In de huidige tijd krijgt iedere onderneming te maken met cybersecurity en helaas ook regelmatig met cybercrime. Cybersecurity is een onderwerp dat al jaren veelvuldig in het nieuws is en vaak op de voorpagina’s. Cybersecurity kan worden omschreven als het beschermen en beveiligen van computers, netwerken, programma’s en gegevens tegen digitale aanvallen en vormt vandaag de dag één van de grootste risico’s voor bedrijven. Het online goed beschermen van jouw bedrijf en alles wat daarmee te maken heeft is écht noodzakelijk geworden. Maar ondanks het nemen van beschermingsmaatregelen, kun je toch het doelwit worden van cybercrime met hele vervelende gevolgen van dien.
Cybercrime: DDoS-aanval
Cybercrime kan beperkt blijven tot bijvoorbeeld een phishing e-mail waar een werknemer per ongeluk op klikt met vervelende gevolgen. Maar cybercrime uit zich in de praktijk ook in bijvoorbeeld een gerichte online aanval, een DDoS-aanval. Bij zo’n aanval overspoelt een reeks bots de website van het bedrijf met allerlei (illegaal) verkeer en aanvragen. Er komen zoveel verzoeken tegelijk binnen dat het bedrijf online wordt platgelegd. DDoS-aanvallen hebben doorgaans bovendien een groot bereik. Ze zijn wereldwijd gericht op alle soorten branches en bedrijven van elke omvang. DDoS-aanvallen zijn de meest voorkomende cyberbedreiging, en kunnen je bedrijf en de reputatie heel erg beschadigen.
Voorkomen van DDoS-aanval
Hoewel je het niet helemaal kunt voorkomen, kun je wel een aantal dingen doen om het risico en ook de impact te beperken. Voordat je een cyberbedreiging daadwerkelijk opmerkt, moet je er al een proces voor hebben opgesteld. Voorbereid zijn is de sleutel tot het spoedig detecteren en verhelpen van een aanval en daar begint het bij. Hier volgen enkele suggesties voor het opstellen van een goed actieplan.
- Identificeer hiaten in de beveiliging en evalueer potentiële bedreigingen.
- Werk alle beveiligingssoftware of -technologie bij, en zorg ervoor dat alles naar behoren werkt en doe dit regelmatig opnieuw.
- Neem het hele team mee in dit proces en wijs rollen toe voor wanneer er een aanval plaatsvindt.
Er zijn nog veel andere punten te noemen, maar bottom line is dat je de (online) beveiliging van jouw bedrijf serieus moet nemen.
Aansprakelijkheid DDoS-aanval
Als een afnemer van een ICT-dienst schade heeft geleden door een tekortkoming in de nakoming van de overeenkomst (wanprestatie), kan deze afnemer de ICT-dienstverlener aansprakelijk stellen voor schade. Denk aan de situatie waarin een bepaalde dienst door een DDoS-aanval lange tijd uit de lucht is en niet beschikbaar is voor de klanten van de afnemer en daardoor lijdt de afnemer schade.
Indien er schade is bij de afnemer, betekent dat niet per se dat er sprake is van een tekortkoming in de nakoming van een overeenkomst door de ICT-dienstverlener dan wel een onrechtmatige gedraging. Een interessante uitspraak in dit kader is er een met schade als gevolg van ransomware die speelde bij de Rechtbank Overijssel in 2023. In die zaak wees de rechtbank de vordering tot schadevergoeding af. Er is niet gebleken dat het bedrijf contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld, zodat ook van onrechtmatig handelen geen sprake kan zijn. Er was weliswaar een aanval gepleegd met schade tot gevolg, maar het bedrijf kon daar simpel gezegd niets aan doen en het bedrijf is dus niet aansprakelijk voor de schade.
https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBOVE:2023:1731
Is een DDoS-aanval misschien overmacht?
Bovendien kan sprake zijn van overmacht en daarover is vaak een bepaling beschreven in de overeenkomst of algemene voorwaarden. Mogelijk is een DDoS-aanval beschreven als overmacht zodat de ICT-dienstverlener niet aansprakelijk is. Maar ook dan kan aansprakelijkheid komen vast te staan, als sprake is van een situatie die valt onder de beperkende werking van de redelijkheid en billijkheid (artikel 6:248 lid 2 BW). Hoe goed het contract ook is, de redelijkheid en billijkheid kunnen altijd opspelen. Een beroep doen op een overmachtbepaling kan op het moment dat de ICT-dienstverlener er een beroep op doet voor de gevolgen van de afnemer dus zó onredelijk zijn dat de bepaling die op zich redelijk is maar in de concrete omstandigheden van het geval niet en dus van tafel geveegd wordt (vernietigd wordt).
Conclusie
Het is verstandig een goede overeenkomst te gebruiken waarin een bepaling staat over cyberaanvallen en mogelijk andere cyberrisico’s met dito algemene voorwaarden. Ook een bredere dan enkel de wettelijke bepaling over overmacht kan nuttig zijn waarin zulke aanvallen als overmacht worden gekwalificeerd, maar zelfs dan kun je als ICT-dienstverlener aansprakelijk zijn voor schade. Dan moet de ICT-dienstverlener in beginsel natuurlijk wel iets (goed) fout hebben gedaan en bijvoorbeeld flink in de beveiliging tekort zijn geschoten. Enkel een DDoS-aanval is doorgaans niet voldoende voor het succesvol verhalen van schade.
