We zien het vaak terug in de praktijk: ondernemers die vol vertrouwen leunen op hun ICT-partner. Ondernemers veronderstellen dat ze hiermee op ICT-gebied en vaak ook in relatie tot cybersecurity volledig ontzorgd zijn. Van hardware en software tot back-ups en reactief handelen. Volledig leunen op een ICT-bedrijf geeft echter risico’s. Dit ondervond Blok Group uit Velsen-Noord aan den lijve. Hun ICT-partner bleek na een crash al meer dan twee jaar geen back-ups te hebben uitgevoerd. De productie lag per direct stil, de schade loopt tot in de miljoenen euro’s. Hoe kon dit gebeuren? En hoe is dit voor u als ondernemer te voorkomen?
Blok Group vs. ICT-bedrijf: miljoenenstrop
De Velsense Blok Group is een technische onderneming met meer dan 100 medewerkers. Ze zijn toeleverancier van de gehele industriële supply chain, in markten als luchtvaart, infra en energie. De ICT-partner waar zij al sinds 2017 naar volle tevredenheid mee samenwerkten, leverde in juli 2022 een nieuwe server. Daar ging het mis. Het ICT-bedrijf had namelijk sinds dat moment geen enkele back-up gemaakt van deze nieuwe server. Hier kwam men pas achter toen het te laat was, na een crash. In oktober 2024 crashten namelijk meerdere servers. Deze werden door het ICT-bedrijf vervangen, met de bedoeling hier de gemaakte back-ups op te plaatsen zodat Blok Group de bedrijfsvoering en productie weer op kon pakken. Op dat moment bleken er geen back-ups te zijn gemaakt sinds de installatie van de betreffende server in 2022. Bijna anderhalf jaar aan data ging hierdoor verloren. Het opvallende is dat de ICT-partner wel elk kwartaal aan Blok Group rapporteerde over de goed functionerende back-up- en herstelfuncties. Voor alle diensten ontving het ICT-bedrijf jaarlijks 150.000 euro.
Geen back-ups, geen bedrijfsvoering
De ontbrekende back-up van de cruciale server maakte dat de gevolgen van de crash voor Blok Group en hun supply chain enorm zijn. Het bedrijf lag direct plat, van productie tot administratie en logistiek. Actuele voorraden en bestellingen zijn niet in te zien, spoedorders kunnen niet worden verwerkt en er ontstond een tekort aan voorraden. Deze laatste kostenpost wordt geschat op bijna twee ton.
Rechtbank: schadevergoeding en bodemprocedure
Het ICT-bedrijf bood Blok Group een schikking aan van nog geen 150.000 euro, waar de onderneming niet mee akkoord ging. De daadwerkelijke schade overstijgt dit bedrag drie weken na de crash al. Gezien het feit dat Blok Group nog steeds dagelijks financiële schade ondervindt door dit incident, lopen de kosten naar schatting op tot miljoenen. Blok Group stapte naar de rechter, die de onderneming deze week in het gelijk stelde. Daardoor moet het ICT-bedrijf de schade vergoeden. De hoogte van de schadevergoeding zal worden bepaald aan de hand van een bodemprocedure. De rechter bepaalde dat Blok Group alvast een voorschot ontvangt van bijna een half miljoen euro.
Blind leunen op het ICT-bedrijf: de risico’s voor de ondernemer
Als de zaak van Blok Group iets leert, is dat volledig vertrouwen op de ICT-partner ernstige risico’s met zich meebrengt. Want ook daar worden fouten gemaakt. In het geval van het ICT-bedrijf van Blok Group bleek het een menselijke fout. Er werd de onderneming voorgehouden dat er back-ups werden gemaakt – alleen bleek later dat de nieuwe (cruciale) server niet mee was genomen in de back-upservice.
Een tweede paar ogen op ICT is essentieel voor elke onderneming die zich geen incidenten kan veroorloven. Wij van Integripro pakken steeds vaker die rol op. We aan onafhankelijk na wat een organisatie wel en niet goed heeft geregeld op het gebied van cyber- en informatiebeveiliging. Zodoende kijken we ook naar alles wat de ICT partner behoort te doen. Zo wordt op risico’s zoals deze niet-opzettelijke menselijke fout gecontroleerd.
Er is nog een tweede reden waarom blind vertrouwen op een ICT-bedrijf of interne ICT-afdeling risico’s oplevert. Niet elke ICT-partner is even goed in alle elementen die vallen onder optimaal digitaal functioneren als bedrijf. Beste intenties ten spijt. Dit is echter niet iets waar een ondernemer zicht op heeft – totdat het zoals in het geval van Blok Group te laat is.
Optimaal weerbaar met de totaalaanpak van Integripro
Zekerheid hebben over de cyberweerbaarheid van uw organisatie op álle fronten? Integripro legt als kritische externe partij alle mogelijke cyberrisico’s bloot. Met onze totaalaanpak wordt het risico op incidenten met extreme schade voor de ondernemer kleiner. Een tweede voordeel: zo behoeden we eveneens ICT-bedrijven voor mogelijke claims.