door Misha Hofland
Dat bleek onlangs bij de rechtbank in Amsterdam. Het accountantskantoor benadrukt in een reactie desgevraagd dat niet is ‘vastgesteld dat er sprake is van gestolen klantgegevens’ van Steens & Partners Accountants en Adviseurs. Het accountantskantoor was naar eigen zeggen ook niet de partij waar geld van werd geëist. Een gespecialiseerd cybersecuritybedrijf dat na de hack bij de IT-beheerder werd ingeschakeld concludeerde na forensisch onderzoek naar de IT-omgeving van het accountantskantoor dat er geen aanwijzingen zijn ‘dat gegevens van het accountantskantoor openbaar zijn geworden of publiek beschikbaar zijn gesteld.’ Het zelfstandig opererende bureau voor interim-management Steens & Partners Freelance Finance Professionals had volgens alle betrokkenen in het geheel niets met (de gevolgen van) de hack te maken.
In de rechtszaal en ook bij navraag aan de betrokken partijen blijft onduidelijk van welke klanten van de IT-beheerder precies bedrijfsgegevens zijn buitgemaakt bij de hack. Wel werd door Steens & Partners Holding 200.000 dollar in bitcoins aan de cybercriminelen overgemaakt. Die holding is van de inmiddels niet meer rechtstreeks aan het accountantskantoor verbonden registeraccountant Björn Lomeijer, en fungeert als pachter en verhuurder van het Rotterdamse bedrijfspand waar Steens & Partners is gevestigd. ‘Een voorzorgsmaatregel’, beweert Lomeijer over het overmaken van het geld.
Miljoen dollar geëist
“Die klantgegevens zijn wel wat meer dan 200.000 dollar waard. We zijn FD Gazelle geweest, wat als er in de krant zou komen te staan dat al onze klantgegevens op straat liggen?”, roept accountant Björn Lomeijer in de Amsterdamse rechtszaal. “Daar hadden ze wel wat verantwoordelijker mee om mogen gaan.”
Lomeijer is ontevreden over de dienstverlening van het bedrijf Responders.NOW, dat zijn vennootschap Steens & Partners Holding in 2024 bijstond na een hack. Cybercriminelen maakten daarbij bedrijfsgegevens buit van (een of meer klanten van) de externe IT-beheerder van Steens & Partners. Gevoelige financiële gegevens, die absoluut niet zomaar naar buiten mogen komen.
De hackers eisten aanvankelijk betaling van een miljoen dollar in bitcoins, wordt duidelijk in de Amsterdamse rechtszaal. Behalve het Rotterdamse accountantskantoor waren ook verschillende andere ondernemingen klant bij de gehackte IT-beheerder. Daaronder ook enkele accountantskantoren, al wordt in de rechtszaal niet duidelijk om welke kantoren en IT-beheerder het gaat. Een van de betrokken partijen besloot om niet te betalen, vertelt Lomeijer aan de rechter, simpelweg omdat hij het geëiste geld niet had. Maar voor zijn eigen bedrijf stond er veel op het spel. “Een van de topbedrijven in Nederland” is klant, zegt Lomeijer om het belang te benadrukken.
Zijn Steens & Partners Holding schakelde daarom Responders.NOW in, een in Amsterdam gevestigd bedrijfje dat gespecialiseerd is in het omgaan met cyberincidenten. Het geëiste bedrag van een miljoen dollar werd na onderhandelingen teruggebracht tot twee ton. Responders.NOW zou zorg moeten dragen voor de betaling aan de cybercriminelen, en het in ruil daarvoor veiligstellen van de gestolen data. Volgens accountant Lomeijer was dat ook het enige dat ze hoefden te doen, maar Responders.NOW stelt dat de opdracht wel wat meer voeten in de aarde had.
De communicatie met de hackers verliep moeizaam, vertelt medeoprichter van Responders.NOW Joeri Blokhuis in de rechtszaal. Er was veel overleg nodig met de klant, en Blokhuis en zijn collega’s moesten de eerste dagen na de hack constant paraat staan om de situatie te monitoren. Lomeijer vroeg bovendien om na de deal de bedrijfsgegevens te downloaden, om er zekerder van te zijn dat die gegevens niet bij de hackers achter zouden blijven. “Maar het zijn cybercriminelen”, zegt Blokhuis daarover. “Dus je hebt nooit 100% garantie dat alle gegevens zijn gedeletet, ook niet als de gegevens worden gedownload.”
