Toen was de politie opeens alle computersleutels kwijt

Deze rubriek belicht elke week kwesties uit het bedrijfsleven waarover de rechter zich onlangs uitsprak. Deze week civiel recht: wie moet de schade betalen?

Illustratieve foto. Foto Robin Utrecht/ANP

Grote schrik bij de Nederlandse politie in 2011. De Amerikaanse vestiging van RSA, sinds 2003 beveiliger van het landelijke politienetwerk, werd gehackt. Hierbij werd software buitgemaakt waarmee de code kon worden gebroken van de ‘tokens’. Alle Nederlandse politiemensen hadden zo’n elektronisch apparaatje, formaat sleutelhanger. Die genereren een eenmalige cijfercode om het politienetwerk te ontsluiten.

De politie was genoodzaakt al die tokens te vervangen, die RSA overigens gratis leverde. Maar de operatie kostte de politie toch bijna 1,2 miljoen euro. Daarvoor sprak ze de leverancier van de tokens aan, de Nederlandse firma Motiv.

In hoger beroep aan de rechter deze vraag: als de beveiliging faalt door een hack, is dan de leverancier van het slot aansprakelijk (RSA) of die van de sleutels (Motiv)? De politie vond dat Motiv wanpresteerde – de tokens zouden ten minste drie tot vier jaar een voldoende cryptografische bescherming bieden. Dat is duidelijk niet gelukt.

De rechter ziet het anders. De politie koos ooit zelf voor RSA, zonder ‘bemoeienis of advies’ van Motiv; de tokens voldeden destijds prima. Dat ze daarna toch niet meer voldeden, komt alleen doordat het ‘moedersysteem’ van RSA werd gecompromitteerd. De tokens functioneerden na de hack net als ervoor. Het probleem van de politie was een gevolg van het geheel van software, tokens en beveiligingssysteem samen.

Verder kan niemand rekenen op een hackvrij systeem. Het gebrek aan de tokens ligt helemaal in de risicosfeer van RSA. De politie blijft zitten met de schade. Daarnaast moet ze de advocaat van Motiv betalen, plus de griffierechten: ongeveer 21.000 euro.

www.rechtspraak.nl: ECLI:NL:GHARL:2018:7967

    • Folkert Jensma