oorzaak is van de ransomware-besmetting en welke rol de beveiliging van de ICT leverancier hierbij een rol speelt.
Voorkomen is beter….
Het is nu afwachten wat de bevindingen zijn van de deskundige en tot welk oordeel de rechter gaat komen. Ongeacht de uitkomst, laat deze zaak weer haarfijn zien hoe belangrijk het is om goede afspraken te maken met je ICT dienstverlener(s) en regelmatig audits of controles uit te (laten) voeren. Wees zuinig op je data en ga er verantwoord mee om!
Vragen over het maken van goede afspraken
Heb je nog vragen over het maken van goede en werkbare afspraken of over het houden van grip op je data, neem dan gerust contact op of lees andere artikelen over dit onderwerp.