IT-bedrijf Switch IT Solutions is niet verantwoordelijk voor een ransomwareaanval op de gemeente Hof van Twente en hoeft geen schadevergoeding te betalen. Dit oordeelt de rechter in een rechtszaak die de getroffen gemeente had aangespannen.
De gemeente werd eind 2020 via een brute force-aanval door ransomware getroffen die de systemen van de gemeente platlegden. De gemeente weigerde het losgeld van 750.000 euro te betalen, waarop de hele infrastructuur onbruikbaar raakte. Volgens de gemeente had zijn IT-leverancier Switch IT Solutions de tienduizenden inlogpogingen moeten opmerken en eiste daarom een schadevergoeding van 4 miljoen euro.
Gemeente zelf verantwoordelijk
De rechter concludeerde dat de gemeente zelf tekort is geschoten in de beveiliging van de systemen. Hof van Twente heeft zelf de rdp-poort opengezet en een makkelijk te raden wachtwoord ingesteld. Ook is geen tweestapverificatie aangezet. Daarnaast zijn wijzigingen aan firewall-regels niet aan Switch IT Solutions gemeld.
Bovendien wilde de gemeente zelf de hoogste beheerrechten. Hiervoor waarschuwde de IT-leverancier dat het daarom niet kon instaan voor handelingen van gemeentemedewerkers.
Wel contract nageleefd
De rechter gaf ook aan dat Switch IT Solutions wel voor goede beveiliging zorgde en zich aan het contract hield. Hierin stond niet expliciet vermeld dat het bedrijf verplicht was securityrisico’s te melden, maar wel om signalen van mogelijke risico’s te detecteren. Vooral voor de servers, storage en het netwerk. Bij deze functionele monitoring geven brute force-aanvallen pas een melding als de capaciteit, prestaties en beschikbaarheid problemen ondervinden. Dat dit hierbij is gebeurd, heeft de gemeente niet onderbouwd.
Het is daarom niet bewezen dat het IT-bedrijf zijn contractuele verplichtingen niet is nagekomen en/of onzorgvuldig heeft gehandeld.
Tip: Weer iets nieuws: Cactus-ransomware versleutelt zichzelf
6 uur geleden
