Onlangs is een interessante uitspraak van de rechtbank gepubliceerd waarin de verantwoordelijkheden voor beveiliging van een cloudplatform, de zorgplicht, aansprakelijkheid en verzekering centraal staan.

De ICT-leverancier in deze zaak levert Microsoft-diensten aan zijn klanten. Deze diensten neemt de leverancier niet direct zelf af bij Microsoft, maar bij een ICT-distributeur. Een klant van de ICT-leverancier werd gehackt. De hacker veroorzaakte extreem dataverbruik, wat leidde tot een schadepost van € 300.000,-.

Wie is verantwoordelijk voor de ontstane schade? De leverancier, de klant of de distributeur? De rechtbank oordeelde als volgt.

Wat is er gebeurd?

De ICT-leverancier beheert digitale werkomgevingen van haar klanten. Deze leverancier maakt voor het verzorgen van clouddiensten aan haar klanten gebruik van de diensten van Microsoft Azure. Die clouddiensten van Microsoft Azure neemt de leverancier niet rechtstreeks af bij Microsoft, maar bij een ICT-distributeur. Vervolgens levert de leverancier de diensten op haar beurt door aan de klant.

De kosten voor het gebruik van de Azure-diensten worden steeds achteraf in rekening gebracht. Microsoft brengt de kosten in rekening bij de ICT-distributeur, die deze kosten doorbelast aan de zogenaamde “resellers”, zoals de ICT-leverancier. Die brengt de kosten op haar beurt weer in rekening bij de eindklanten. In 2020 mailde de distributeur aan de leverancier dat Microsoft verschillende beveiligingsmaatregelen zou gaan verplichten en het gebruik van multifactorauthenticatie (MFA) moest worden ingesteld voor beheerders.

In augustus 2021 heeft de ICT-leverancier Microsoft Azure-diensten besteld voor een klant. Op 7 november 2022 detecteerde de distributeur een ongebruikelijk hoog dataverbruik binnen het cloudplatform van deze klant (namelijk ter hoogte van 22.000 euro per dag). De distributeur trok aan de bel bij de ICT-leverancier.

Na deze melding heeft de leverancier vastgesteld dat een hack had plaatsgevonden in het cloudplatform van de klant. Een onbekende gebruiker had vanuit Zweden via een uniek IP-adres onrechtmatig gebruik gemaakt van het Microsoft Azureplatform van de klant. Deze hacker heeft op het cloudplatform van de klant meerdere virtuele servers aangemaakt en heeft deze servers vermoedelijk gebruikt voor het “minen” van crypto. De leverancier heeft na de melding direct actie ondernomen, door logbestanden veilig te stellen, het wachtwoord te veranderen en daarna de servers uit te zetten.

Verzekering?

De leverancier doet een beroep op de afgesloten (beroepsaansprakelijkheids-, bedrijfsaansprakelijkheids- en cyber) verzekering. Maar wat blijkt?

De verzekeraar meldt aan de ICT-leverancier dat de polis geen dekking biedt voor de kosten voor het (hoge) gebruik van de Microsoft Azure-omgeving. De verzekering dekt alleen schade aan derden, terwijl de schade hier voortkwam uit eigen kosten van de leverancier voor het dataverbruik. De leverancier betaalt namelijk zoals gezegd zelf de kosten voor het datagebruik binnen het cloudplatform, voordat de leverancier deze kosten doorbelast aan de klant. Daarvoor biedt de aansprakelijkheidspolis geen dekking.

Een beroepsaansprakelijkheidsverzekering, die vermogensschade door fouten van medewerkers dekt, ontbrak bij de leverancier.

Wat oordeelt de rechtbank?

De rechtbank benadrukt dat de leverancier, als reseller van Microsoft Azure-diensten, zelf verantwoordelijk is voor het IT-beheer en de beveiliging van haar klanten. Binnen Azure wordt een zogenaamde ‘tenant’ aangemaakt – een container waarin alle online Microsoft-diensten voor één bedrijf zijn opgeslagen. De leverancier beheert deze tenant zelfstandig, stelt de instellingen in en logt rechtstreeks in op de cloudomgeving. De distributeur heeft geen toegang tot deze tenant en kan deze technisch niet beheren of monitoren.

De leverancier voerde aan dat de distributeur een Tier 1 Cloud Solution Provider (CSP) zou zijn en daarom verplicht was tot proactieve monitoring. De distributeur betwistte dit en stelde slechts een ‘Indirect Provider’ te zijn. De rechtbank volgde dit laatste standpunt en oordeelde dat de distributeur geen tools of middelen heeft om afwijkingen te detecteren of in te grijpen. Zelfs als distributeur wél een Tier 1 CSP zou zijn, ontslaat dat de leverancier niet van haar eigen verplichtingen richting eindgebruikers.

De distributeur draagt geen contractuele of technische verantwoordelijkheid voor monitoring of beveiliging. De verantwoordelijkheid voor het activeren van beveiligingsmaatregelen zoals Multi-Factor Authenticatie (MFA) en het monitoren van cloudgebruik ligt volledig bij de leverancier. De distributeur is daarom niet aansprakelijk voor de schade die is ontstaan door de hack.

Conclusie

Deze zaak onderstreept het belang van duidelijke verantwoordelijkheidsverdeling in de cloudketen. ICT-dienstverleners doen er goed aan hun beveiligingsprotocollen en verzekeringspolissen kritisch hierop na te slaan.

Wilt u zeker weten dat uw afspraken rondom cloudbeveiliging en IT-beheer contractueel goed zijn vastgelegd?

Neem vandaag nog vrijblijvend contact op en bespreek uw situatie. We denken graag met u mee.
Bel 010-2290646 en spreek meteen een van onze specialisten ICT-recht of neem via onderstaande button contact op.