LISA Groningen

Nog snel even langs de Appie voor wat geraspte kaas voor over de pasta? Wie dit een aantal weken geleden probeerde, kwam bedrogen uit. Louter lege schappen die je terugstaarden. De oorzaak? Een ransomware-aanval bij Bakker Logistiek, een belangrijke leverancier van Albert Heijn.1 Het is zeker niet de eerste keer dat een organisatie het slachtoffer wordt en een ransomware-aanval. Zo had de Universiteit Maastricht eind 2019 te maken met een grote ransomware-aanval en ook ziekenhuizen blijven – betreurenswaardig genoeg – niet buiten schot.2 In deze blog bespreek ik wat deze toenemende vorm van cybercriminaliteit precies inhoudt en misschien nog wel belangrijker: wie kan aansprakelijk worden gesteld voor de schade? Daarbij zal ik kort stilstaan bij het strafrechtelijke aspect van een ransomware-aanval, om vervolgens dieper in te gaan op de bijzondere zorgplicht van IT-leveranciers binnen het civiele recht.

Wat is ransomware?
Ransomware, ofwel gijzelsoftware, is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’ middels een tegen betaling verstrekte code.3 Cybercriminelen gebruiken ransomware dus als chantagemiddel om zoveel mogelijk losgeld buit te maken bij het slachtoffer. De ransomware kan bijvoorbeeld op een computer worden geïnstalleerd wanneer de gebruiker onbewust een geïnfecteerde bijlage van een e-mail opent en de computer niet goed beschermd is. Door fouten in de software van de computer4 kunnen de criminelen vervolgens toegang krijgen tot de computer. Dit is te vergelijken met een bewoner die de deur open laat staan, of een slecht gefabriceerde deur die eenvoudig open te krijgen is zonder sleutel (met de kanttekening dat het functioneren van deuren makkelijker te begrijpen en te beheersen is voor burgers dan computerbeveiliging). Beide oorzaken versterken elkaar.5

Deze moderne vorm van afpersing werkt tegenwoordig vaak tweeledig, want naast het versleutelen van computers, kunnen criminelen ook dreigen met het publiceren van waardevolle documenten die ze hebben bemachtigd. Bovendien zijn vaak organisaties die het zich niet kunnen permitteren om voor langere tijd uit de lucht te zijn het doelwit van ransomware-aanvallen. Bij hen heerst immers een hoge druk om het losgeld te betalen. Enkele voorbeelden zijn: zorginstellingen, de farmaceutische industrie, de retail- en distributiesector en de levensmiddelenbranche.6 De schade die een ransomware-aanval aanricht kan hoog oplopen en onder andere bestaan uit de betaling van het losgeld, omzetverlies, reputatieschade en financiële schade door beschadiging van bestanden of de kosten voor het weer bruikbaar maken van de systemen.7

Strafbaarheid
Het inzetten van ransomware is strafbaar gesteld in artikel 317 lid 2 Sr, waarbij tevens de de strafverzwarende omstandigheden in artikel 312 lid 2 en 3 Sr van toepassing zijn. Helaas blijkt het in de praktijk lastig om de daders op te sporen, omdat zij vaak gebruikmaken van (meerdere) proxyservers, waardoor hun daadwerkelijke IP-adres onmogelijk te achterhalen is. Tevens dient het losgeld in de vorm van een bepaalde cryptovaluta overgemaakt te worden, waardoor de criminelen ook niet via deze weg traceerbaar zijn. Af en toe gaan de daders echter de mist in door geen anonimiseringstechnieken te gebruiken. Hierdoor konden in 2018 voor het eerst verdachten worden veroordeeld voor het gebruik van ransomware.8 Het IP-adres verwees namelijk naar het adres van het ouderlijk huis van de verdachten in een klein dorp nabij Amersfoort.9 Bij professionele hackers zal deze ‘fout’ zich echter niet snel voordoen, waardoor het verhalen van de schade vaak een lastig verhaal wordt.

Zorgplicht van de IT-leverancier
Interessant is de vraag of een IT-leverancier aansprakelijk kan worden gesteld voor de schade die is geleden door een ransomware-aanval. Een zaak uit 2018 laat zien dat dit, onder omstandigheden, mogelijk is. 10Aangenomen wordt dat IT-leveranciers een bijzondere zorgplicht hebben op grond van artikel 7:401 BW. Hierdoor mogen zij geen passieve, lijdzame rol innemen bij de dienstverlening, maar moeten zij zich juist proactief en doortastend opstellen om aansprakelijkheid te voorkomen.11 In casu was tussen partijen, een administratiekantoor en de IT-leverancier, overeengekomen dat de IT-leverancier een ‘totaalpakket’ zou leveren. Hieromtrent waren echter geen duidelijke schriftelijke afspraken gemaakt. Het administratiekantoor zou de voorstellen om beveiligingsmaatregelen te treffen, hebben afgewezen in verband met de kosten en omdat het allemaal te ingewikkeld zou zijn. In 2017 werd het administratiekantoor slachtoffer van een ransomware-aanval. Het gebruik van zwakke wachtwoorden en het ontbreken van een firewall en een externe back-up bleken uiteindelijk de aanleiding voor de geslaagde aanval. 

