De gemeente Hof van Twente gaat minimaal drie à vier miljoen euro schade lijden als gevolg van de aanval met ransomware waardoor massaal basisdata verloren gingen. Per bewoner is dat zeker honderd euro verlies. De uiteindelijke strop kan nog behoorlijk oplopen.
Dit zegt Richard Klein Tankink, hoofd concernstaf van de getroffen gemeente, tijdens het RPO Journaal, een evenement van VNG Risicobeheer. Centraal thema was hoe gemeenten om moeten gaan met de risico’s van digitalisering. Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen. Vandaar ook de grote interesse in het verloop van deze ongekend grote ramp.
Nog steeds blijkt de gemeente deze klap allerminst te boven is. Sommige ambtenaren kunnen het psychisch niet verwerken dat twintig jaar werk verloren is gegaan, vertelt Klein Tankink. De eerste dagen na de ramp was de publieke dienstverlening vrijwel geheel tot stilstand gekomen. Nu vier maanden later zijn bepaalde vitale onderdelen nog steeds ‘kwijt’. Het gemis aan gegevens laat zich sterk voelen.
Brute force
De hack kon zo’n impact hebben door een opeenstapeling van fouten. De poort naar de gemeentelijke systemen stond wijd open. Juist op die uiterst belangrijke toegang was de twee-factorauthenticatie uitgezet. En dat terwijl de gemeente al drie jaar geleden dit slot had ingevoerd. Het wachtwoord (Welkom2020) was te zwak. Verder ontbrak het aan toezicht op wat er gebeurde rond de firewall. Met een reeks aan inlogpogingen wisten de hackers het wachtwoord te bemachtigen zonder dat deze ‘brute force’ werd opgemerkt. Ook was er in de gemeentelijke infrastructuur onvoldoende segmentering toegepast en het zicht op wat er binnen de systemen gebeurde minimaal. Ten slotte was de backup onvoldoende beveiligd, vat Klein Tankink het gemeentelijke foutenfestival samen.
Schokkend detail is dat de gemeente dacht dat de zaken op orde waren, mede door geruststellende resultaten van een pentest door Sogeti en positieve audits. Volgens Klein Tankink is het voornaamste leerpunt dat je niet te veel op rapportages af moet gaan. De gemeente dacht op basis van de Ensia (Eenduidige Normatiek Single Information Audit) te kunnen concluderen dat de beveiliging goed was. De verklaring van de auditor, die aangaf dat het bestuur de situatie scherp op het netvlies had, bevestigde dit beeld. Maar het college en de raad wisten niet dat Ensia qua informatiebeveiliging alleen kijkt naar de aansluiting. Als stuurmiddel blijkt Ensia dan ook volkomen ongeschikt, zo luidt de conclusie nu.
Bewustzijn
Op papier leek alles behoorlijk goed te kloppen. De gemeente voldeed voor 92 procent aan de eisen van de Baseline informatiebeveiliging Overheid (BIO), het basis-normenkader voor informatiebeveiliging. De meeste vinkjes stonden goed. Maar naar later bleek, was de praktijk anders. De systeembeheerder veranderde uitgerekend het belangrijkste wachtwoord in het makkelijk te raden Welkom2020. ‘Zet daarom het kweken van meer bewustzijn als hoogste onderwerp op de agenda,’ adviseert Klein Tankink aan zijn collega’s.
Uit het verhaal van het hoofd concernstaf bleek dat de Informatie Beveiligingsdienst (IBD) van de VNG bij de ramp eind vorig jaar minder ondersteuning gaf dan was verwacht. De rol van de IBD beperkte zich tot het geven van adviezen op afstand. Een rit naar de geplaagde gemeente was achterwege gebleven. Van triage op lokatie was geen sprake.
IBD-directeur Nausikaä Efstratiades erkent dat haar dienst bij dit soort incidenten meer kan doen. Het was inderdaad beter geweest als de IBD ter plekke samen met de getroffen gemeente de hulpvraag had vastgesteld en samen met een marktpartij nader onderzoek had gedaan. De IBD bekijkt momenteel hoe haar rol in dit soort gevallen kan worden uitgebreid.
Mede door onvoldoende steun kon het voorkomen dat de gemeente bij het incidentenmanagement het verkeerde particuliere onderzoeksbureau inschakelde. Op advies van de externe beheerder Switch IT Solutions werd een bureau in de arm genomen dat tot dezelfde groep van ict-bedrijven behoorde en geen onderzoeksbevoegdheid had. Resultaat was een rapportage vol gebreken, zo bleek later uit een onderzoek van Brenno de Winter.
Overigens bereidt de gemeente zich voor op juridische acties. Jos Marinus, afdelingsmanager bij de gemeente, bevestigt dat. Daarom wil de gemeente niet nader ingaan op de vraag waarin Switch als beheerder precies tekort is geschoten.
