Wat zijn ‘redelijke beveiligingsmaatregelen’ eigenlijk (niet)?

Als bedrijven verkocht worden, zal je vaak ook een bepaling over beveiliging in het koopcontract zien. Soms garandeert de verkoper zelfs dat hij redelijke maatregelen heeft genomen om zijn systemen te beveiligen. Maar wat betekent zo’n garantie eigenlijk? Een recent vonnis over de verkoop van DigiNotar geeft een begin van een antwoord.

Wat ging er aan de uitspraak vooraf?

DigiNotar was een SSL-certificaatverstrekker, onder meer voor de Nederlandse overheid. Op 10 januari 2011 werd het bedrijf verkocht aan Vasco, een Amerikaans informatiebeveiligingsbedrijf. In het kader van de verkoop garandeerde de verkoper:

The Company has […] taken all reasonable steps and implemented all reasonable procedures to safeguard its IT Systems and Software and prevent unauthorised access thereto.”

In juni en juli 2011 – dus na de verkoop – drong een inbreker via het internet binnen in de computersystemen van DigiNotar en maakte valse certificaten aan. Eind augustus raakte de Nederlandse overheid hiervan op de hoogte, en in de nacht van 2 op 3 september 2011 zegde toenmalig minister Donner het vertrouwen in DigiNotar op. Alle browserfabrikanten verwijderden DigiNotar uit hun lijst van vertrouwde certificaatverstrekkers en OPTA trok de registratie van DigiNotar als officieel certificatenverstrekker in. Op 20 september ging DigiNotar failliet. Vasco wilde vervolgens de verkoopsom terug.

Had DigiNotar de beveiligingsgarantie geschonden?

In de uitspraak van 30 juli 2014 gaat de Rechtbank Amsterdam uitgebreid in op de vraag of de beveiligingsgarantie is geschonden. Zij komt tot de conclusie dat de verkoper niet alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen.

Op drie punten bleef de verkoper in gebreke:

  • De verkopers hebben een patch uit 2008 die bedoeld was om een niet-kritieke kwetsbaarheid in de webserversoftware te verhelpen nooit – dus zelfs niet in 2011 – geïnstalleerd. Het is volgens de rechtbank niet zo dat enkel de patches voor ‘critical’ beveiligingsgebreken moeten worden gepatcht; ook de als ‘medium’ en ‘low’ gekarakteriseerde kwetsbaarheden moest DigiNotar patchen. Daarbij speelt een rol dat DigiNotar zélf beveiligingstechnologie levert, zodat van haar verwacht kan worden dat “zij wat betreft de beveiliging van haar eigen systemen de grootst mogelijke zorgvuldigheid zou betrachten en daartoe dus alle mogelijke maatregelen zou nemen”.
  • Belangrijke credentials en wachtwoorden waren onversleuteld opgeslagen op één van de interne computers. Dit wist DigiNotar, en hoewel zij software had ontwikkeld om die wachtwoorden versleuteld op te slaan, werd die blijkbaar niet overal gebruikt.
  • Een werkstation bevatte twee netwerkkaarten en stond in verbinding met een intern, extra-beveiligd netwerk, en het kantoornetwerk. Zo kon de aanvaller zich via de webserver toegang verschaffen tot de rest van de systemen, inclusief de computers waarmee SSL-certificaten werden aangemaakt.

De rechtbank constateerde dat door deze drie omissies Diginotar haar beveiligingsgarantie had geschonden.

Wat voor les kan je uit dit vonnis trekken?

Het is de vraag of je hier nou echt veel wijzer van wordt, want je leert vooral hoe het níet moet. De redelijke beveiligingsmaatregelen die de rechtbank bespreekt, zijn bovendien geen wereldschokkende maatregelen. Vooral het patchen en het versleuteld opslaan van wachtwoorden zijn maatregelen die behoorlijk voor de hand liggen.

De belangrijkste les is dat de civiele rechter vrij kritisch kan kijken naar het informatiebeveiligingsbeleid van een bedrijf, bijvoorbeeld als dat bedrijf een beveiligingsgarantie afgeeft en de koper vervolgens stelt dat de garantie is geschonden. En zo’n garantie zal niet alleen maar in verkoopovereenkomsten zijn opgenomen: die kan je ook tegenkomen in overeenkomsten waarbij van aanbieders een hoog beveiligingsniveau wordt verwacht. Nóg een argument om systemen goed te beveiligen.