De gemeente Hof van Twente gaat minimaal drie à vier miljoen euro schade lijden als gevolg van de aanval met ransomware waardoor massaal basisdata verloren gingen. Per bewoner is dat zeker honderd euro verlies. De uiteindelijke strop kan nog behoorlijk oplopen.
Dit zegt Richard Klein Tankink, hoofd concernstaf van de getroffen gemeente, tijdens het RPO Journaal, een evenement van VNG Risicobeheer. Centraal thema was hoe gemeenten om moeten gaan met de risico’s van digitalisering. Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen. Vandaar ook de grote interesse in het verloop van deze ongekend grote ramp.
Nog steeds blijkt de gemeente deze klap allerminst te boven is. Sommige ambtenaren kunnen het psychisch niet verwerken dat twintig jaar werk verloren is gegaan, vertelt Klein Tankink. De eerste dagen na de ramp was de publieke dienstverlening vrijwel geheel tot stilstand gekomen. Nu vier maanden later zijn bepaalde vitale onderdelen nog steeds ‘kwijt’. Het gemis aan gegevens laat zich sterk voelen.
Brute force
De hack kon zo’n impact hebben door een opeenstapeling van fouten. De poort naar de gemeentelijke systemen stond wijd open. Juist op die uiterst belangrijke toegang was de twee-factorauthenticatie uitgezet. En dat terwijl de gemeente al drie jaar geleden dit slot had ingevoerd. Het wachtwoord (Welkom2020) was te zwak. Verder ontbrak het aan toezicht op wat er gebeurde rond de firewall. Met een reeks aan inlogpogingen wisten de hackers het wachtwoord te bemachtigen zonder dat deze ‘brute force’ werd opgemerkt. Ook was er in de gemeentelijke infrastructuur onvoldoende segmentering toegepast en het zicht op wat er binnen de systemen gebeurde minimaal. Ten slotte was de backup onvoldoende beveiligd, vat Klein Tankink het gemeentelijke foutenfestival samen.
Schokkend detail is dat de gemeente dacht dat de zaken op orde waren, mede door geruststellende resultaten van een pentest door Sogeti en positieve audits. Volgens Klein Tankink is het voornaamste leerpunt dat je niet te veel op rapportages af moet gaan. De gemeente dacht op basis van de Ensia (Eenduidige Normatiek Single Information Audit) te kunnen concluderen dat de beveiliging goed was. De verklaring van de auditor, die aangaf dat het bestuur de situatie scherp op het netvlies had, bevestigde dit beeld. Maar het college en de raad wisten niet dat Ensia qua informatiebeveiliging alleen kijkt naar de aansluiting. Als stuurmiddel blijkt Ensia dan ook volkomen ongeschikt, zo luidt de conclusie nu.
Bewustzijn
Op papier leek alles behoorlijk goed te kloppen. De gemeente voldeed voor 92 procent aan de eisen van de Baseline informatiebeveiliging Overheid (BIO), het basis-normenkader voor informatiebeveiliging. De meeste vinkjes stonden goed. Maar naar later bleek, was de praktijk anders. De systeembeheerder veranderde uitgerekend het belangrijkste wachtwoord in het makkelijk te raden Welkom2020. ‘Zet daarom het kweken van meer bewustzijn als hoogste onderwerp op de agenda,’ adviseert Klein Tankink aan zijn collega’s.
Uit het verhaal van het hoofd concernstaf bleek dat de Informatie Beveiligingsdienst (IBD) van de VNG bij de ramp eind vorig jaar minder ondersteuning gaf dan was verwacht. De rol van de IBD beperkte zich tot het geven van adviezen op afstand. Een rit naar de geplaagde gemeente was achterwege gebleven. Van triage op lokatie was geen sprake.
IBD-directeur Nausikaä Efstratiades erkent dat haar dienst bij dit soort incidenten meer kan doen. Het was inderdaad beter geweest als de IBD ter plekke samen met de getroffen gemeente de hulpvraag had vastgesteld en samen met een marktpartij nader onderzoek had gedaan. De IBD bekijkt momenteel hoe haar rol in dit soort gevallen kan worden uitgebreid.
