Oorzaak besmetting ransomware nog niet duidelijk

Rechtbank Rotterdam 14 juli 2021, IT 3638; ECLI:NL:RBROT:2021:8109 (Zabawas tegen POS4) Zabawas is een familiestichting die steun verleent aan personen en instellingen. PS Logic houdt zich bezig met automatisering. De partijen hebben een overeenkomst getiteld "all-inclusive ICT-beheer" gesloten. Deze overeenkomst is later overgenomen door POS4. In 2018 is één van de systemen binnen de ICT-omgeving van Zabawas besmet geraakt met ransomware. Het systeem raakte onbruikbaar. Zabawas vordert in reactie hierop dat de rechtbank verklaart dat POS4 is tekortgeschoten in de nakoming van de verplichtingen die volgen uit de overeenkomst. Er zou niet voldoende veiligheid zijn geweest. POS4 betwist dit, en stelt dat de besmetting het gevolg was van een menselijke fout van een medewerker van Zabawas. Op dit moment kan er niet worden vastgesteld welke partij hier gelijk in heeft. Alvorens tot een beslissing te kunnen komen, behoeft de rechtbank op dit punt het oordeel van een onafhankelijke deskundige.

4.16. Zabawas verwijt POS4 verder dat zij niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen. Ter onderbouwing van dit verwijt verwijst Zabawas naar het rapport van Baaten, die concludeert dat een ernstige verstoring zoals de ransomwareaanval slechts een kwestie van tijd was, gezien de staat van de ICT omgeving (zie 2.18).

4.17. POS4 c.s. betwisten dat zij niet voor voldoende veiligheid binnen het ICT-systeem van Zabawas hebben zorggedragen. Het ICT systeem van Zabawas was bijvoorbeeld voorzien van firewalls. De ransomware besmetting was het gevolg van een menselijke fout van een medewerker van Zabawas dan wel Verito en had niets te maken met het niveau van beveiliging. Een medewerker kan op een e-mail met bijlage hebben geklikt en die bijlage blijkt nadien een virus te bevatten dat zich in het systeem nestelt. Dit kan zelfs de beste beveiliging niet tegenhouden, aldus POS4 c.s..