Scope
Eveneens onduidelijk blijft waartoe de betrokkenheid van het adviesbureau M&I/Partners bij de aanbesteding van het beheer heeft geleid. Projectleider Urs Keller werkte alternatieven uit voor de invulling van de ict-beheersdiensten. Hij bepaalde ook de scope voor de uitbesteding. Anders gezegd: wie (gemeente of dienstverlener) verantwoordelijk is voor welke dienstverlening. In nauw overleg met de afdeling I&A maakte Keller een programma van eisen en wensen. De gemeente wil niet reageren op vragen van Computable over het al dan niet aanpassen dan wel uitbreiden van de infrastructuur na de aanbesteding. Ook over het change management en het al dan niet samen bespreken van de aanpassingen doet de gemeente er het zwijgen toe. Onduidelijk is wie daarbij leidend was; Switch of de gemeente. Ook Switch heeft nog niet gereageerd op vragen.
In de loop van het jaar zal ook duidelijk worden of deze affaire voor Sogeti als pentester alleen tot reputatieschade leidt of dat er meer gevolgen komen. In mei 2020 had Sogeti een pentest bij de gemeente had gedaan zonder dat het haar was opgevallen dat de ftp-server wagenwijd open stond. Sogeti had überhaupt geen ernstige risico’s waargenomen. Een forensisch onderzoek van onderzoeksbureau NFIR legde een groot aantal manco’s bij deze penetratietest bloot waar het laatste woord nog niet over is gezegd.
Ik vind het heel vervelend voor het Hof van Twente dat hen is overkomen.
Maar het is een bewijs voor het feit dat “papieren controle” niet werkt.
Vergelijk het met een bedrijfstak waar veiligheid op een veel hoger plan licht dan de IT in zijn geheel, laten we deze keer de auto industrie nemen. De auto industrie is het toonvoorbeeld van LEAN (sterker, daar komt het zelfs vandaan). Een gestroomlijnd proces van fabricage (lopende band) waar inmiddels delen van assemblage/productieproces gerobotiseerd is. J
Natuurlijk kun je van de hypothese uitgaan, dat een commerciële organisatie als een autofabrikant alleen puur voor het geld gaat en zich aan veiligheid niets gelegen laat, maar op het moment dat er allemaal zware dodelijke ongelukken met auto’s plaats hebben, verliest de autofabrikant bakken met geld en zou in het meest extreme geval kunnen leiden tot opheffing. Dus ook in het belang van het voorkomen van dode klanten en gigantische reputatieschade, is er een zeer pregnante reden om veilige auto’s te maken. Dat doen ze niet door elk jaar de KEMA (of een vergelijkbaar instituut) langs te laten komen en eens lekker door alle paperassen te laten zoeken en wat steekproeven te nemen. Veiligheid is echt een integraal onderdeel van het ontwerpproces (dus voordat er uberhaupt een productiestraat ingericht wordt voor een nieuw model. Er worden fysieke allerlei proeven gehouden (botsproeven, die van die EURO 6 of misschien zelfs 7 al) etc…. Die worden zowel door de autofabrikant zelf gedaan, als door allerlei landelijke, europesche en wereldwijde instituten, anders wordt het voortuig niet eens toegelaten op de weg.
En dan zelfs nog zien we wel eens een autofabrikant een type auto van de band laten rollen, waar er na wat incidenten een enorme “recall-actie” wordt gestart (waar de autofabrikant echt niet op zit te wachten, als hij koud en zwaar voor het geld zou gaan, het kost hem bakken met geld en reputatieschade). Dus ondanks de enorme inspanningen om een functionele, veilige (en vermoedelijk nog een aantal aspecten) en prijsgunstige auto op de markt te brengen, is het best lastig.
Als je overheden zou vergelijken met de commerciële wereld, zou je eens moeten kijken welk concreet producten ze leveren, en dan op een iets hoger abstractievermogen dan de auto, want die is tastbaar. In essentie verleent de overheid rechten en plichten aan de deelnemers in de samenleving (inwoners en bedrijven). Daarvoor heeft ze (bij wet) de bevoegdheid om allerlei (persoons) gegevens over ons te verzamelen en te verwerken (dat is opslaan, wijzigen en verwijderen). Het product is dus zwaar virtueel, het is geen tastbaar product. Natuurlijk kun je je vergunning (de beschikking) of het paspoort nog als tastbaar zijn, maar veel is niet zichtbaar.
Ook bij overheden dien je als een “goed huisvader” met die (persoons)gegevens om te gaan. Dat uit zich in twee takken van sport:
– veiligheid, dat gaat over het door derden opslaan, wijzigen en verwijderen van gegevens (populair vertaald “wie mag niets doen”)
– privacy, dat gaat over het bevoegden opslaan, wijzigen, lezen en verwijderen van gegevens (populair vertaad “wie mag wat doen”)
Dit vereist allerlei maatregelen die zowel in de machinerie van de IT-hulpmiddelen waar al die (persoons)gegevens op worden verwerkt, op de processen die diensten en producten die overheden leveren, als op de medewerkers en ketenpartners van die overheden.