Ook zou in overleg met Lomeijer eerst nog geprobeerd zijn om het te betalen bedrag verder omlaag te krijgen. Maar het bleef bij 200.000 dollar in bitcoins. Vanwege sanctiewetgeving bleek het voor Responders.NOW uiteindelijk niet mogelijk om het geld over te maken. Dat probleem moest worden opgelost, en daarom schakelde het IT-bedrijf in overleg met Lomeijer een andere partij in die dat wel voor elkaar kreeg. De betaling lukte, en de gestolen klantgegevens kwamen weer terug.
Civiel geschil over de rekening
Maar de rekening van de cybersecurityexperts was ondertussen flink opgelopen, tot ruim 90.000 euro. En daar ontstond het geschil dat de partijen onlangs in de rechtszaal bracht. Want volgens Steens & Partners Holding had Responders.NOW alleen de opdracht om zorg te dragen voor het overmaken van het geld aan de cybercriminelen. Toen dat niet lukte mocht de overeenkomst worden ontbonden. Het IT-bedrijf zou bovendien ook onduidelijk zijn over de verantwoording van de factuur. Er werd op verzoek wel een globaal urenoverzicht verstrekt, maar de specificatie van veel werkzaamheden vindt de Steens-holding nog steeds onduidelijk. Lomeijer: “Ik ben accountant, dus ik weet echt wel hoe facturen degelijk moeten worden onderbouwd. Deze urenregistratie is gewoon onbetrouwbaar.”
Joeri Blokhuis van Responders.NOW geeft in de rechtbank aan dat alle werkzaamheden in overleg met de klant zijn uitgevoerd. De door Lomeijer gevraagde verantwoording heeft zijn bedrijf inderdaad niet geleverd, “maar zo werken wij gewoon niet. Alles is terug te zien in de gevoerde whatsappgesprekken.” Dat in feite alles al met de hackers was geregeld, en zijn bedrijf alleen nog voor de betaling hoefde te zorgen, is volgens Blokhuis en zijn advocaat ook een verkeerde voorstelling van zaken.
Toen duidelijk werd dat Responders.NOW niet zelf voor de betaling kon zorgen werd bovendien binnen een dag voor een oplossing gezorgd, betoogt Blokhuis: “Als alles was gelopen zoals het moest was de betaling inderdaad binnen een paar uur door ons gedaan, maar het is wel goed om hier de context in het achterhoofd te houden. Het zijn cybercriminelen, je weet nooit hoe het dan loopt. Er stond veel op het spel en wij hebben er alles aan gedaan om de schade te beperken. Daarvoor hebben we inderdaad veel uren gemaakt.”
De rechter vraagt de partijen aan het slot van de zitting om op de gang te bekijken of er niet toch gezamenlijk tot een oplossing is te komen. Daarbij geeft ze alvast een voorzichtige indicatie mee over hoe ze het geschil ziet. “Als ik naar de overeenkomst kijk zie ik wel dat er meer is overeengekomen dan alleen de betaling, en ook dat er wel veel werk is uitgevoerd. Aan de andere kant is het wel aan u (Responders.NOW, red.) om dat goed uit te leggen, daar zou ik nog wel goed naar moeten kijken.”
Maar de partijen blijken te ver uit elkaar te liggen: Responders.NOW is bereid om tot 80.000 euro te zakken, Steens & Partners Holding wil niet meer dan 20.000 euro betalen. “En dat ik al heb aangegeven dat ik het wel als iets meer zie dan alleen een overeenkomst over het overmaken van het geld?”, probeert de rechter nog bij Lomeijer. Maar de accountant blijft bij zijn standpunt. “Dat is dan heel jammer”, verzucht de rechter.
De uitspraak volgt op 1 april.
Verantwoording
Steens & Partners is zowel een accountantskantoor (Steens & Partners Accountants en Adviseurs) als een bureau voor interim management (Steens & Partners Freelance Finance Professionals). Formeel zijn beide takken volledig van elkaar gescheiden. De gerechtelijke procedure werd gevoerd door Steens & Partners Holding B.V., waar Björn Lomeijer (mede)bestuurder van is. Die holding schakelde ook Responders.NOW in. Steens & Partners Holding pacht en verhuurt het kantoorgebouw in Rotterdam waar zowel de accountants als een deel van de interimtak van Steens & Partners is gevestigd.
