De gemeente Hof van Twente, op 1 december 2020 slachtoffer van een hack die de it-systemen lamlegde, eiste vier miljoen schadevergoeding van associate Change IT Options wegens wanpresteren. De rechtbank in Almelo oordeelt echter dat de it-dienstverlener uit Enschede, onderdeel van het Zweedse Dustin, geen blaam treft. Hof van Twente is zelf verantwoordelijk voor het incident door een lakse houding.
Eind 2020 kwam een stroom losgeldbrieven uit vijftig printers in het gemeentehuis in Goor. De hackers waren de baas over het gemeentelijke netwerk en eisten 750.000 euro losgeld. De gemeente betaalde niet en de gevolgen waren groot. Systemen werden vernietigd en information versleuteld of gestolen. Uiteindelijk was de gemeente ruim vier miljoen euro kwijt om de gemeentelijke systemen weer op te bouwen.
De hackers konden eenvoudig in het netwerk inbreken omdat een ambtenaar van de gemeente vlak voor de ransomwareaanval het wachtwoord van het beheerdersaccount in ‘Welkom2020’ had veranderd. Eerder al had de eigen systeembeheerder van de gemeente het nodig gevonden om een regel in de firewall aan te passen. De poort naar buiten kwam daardoor open te staan.
Desondanks stelde Hof van Twente it-partner Change IT Options verantwoordelijk voor de inbraak. De gemeente vond dat Change voor de slechte beveiliging had moeten waarschuwen. Aan de hack waren een jaar lang dagelijks vele tienduizenden pogingen tot inloggen voorafgegaan. Ook was malware geplaatst. Maar Change reageerde hier niet op, aldus de advocaat van de gemeente.
De rechter stelde eerst voor om de zaak te schikken maar beide partijen kwamen niet tot een overeenstemming. In het vonnis dat de rechtbank in Almelo vorige week heeft uitgesproken krijgt Hof van Twente alsnog de zwartepiet toegeschoven. De gemeente had haar zaakjes niet op orde. De hackers kwamen het netwerk binnen by way of een account dat Hof van Twente zelf (onvoldoende goed) beheerde.
Functioneel beheer
“Safety-monitoring was geen taak voor Change IT Options”
Verder blijkt uit de uitspraak dat Change contractueel alleen verantwoordelijk was voor het goed functioneren van de servers, de opslag en de netwerkvoorzieningen. Daar hoorde wel bij het borgen van de satisfactory back-up en restore van information, anti-virus-maatregelen en een firewall-inrichting maar niet security-monitoring, zoals door het instellen van een ‘alarm’ bij een bepaald aantal ongeautoriseerde inlogpogingen. Tenzij dit van invloed zou zijn op de beschikbaarheid, capaciteit of efficiency van de beheerde objecten: dan moest Change wel handelend optreden.
In het kader van de borging van de it-voorzieningen gaf het it-bedrijf de gemeente security-adviezen, zoals het vervangen van de anti-virus-software door een oplossing die een betere bescherming zou bieden tegen gijzelsoftware. Ook kwam Change met een voorstel voor een andere backup-oplossing. Daarbij zouden, op foundation van Veam B&R, de backup-server en gekoppelde community connected storage (nas)-oplossing worden geïsoleerd en buiten het energetic directory-domein worden geplaatst. Zo zouden hackers, mochten ze eenmaal binnen zijn, de backup-server met de daaraan gekoppelde opslagapparaten niet kunnen benaderen om ze daarna te gijzelen Daarnaast stelde Change voor om nog een additional kopie van de backup buiten de eigen it- omgeving te bewaren door middel van een zogeheten offsite-backup.
In de wind slaan
De gemeente liet zowel het anti-virus- als het backup-hardening-advies hyperlinks liggen. Ook sloeg zij de waarschuwingen van haar accountant in wind. Die had vóór de cyberaanval ook numerous keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en hacks. Hof van Twente koos er bewust voor een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was by way of haar eigen (door haar beheerde) internetverbinding, met alle gevolgen van dien.
Dit, terwijl Change juist had gewaarschuwd voor een state of affairs à la de Universiteit van Maastricht, waar hackers eind 2019 bij een inbraak ook de backup in handen kregen. Desalniettemin heeft de gemeente volhard in haar keuzes, kennelijk uit kostenoverwegingen, constateert de rechtbank. ‘In zoverre heeft de gemeente de invulling van de zorgplicht door Change in feite verhinderd’, aldus de uitspraak.
Te weinig oog
Opmerkelijk ook is dat de voorganger van Change, Previder, nog een aantal werkzaamheden moest uitvoeren, zoals netwerksegmentatie. De rechter stelt huge dat dit kennelijk niet gebeurd; het was geen opdracht die, na een aanbesteding, op het bordje van Change terecht was gekomen. Saillant is ook dat de anti-virus-software van Development Micro die Hof van Twente gebruikte, ‘anders dan de gemeente meent, malware niet alleen heeft gedetecteerd, maar ook heeft verwijderd’, schrijft de rechtbank. Bovendien had de gemeente zelf inzicht in het dashboard van Development Micro.
Deze bevindingen passen bij het eerdere beeld dat de gemeente veel te weinig oog heeft gehad voor de it- en informatiebeveiliging. Zo was slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente en liep er een ambtenaar rond die zich chief data safety officer (ciso) noemde, maar in de praktijk weinig tijd besteedde aan de taken die bij die functie horen.
Een woordvoerster van Hof van Twente laat weten dat de gemeente nog niet weet of zij in hoger beroep gaat. Daarvoor wordt momenteel de uitspraak van de Almelose rechtbank bestudeerd.