Het administratiekantoor stapt naar de rechter om de IT-leverancier aansprakelijk te stellen, en met succes. De rechter komt namelijk tot het oordeel dat beveiliging deel uitmaakt van een zogenoemd totaalpakket en dat de zorgplicht van de IT-leverancier met zich meebrengt dat een enkele waarschuwing omtrent het ontbreken van beveiligingsmaatregelen niet volstaat.12 Met zijn professionele deskundigheid had de IT-leverancier volgens de rechter de opdracht moeten weigeren wegens onuitvoerbaarheid (artikel 7:402 lid 2 BW), alternatieven aan moeten dragen of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s bij het niet inzetten van onder andere een firewall en externe back-up.13 IT-leveranciers zullen er dus wel iets voor moeten doen om aansprakelijkheid bij een ransomware-aanval te voorkomen. Toch hoeven IT-leveranciers niet bang te zijn voor een ‘stortvloed aan claims’, zo betoogt Arnoud Engelfriet van ICTRecht. Zolang je als IT-leverancier je zaken op orde hebt en zorgt voor een duidelijk contract, schriftelijke afspraken en duidelijke communicatie in het algemeen, zal je niet snel aansprakelijk worden gesteld. Mits je tevens voldoet aan de zorgplicht en klanten dringend wijst op beveiligingsrisico’s uiteraard.14

Conclusie
Ransomware-aanvallen zijn tegenwoordig aan de orde van de dag en de schade kan hierbij hoog oplopen. Door het gebruik van anonimiseringstechnieken kunnen criminelen lastig worden opgespoord, waardoor het vaak zeer onzeker is of de schade op hen kan worden verhaald. In sommige gevallen kan een slachtoffer wel de IT-leverancier aanspreken wegens het handelen in strijd met zijn zorgplicht. Hiervan is sprake wanneer de IT-leverancier niet met klem heeft benadrukt wat de risico’s zijn van nalatigheid bij het treffen van beveiligingsmaatregelen, geen alternatieven heeft aangeboden of de opdracht niet heeft afgeslagen. In veruit de meeste gevallen zal (de verzekering van) het slachtoffer echter blijven zitten met de schade. Het devies blijft dan ook: voorkomen is beter (dus installeer die software-update!). 

Namens de redactiecommissie,

Sylvia Chan

1. ‘Geen kaas: hoe een hack zorgt voor lege schappen in de AH’, rtlnieuws.nl.
2. ‘Universiteit Maastricht kampt met ransomware-aanval’, nos.nl; ‘Ransomware legt Belgisch ziekenhuis voor een groot deel lam’, tweakers.net.
3. M.S. Groenhuijsen, ‘Ransomware. Een harde noot om te kraken’, DD 2020/37, punt 2.
4. Vanwege de complexiteit en omvang van software is het gebruikelijk dat software fouten bevat. Bij de ontwikkeling ervan ligt de nadruk op functionaliteit. Wanneer software op de markt komt, bevat het dan ook vrijwel altijd veiligheidsfouten die achteraf via updates verholpen worden. Zie ook T.F.E. Tjong Tjin Tai & E.J. Koops, ‘Zorgplichten tegen cybercrime’, NJB2015/742, p. 1066.
5. T.F.E. Tjong Tjin Tai & E.J. Koops, ‘Zorgplichten tegen cybercrime’, NJB 2015/742, p. 1065.
6. ‘Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?’, nrc.nl.
7. ‘Ransomware’, ncsc.nl; ‘Schadebedrag door cybercrime enorm toegenomen’, rtlnieuws.nl.
8. Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans.
9. J.J. Oerlemans, annotatie bij Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, punt 3.
10. Rb. Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124, Computerrecht 2020/225, m.nt. C.A.M. van de Bunt.
11. C.A.M. van de Bunt, annotatie bij Rb. Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124, Computerrecht2020/225, punt 1.
12. Rb. Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124, r.o. 4.3-4.5.
13. I.S. Feenstra, annotatie bij Rb. Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124, Tijdschrift voor Internetrecht2020/5, punt 3.
14. A. Engelfriet, ‘Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis’, blog.iusmentis.com.