Stichting Zabawas heeft het ICT-bedrijf PS Logic aangeklaagd. De stichting meent dat het bedrijf tekort is geschoten toen ze in 2018 getroffen werd door een ransomware-aanval. Zo waren er na de aanval met gijzelsoftware geen recente back-ups beschikbaar. Daardoor kwam de bedrijfsvoering van de stichting onnodig stil te liggen. Dat blijkt uit juridische documenten van de rechtbank in Rotterdam.
Zabawas is een familiestichting die door de Belastingdienst is aangemerkt als een Algemeen Nut Beogende Instelling (ANBI). De stichting deelt donaties uit aan personen of instellingen die initiatieven ontplooien op het gebied cultuur, natuur, geneeskunde, sport en educatie. De stichting eist dat het gedoneerde geld ten goede komt aan de Nederlandse samenleving en het algemeen belang.
In juli 2013 sloot de stichting een ‘all-inclusive ICT-beheer’ overeenkomst met PS Logic, een ICT-bedrijf dat gevestigd is in Berkel en Rodenrijs. In het contract stond dat het Zuid-Hollandse ICT-bedrijf zich ging inzetten voor “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, back-ups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”. Daarbij ging het om vier computers, een server en een printer. Voor deze diensten betaalde de stichting maandelijks een bedrag van 130 euro (exclusief BTW).
Op 12 april 2018 raakte één van de systemen van Zabawas besmet met ransomware. Ransomware is gijzelsoftware die de toegang tot computersystemen voor medewerkers blokkeert. Daarnaast plaatst het bedrijfsdocumenten en andere data achter slot en grendel. De enige manier om weer toegang tot de systemen en bestanden te krijgen, is door losgeld te betalen. Het slachtoffer krijgt van de daders dan een zogeheten decryptor of decoderingssleutel. Het losgeldbedrag kan oplopen tot miljoenen euro’s, afhankelijk van de bedrijfsactiviteit en omvang van de onderneming.
Door de besmetting was het systeem naar eigen zeggen onbruikbaar en kwam de bedrijfsvoering geheel stil te liggen. Bij de herstelwerkzaamheden bleek enkel een oude back-up beschikbaar te zijn. Deze dateerde van juli 2017. Hierdoor was Zabawas veel data kwijt, alsook programmatuur die de stichting door een softwarebedrijf had laten ontwikkelen.
Na de ransomware-aanval besloot Zabawas om haar ICT-omgeving te laten onderzoeken door Baaten Security. Het onderzoeksrapport liet er geen misverstand over bestaan: de informatiebeveiliging was niet op orde. “Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een ‘normaal en redelijk handelend’ ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken”, zo schrijft het onderzoeksbureau.
Baaten Security vindt het dan ook niet vreemd dat één van de systemen van Zabawas besmet heeft kunnen raken met ransomware. “Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.” De gijzelsoftware is vermoedelijk via het programma TeamViewer zich kunnen nestelen in het computersysteem. Door ‘beperkte logging informatie’ is dit echter niet met zekerheid vast te stellen.
Op 10 april, een week na de ransomware-aanval, stelde Zabawas PS Logic aansprakelijk voor de door de besmetting geleden en nog te lijden schade. In juli 2019 zegde de stichting de samenwerking met het ICT-bedrijf op. Via de rechtbank verklaart de stichting dat het bedrijf tekort is geschoten en haar verplichtingen niet is nagekomen. Alles bij elkaar opgeteld eist de stichting een schadevergoeding van ruim twintigduizend euro. PS Logic vraagt de rechtbank om de stichting te veroordelen tot het betalen van een bedrag van bijna vierduizend euro, exclusief de proceskosten.
De rechtbank Rotterdam zegt dat ze op dit moment geen antwoord kan geven op de vraag of PS Logic nalatig is geweest in de back-upkwestie. De rechter komt daarom met het voorstel om een onafhankelijke deskundige aan te stellen. Hij moet de omstandigheden ten tijde van de ransomware-aanval in kaart brengen en antwoord geven op de vraag of de gemaakte afspraken over het verzorgen van back-ups voldoende waren.
Verder moet hij een oordeel vellen op de vraag of het ICT-bedrijf de beveiliging van het ICT-systeem van de stichting wel of niet goed had geregeld. Tot slot moet hij de oorzaak van de ransomwarebesmetting zien te achterhalen. Het is niet ondenkbaar dat de gijzelsoftware zich heeft kunnen nestelen in het systeem door een menselijke fout, bijvoorbeeld door het openen van een malafide bijlage in een e-mail.
