Vraag over verantwoordelijkheid bij ransomware-aanvallen

cyberbot schreef op zondag 26 oktober 2025 @ 21:02:
Hoi allemaal,
Ik loop momenteel tegen een interessant dilemma aan en zou graag jullie mening/expertise willen horen. Stel: een bedrijf of organisatie wordt getroffen door een ransomware-aanval. Waar zit dan de primaire verantwoordelijkheid? Bij de klant/eindgebruiker zelf (bijv. omdat ze een phishing-mail openen of updates niet installeren), of bij de IT-beheerder die de beveiliging en monitoring moet regelen?

Meestal bij geen van tweeën.

Als IT-beheerder vraag ik me ook af: waar ben je concreet voor verantwoordelijk in zo'n scenario?

Het is jouw rol als beheerder niet om verantwoordelijk te zijn voor ransomware aanvallen. Je hebt een uitvoerende taak. Die moet je wel goed uitvoeren. Je bent als werknemer nooit persoonlijk aansprakelijk voor schade tenzij je roekeloos* handelde.

Ik werk zelf in de IT en merk dat dit onderwerp vaak grijs gebied is, vooral als het om MSP's gaat. Heeft iemand ervaringen juridische inzichten die hij/zij wil delen? Of tips om dit in contracten met klanten vast te leggen?

De functionele verantwoordelijkheid ligt meestal bij de chief information security officer (CISO). Als er een partij is ingehuurd om algemeen IT werk te doen, dan zijn zij doorgaans verantwoordelijk voor de kwaliteit en effectiviteit van dat werk, maar ze zijn niet verantwoordelijk voor wat er verder in de organisatie gebeurt tenzij ze daarvoor ook zijn ingehuurd.

De ingehuurde partij is bijvoorbeeld verantwoordelijk voor het gebruik van een wachtwoord Welkom01! op een file server. Of als alle wachtwoorden in plain text worden opgeslagen op een publieke webserver die ze hebben gebouwd. Dan zijn de gebruikelijke beveiligingsregels niet goed opgevolgd.

Wel is het zo dat als een klant er op staat dat zo'n onveilig wachtwoord wordt gebruikt op de server en de dienstverlener vraagt het in te stellen, de dienstverlener alsnog verantwoordelijk is. Die had immers beter moeten weten en die had niet moeten instemmen met deze opdracht van de klant.

Het is niet makkelijk phishing 100% te blokkeren, als er een bericht door een filter komt en op het secretariaat trapt een medewerker erin, dan is de medewerker in principe niet verantwoordelijk tenzij die roekeloos* was. De ingehuurde IT partij is ook niet makkelijk verantwoordelijk te stellen. Dan zou je falen of blunders moeten aantonen. Bijvoorbeeld het niet installeren van een security update die een succesvolle aanval had kunnen voorkomen.

Als je als IT beheerder een beveiligingsprobleem constateert, kun je dat het beste rapporteren aan de CISO of een manager die deze rol heeft. Bij voorkeur schriftelijk.

* Bij roekeloosheid is er sprake van een 'buitengewoon onvoorzichtige gedraging'. Het is een zware vorm van schuld. Denk bijvoorbeeld aan het dronken rijden in een heftruuk en een collega aanrijden in het magazijn. Of als verkoper bij een juwelier de glazen deur open maken voor 3 roofovervallers met bivakmutsen op.

@mrmrmr ik zou nog even meenemen de criminele eindgebruiker benoemen, welke deel neemt aan RaaS. Die geeft bewust toegang en/of start ransomware.

In de meeste andere gevallen zal een eindgebruiker inderdaad nooit verantwoordelijk gehouden kunnen worden.

RaaS is interessant voor de aanvallers want het bespaard tijd en verlaagt hun risico. In economisch mindere tijden zullen sommige medewerkers voor makkelijk geld verdienen gaan...

Het blijft daadom belangrijk om naast preventie/detectie een goed DR/BCP te hebben (welke je ook test...), ook nuttig in geval van andere calamiteiten.