Mede door onvoldoende steun kon het voorkomen dat de gemeente bij het incidentenmanagement het verkeerde particuliere onderzoeksbureau inschakelde. Op advies van de externe beheerder Switch IT Solutions werd een bureau in de arm genomen dat tot dezelfde groep van ict-bedrijven behoorde en geen onderzoeksbevoegdheid had. Resultaat was een rapportage vol gebreken, zo bleek later uit een onderzoek van Brenno de Winter.
Overigens bereidt de gemeente zich voor op juridische acties. Jos Marinus, afdelingsmanager bij de gemeente, bevestigt dat. Daarom wil de gemeente niet nader ingaan op de vraag waarin Switch als beheerder precies tekort is geschoten.
Scope
Eveneens onduidelijk blijft waartoe de betrokkenheid van het adviesbureau M&I/Partners bij de aanbesteding van het beheer heeft geleid. Projectleider Urs Keller werkte alternatieven uit voor de invulling van de ict-beheersdiensten. Hij bepaalde ook de scope voor de uitbesteding. Anders gezegd: wie (gemeente of dienstverlener) verantwoordelijk is voor welke dienstverlening. In nauw overleg met de afdeling I&A maakte Keller een programma van eisen en wensen. De gemeente wil niet reageren op vragen van Computable over het al dan niet aanpassen dan wel uitbreiden van de infrastructuur na de aanbesteding. Ook over het change management en het al dan niet samen bespreken van de aanpassingen doet de gemeente er het zwijgen toe. Onduidelijk is wie daarbij leidend was; Switch of de gemeente. Ook Switch heeft nog niet gereageerd op vragen.
In de loop van het jaar zal ook duidelijk worden of deze affaire voor Sogeti als pentester alleen tot reputatieschade leidt of dat er meer gevolgen komen. In mei 2020 had Sogeti een pentest bij de gemeente had gedaan zonder dat het haar was opgevallen dat de ftp-server wagenwijd open stond. Sogeti had überhaupt geen ernstige risico’s waargenomen. Een forensisch onderzoek van onderzoeksbureau NFIR legde een groot aantal manco’s bij deze penetratietest bloot waar het laatste woord nog niet over is gezegd.
@Henri Ik heb het stuk gelezen en de video gezien. Ben uitgesproken over het eventueel betalen van de boeven in ruil voor de data maar beweer zeker niet dat je het zomaar even beter doet. In mijn geval: zeker niet. Terwijl ik eigenlijk in mijn werk heel veel mensen ben tegengekomen die er heel veel verstand van hebben. Ik denk zelf: computers zijn niet eenvoudig.
Het verhaal van de meneer van het NFIR was duidelijk. Een goede uitleg waarin de suggesties zaten verpakt. Waar ik me over verbaas is dat er zoveel servers zijn weggemikt. Als je wat wil verdienen aan gijzelen is weggooien niet handig. Vraag had wmb geweest, had het de moeite waard geweest als het gegijzelde gedeelte was teruggehaald? En is duidelijk wat dat gescheeld had?
@Jaap Ik denk er nog steeds zo over, is het waard zaken te doen als het je heel veel ellende kan besparen? Ja. Een dilemma waar de burgemeester in de video het ook had. Ze had het over vele adviezen, een eenzame beslissing. Daar komt misschien bij kijken, met wie heb je te maken? Nee, met een bonnetje zullen ze niet werken en het is een gok. Ben ook wel benieuwd wat de gedachten zijn over Maastricht. Ik vond het betalen heel logisch.
Tot slot deze, die waar is en irriteert: ‘Wees in ieder geval voorzichtig met je oordeel. Het land zit vol met mensen met een mening en een oordeel.’ Een waarheid, kijk rond, op het internet, de sociale media, hier op deze site. Iedereen weet het. Dat de computer moeilijk is ja maar dat er geen goed technisch werk geleverd is bij deze gemeente is ook waar. Mijn oordeel ging over, betaal of betaal je niet. Je hebt gelijk, eerst de video en de gegevens, dan pas oordelen. Overigens, de eerste waar ik aan twijfel ben ik zelf.