Het accountantskantoor werd na de cyberaffaire overgenomen door PIA Group, de consultants niet. Beide takken treden zowel voor als na die overname vaak gewoon als Steens & Partners naar buiten, zonder verdere toevoeging. In de praktijk wordt het onderscheid tussen de beide takken door (betrokkenen bij) Steens & Partners niet altijd scherp gemaakt. Björn Lomeijer was tot 2023 vennoot bij het accountantskantoor en afficheerde zich zowel daarvoor als daarna in het openbaar met zowel de accountants- als de interim managementtak.
Reacties
Steens & Partners Accountants en Adviseurs:
“Wij benadrukken dat Steens & Partners Accountants en Adviseurs geen procespartij is bij de rechtszaak die u beschrijft. De heer Lomeijer is niet werkzaam bij Steens & Partners Accountants en Adviseurs en sprak dus ook niet namens die partij. Omdat wij geen partij zijn bij voorgenoemde rechtszaak willen wij verder niet met een inhoudelijke reactie reflecteren op uw artikel. Steens & Partners Accountants en Adviseurs hecht het grootste belang aan de vertrouwelijkheid van klantgegevens en dat daar zeer zorgvuldig mee wordt omgegaan. Steens & Partners Accountants en Adviseurs betreurt het cyberincident dat zich bij de IT Beheerder voordeed en blijft de nodige maatregelen treffen om de vertrouwelijkheid van klantgegevens te blijven waarborgen. Na het cyberincident bij de externe IT-beheerder heeft Steens & Partners Accountants en Adviseurs een gespecialiseerd cybersecuritybedrijf opdracht gegeven tot het uitvoeren van een onafhankelijk digitaal forensisch onderzoek naar de eigen IT-omgeving. Op basis van dit forensisch onderzoek heeft Steens & Partners Accountants en Adviseurs geen aanleiding gezien tot aanvullend technisch onderzoek binnen de eigen IT-omgeving. Voor zover het de eigen IT-omgeving van Steens & Partners Accountants en Adviseurs betreft, was dit aanleiding om de kwestie feitelijk als afgewikkeld te beschouwen. Er zijn geen aanwijzingen dat gegevens van het accountantskantoor openbaar zijn geworden of publiek beschikbaar zijn gesteld.”
Björn Lomeijer:
“De holding, PIA en de consultants waren geen klant bij de externe IT beheerder en staan hier ook 100% buiten, alleen het accountantskantoor was een van de vele klanten (meerderheid geen accountantskantoren) van de betreffende IT-beheerder. […] Daarmee had Steens een proportioneel zeer beperkte positie binnen het geheel. Dit impliceert dat de kans dat specifiek gegevens van Steens openbaar zouden worden gemaakt, statistisch bezien zeer beperkt was en in verhouding tot het totaal niet als materieel kan worden aangemerkt. De kans op openbaarmaking gegevens klantgegevens was in combinatie met het feit geen klantbestanden waren versleuteld verwaarloosbaar gering.” Lomeijer heeft naar eigen zeggen “vanuit persoonlijke titel, gezien het feit dat hij altijd het maatschappelijk- en klantbelang uiterst zorgvuldig behartigt en niets aan het toeval wil overlaten met betrekking tot mogelijke (toekomstige) openbaarmaking van gegevens, en omdat de serviceprovider niet over voldoende middelen beschikte, besloten het bedrag via zijn persoonlijke vastgoedonderneming, zijnde Steens & Partners Holding B.V., te voldoen.”
Responders.NOW:
“Bij het bedrijf Responders.NOW werken wij in zeer gevoelige en vertrouwelijke omstandigheden, waar privacy en discretie voor alle betrokkenen te allen tijde vooropstaan. Conform ons beleid doen wij geen uitspraken over individuele dossiers of lopende juridische trajecten. Dit uitgangspunt is leidend in al onze werkzaamheden en communicatie. Onze volledige aandacht blijft gericht op het leveren van optimale ondersteuning. Wij zijn ervan overtuigd dat onze jarenlange toewijding en staat van dienst op dit gebied voor zich spreken. Wij zien de uitspraak van de rechtbank met vertrouwen tegemoet.”
Geef een reactie