Informatiebeveiliging: waar ligt de verantwoordelijkheid bij een cyberaanval?
Een cyberaanval die ervoor zorgt dat al jouw servers, inclusief back-ups worden gewist, daar moet je niet aan denken toch? Het overkwam een gemeente. Niet alleen de servers werden gewist, ook alle systemen werden versleuteld en daarmee onbereikbaar gemaakt voor de mensen die ermee moeten werken. De gemeente stelde dat haar ICT-beheerder te kort was geschoten in haar verplichtingen om de ICT-omgeving van de gemeente te beschermen, maar wat vindt de rechter?
De gemeente beschuldigt het bedrijf dat haar ICT-omgeving beheerde van nalatigheid. Ze zijn van mening dat er onvoldoende maatregelen zouden zijn getroffen om de veiligheid van het netwerk en de back-upsystemen te waarborgen. De rechtbank oordeelde echter anders. Hoewel het bedrijf verantwoordelijk was voor het functioneren van de gemeentelijke servers en back-ups, rustte de verantwoordelijkheid voor specifieke beveiligingsmaatregelen zoals wachtwoordbeleid en firewallconfiguraties bij de gemeente zelf.
Aansprakelijkheid en verantwoordelijkheden bij een cyberaanval
De gemeente beheerde zelf het account met de hoogste toegangsrechten en had hierbij geen sterke wachtwoordbeveiliging toegepast. Zo had een medewerker een zwak wachtwoord ingesteld en was de RDP-poort opengezet zonder dat de ICT-beheerder hiervan op de hoogte was. Dit bleek later de oorzaak van de cyberaanval. Bovenstaande feiten in ogenschouw nemende, besloot de rechtbank dat het bedrijf dat de ICT-belangen van de gemeente behartigde, niet verantwoordelijk gehouden kon worden voor de beveiligingskeuzes van de gemeente zelf.
Beeldspraak bij informatiebeveiliging
Om de zaak kracht bij te zetten gebruikte de gemeente de volgende beeldspraak. Het bedrijf diende haar kasteel (het netwerk) te voorzien van een slotgracht, muren en bewakers zodat het niet kon worden binnengevallen en heeft verzuimd dat te doen. De rechtbank is van oordeel dat de ICT-beheerder, gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (het wachtwoord) voor het openen van de deur in te stellen. Hierdoor konden de bewakers niet ingrijpen.
Het belang van informatiebeveiliging
Dit geschil toont aan hoe belangrijk het is om duidelijke afspraken te maken over informatiebeveiliging en om preventieve maatregelen toe te passen. Voor organisaties zoals gemeenten, die dagelijks met gevoelige informatie werken, is een sterk beveiligingsbeleid onmisbaar. Cruciale maatregelen zoals sterke wachtwoordbeveiliging, netwerksegmentatie en het gebruik van multifactor-authenticatie hadden mogelijk de impact van deze aanval kunnen beperken.
Tot slot benadrukte de rechter dat de ICT-beheerder de gemeente verschillende keren heeft geadviseerd om de beveiliging te verbeteren, waaronder een back-up hardening. Omdat de gemeente deze adviezen niet opvolgde, heeft zij zelf de risico’s gecreëerd die ten grondslag lagen aan deze cyberaanval.
Hoe zit het met jouw informatiebeveiliging?
Gerelateerde opleidingen
- Informatiebeveiliging
Stel een vraag