Aansprakelijkheid

Wie is er verantwoordelijk voor de schade bij een cyberaanval?

Martijn van Rookhuijzen
Cyber Security Advisor

Een paar weken geleden deed de rechtbank Midden-Nederland een opvallende uitspraak. Bol.com en Brabantia raakte in conflict nadat een hacker zich voordeed als een medewerker van Brabantia. De crimineel deed een verzoek tot het wijzigen van het rekeningnummer dat Bol.com gebruikte om het geld van verkochte producten naar over te maken. Bol.com nam dit verzoek over en veranderde het rekeningnummer. In de periode die daarop volgde werd € 750.000 naar de crimineel overgemaakt.  

"Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken". 

De rechter oordeelde dat het Bol.com ontbrak aan gezond argwaan, omdat de e-mail in gebrekkig Nederlands was opgesteld en het verzoek tot wijzigen van het Nederlandse rekeningnummer naar een Spaanse niet logisch was voor een in Nederland gevestigde onderneming.  

Opvallende case 

Dit soort vraagstukken komen vaker voor binnen het digitaal domein. Het is niet altijd duidelijk wie opdraait voor de kosten die volgen na een cyberaanval of frauduleuze actie. In dit geval was het account van een medewerker van Brabantia gehackt, waardoor de e-mail vanuit een legitiem e-mailadres kwam. Dat Brabantia haar digitale beveiliging niet op orde had, waardoor Bol.com het verzoek vanuit een vertrouwd e-mailadres had ontvangen, was volgens de rechtbank niet voldoende om de aansprakelijkheid af te schuiven.  

Hoe voorkom je dit? 

Bij een cyberaanval komt veel schade kijken. Los van onderzoekskosten, losgeld en de kosten van stilstand van je bedrijf, kan de media-aandacht en bijkomende reputatieschade een mkb-onderneming de kop kosten. Het is extra zuur als je ook nog in een aansprakelijkheidsconflict terecht komt met bijvoorbeeld je IT-leverancier. Had hij je niet moeten beschermen tegen die ransomware aanval? En weet je eigenlijk of je IT-leverancier zelf goed beveiligd is?  

De bovenstaande case had voorkomen kunnen worden door het op orde hebben van de basis beveiligingsmaatregelen. Zo had Brabantia tweestapsverificatie moeten afdwingen bij haar medewerkers, zodat de hacker geen toegang had kunnen krijgen tot het account van de medewerker. Tegelijkertijd had Bol.com met een training medewerkers bewust kunnen maken van cybercrime en waar op gelet moet worden in dit soort gevallen.  

Tips 

  • Zorg dat je tweestapsverificatie afdwingt bij elke applicatie, tooling of website die gebruikt wordt in het bedrijf;  
  • Train je medewerkers regelmatig op het herkennen van phishing e-mails en frauduleuze verzoeken;  
  • Maak afspraken met je IT-leveranciers over wat zij aanbieden op het gebied van security, waar de verantwoordelijkheden liggen en hoe er actie wordt genomen in het geval van een incident;
  • Sluit een cyberverzekering af die je onderneming beschermt tegen de hoge kosten van een cyberaanval.

Met een alles-in-één pakket van EYE beveilig je je bedrijf tegen cyberaanvallen. We monitoren je systemen en cloudomgevingen op verdacht verkeer, trainen je medewerkers met phishingsimulaties en adviseren je meerdere keren per jaar. Lees hier meer over het betaalbaar beveiligen van je onderneming of vraag direct een gratis adviesgesprek aan.

©2021 by EYE

Our specialists ♥ tech and use their skills to protect businesses across Europe.