:strip_exif()/i/2004648162.jpeg?f=meta)
Een rechter heeft geoordeeld dat IT-bedrijf Switch niet de schadevergoeding van 4 miljoen hoeft te betalen die Hof van Twente geëist heeft in verband met de ransomwareaanval in 2020. De rechter vindt dat de gemeente zelf tekortgeschoten was en dat Switch niet onzorgvuldig handelde.
De rechter stelt dat Hof van Twente zelf de rdp-poort naar het internet heeft opengezet, het makkelijk te raden wachtwoord 'Welkom2020' instelde, en geen tweestapsverificatie had geactiveerd. Hierdoor was de gemeente zelf verantwoordelijk geweest voor de ransomwareaanval, oordeelt de rechter. Bovendien zijn zowel de wijzigingen aan de firewallregels als de wijziging aan het wachtwoord niet aan het IT-bedrijf, Switch IT Solutions, gemeld. De gemeente wilde zelf de hoogste beheerrechten, waardoor Switch van tevoren al had gewaarschuwd dat het 'niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente'.
De IT-leverancier had wel gezorgd voor adequate beveiliging, stelt de rechter, en heeft zich daarmee aan diens contractuele afspraken gehouden. In het contract stond namelijk niet expliciet dat de leverancier verplicht was om beveiligingsrisico's te melden, maar wel om signalen van risicovolle situaties te detecteren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een bruteforceaanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
In december 2020 wist een ransomwarebende via een bruteforceaanval toegang te krijgen tot de systemen van de gemeente, die werden geïnfecteerd met ransomware en daardoor onbruikbaar werden. De groep eiste vervolgens 750.000 euro losgeld. Hof van Twente weigerde te betalen en volgens de gemeente is het de volledige IT-infrastructuur kwijtgeraakt. Hof van Twente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente die niet werden opgemerkt door Switch, en eiste daarom een schadevergoeding van 4 miljoen euro.
Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente - Tweakers
Read More
Tidak ada komentar:
Posting Komentar