@Louis Kossen, je kan de zaak ook strategisch bekijken. Het rijk kan bepalen dat overheden en overheidsdiensten niet mogen betalen en dat de centrale overheid bij problemen zo nodig voor ondersteuning zorgt, ook op financieel gebied. Dat werkt als een cyberverzekering. Professionele cybercriminelen zullen Nederlandse overheden en overheidsinstellingen dan links laten liggen op het gebied van ransomware. Op dit moment helpt de rijksoverheid nog volstrekt onvoldoende.
Bedrijven kunnen een cyberverzekering afsluiten. De verzekering zal eisen stellen en mag controleren of een bedrijf voldoende maatregels neemt. Verzekeraars mogen zelfs indirect meewerken aan ransomware-betalingen.
Natuurlijk moet de beveiliging goed geregeld worden op basis van best practices. Cyberspionage zal (financieel) interessant blijven. Verder zullen er ook altijd cyberactivisten en amateur hackers zijn die een statement willen achterlaten.
De vraag over wel of niet betalen ging op een gegeven moment over datarecoverybedrijf Ontrack, de gemeente maakte volgens persbericht een afweging van de kosten op basis van het belang van de data en de mogelijkheid om de gegevens op een andere manier te verwerven. Helaas heeft de burger die mogelijkheden niet want een uittreksel BRP kost bij Hof van Twente €7,50 en bij buurgemeente Almelo €20,35 terwijl het om dezelfde dienst en data gaat. Een oud rapport heeft het daarom over transparantie en accountability van de iOverheid omdat anders de burger het vertrouwen hierin verliest.
Twentse drama van te goed van vertrouwen kent landelijk het politieke spel van de functie elders want er is bij gemeenten ook zoiets als de raad die als tegenmacht (dualisme) van het college een rol heeft. Batavus Droogstoppel heeft veel geleerd over de techniek maar is niks wijzer geworden van de processen want de contouren in het bestuurlijke landschap zijn de olifantenpaadjes waar ik dus 7 jaar geleden over schreef. Wij van WC-eend zijn wat anders gaan doen maar hebben geen last van geheugenverlies als het om de valkuilen gaat. We herinneren (naar eer & geweten) ons alleen niet de details omdat er boeteclausules zijn.
Als we kijken naar vragen die redactie stelt over de rol van een adviseur zoals M&I partners in het change management dan geraken we tot de essentie van wij van WC-eend adviseren uitbesteding en we adviseren graag in de uitvoer. Ik heb geen actieve herinneringen meer aan integriteitscommissies maar de psychische druk bij sommigen ambtenaren kan ik me goed voorstellen. 3 FTE’s moesten de schapen met 5 poten zijn als we kijken naar alle petten die ze op hadden. De griffier die meer dan één rol heeft zegt mij genoeg maar ik lees nog weleens tussen de regels door.
@Jaap Dat is geen gek idee die cyberverzekering maar de voorwaarde die je noemt lijkt me het allerbelangrijkst en dat is de beveiliging goed op orde is. Dat lijkt me een voorwaarde en zul je dat serieus moeten aanpakken. Ik noemde al de naam Fox IT maar er moeten meer bedrijven bestaan die verstand van zaken hebben en de security kunnen doorlichten.
Wat blijft: betaal je of betaal je niet? Ben benieuwd wat de gedachten zijn over de universiteit van Maastricht. Die hebben betaald.
Zelf adviseer ik ook altijd terughoudendheid met betalen, tenzij de betaling aan mij gericht is.
Wie de boeven zijn wordt zowiezo steeds lastiger te bepalen. Naast halve waarheden en fake news kennen we nu ook informatie doctrines en “verkeerd herinneren” 😛