En daar gaat de vergelijking (met die auto) mank (en wellicht krijg ik nu van alles over mij heen): het aantal controls dat in een gemiddelde dienstenorgansatie gezet kan worden op de gehele afhandeling van producten en diensten binnen een overheid is vele malen groter dan de controls die gezet kan worden op de veiligheid van een auto. Zonder de auto af te doen als een weinig innovatief product, is er in principe weinig veranderd aan de constructie en het voortbrengingsmechanisme (behalve dat het dan nu electrisch gaat. Natuurlijk is er elektronica de auto ingeslopen (probeer tegenwoordig eens een lampje van je auto te vervangen), en de materiaalkeuze is anders. Mij stelling blijft hetzelfde: de vrijheidsgraden voor de ontwikkeling en inrichting van een dienstenproduct bij een (overheid)organisatie is van een heel andere orde dan de die van een tastbaar product als een auto.
Een tweede, wellicht veel belangrijker aspect, is dat die autofabrikant en iedereen die daar werkt, doordrongen is van het feit, dat een veilig product essentieel is om geld te verdienen (en voor de “gewone medewerker” zijn baan behoudt). En ja ik hoor vele van jullie denken “en die sjoemelsoftware”. Klopt, “rattengedrag” heb je overal zowel in het bedrijfsleven als bij overheden. Hier aangekoppeld, kost het die onderneming bakken met geld en wellicht een faillissement. Daar zit het derde verschil: overheden kunnen niet failliet gaan. Je kunt wel hele hoge boetes geven, maar die worden verhaald of op de inwoners en bedrijven of worden gewoon niet betaald (en zelfs als dat gebeurd, is het zakvest-broekzak geld).
Met name de enorme hoeveelheid controls waar je aan zou moeten voldoen (en ik geef toe, sommige zijn zo banaal als ze maar kunnen zijn, en ook enorm eenvoudig te implementeren) moet je zowel door de eigen medewerkers als een externe on-site laten controleren. Een control uit zich zeker in de IT als een wijziging in een IT-component (server/VM, netwerkcomponent, etc….). Die wijziging moet je doorvoeren om “veiliger” te zijn. De tweede stap is een concrete tastbare actie starten om de zojuist gewijzigde control te testen. Sterker nog, voordat je de wijziging gaat uitvoeren, moet je drie zaken opschrijven:
– de wijziging zelf (wat ga je precies doen, op commandoniveau, liefst gescript!)
– het relaas van acties (vaak ook een verzameling commando’s, liefst gescript!)
– de verwachtte uitkomst van het relaas van acties (die vergelijk je dan met de uitkomst)
De twee laatste stappen zijn nu die beroemde “acceptatiecriteria en acceptatiemethode”. Beide zie ik vaak in IT-trajecten niet plaats hebben, want geen tijd, geen zin en zelfs hoorde ik het woord “saai”. Misschien ben ik van de oude stempel, maar als je iets nieuws ontwerpt, bouwt en dan “vol trotst” in gebruik gaat nemen dan denk je toch niet stiekem “op hoop van zegen”?
Atilla, ik vind je reactie nogal lang. Ik kan ook lange reacties schrijven, dus daar zou ik niet over moeten zeuren, maar het leest lastig weg en dat is relevant.
Want lang betekent dat mensen het niet lezen en als mensen het niet lezen, gaan ze het zeker niet opvolgen.
En in de kern is het allemaal niet zo moeilijk. Je hebt gewoon iemand nodig die goed is in IT en die het domein gemeenten snapt. En uiteraard mandaat krijgt om zijn werk goed te kunnen doen.
Zo iemand:
– Had de pentest op waarde kunnen schatten en de niet of onderbelichtte kanten kunnen onderkennen
– Had al het risico op ransomware erkent en een plannetje gemaakt om de risico’s te beperken
– Wist wie hij moest bellen als de stront de ventilator raakt
– Doorgehad dat de gemeenten teveel vrijheid had ten opzichte van de gemaakte afspraken met de dienstverlener
– Explicieter de gevaren kenbaar gemaakt bij de belanghebbende
Fouten kun je niet altijd voorkomen, hacks en ellende ook niet, maar genoeg zelfkennis opbouwen dat je gevaar loopt, noem het risk-appetite, dat zou wel aanwezig moeten zijn.
Niettemin heeft Hof van Twente een spoedcursus doorlopen. Kost wat, maar hopelijk kan dit hoge leergeld ook voorkomen dat andere gemeentes het zelfde lot ondergaan. Zij zijn toevallig het slachtoffer, maar mijn onderbuik zegt dat ze zeker niet de enige gemeente is die gevaar loopt.
Wat Hof van Twente heeft gedaan -openheid van zaken- vind ik erg inspirerend en leerzaam.Laten we vooral dankbaar zijn. En ervan leren. Ik heb er ook van geleerd.
Het is heel jammer dat partijen niet samen willen bekijken wat er allemaal is misgegaan, waardoor slechts één enkele hack tot zo’n bedrijfsramp heeft kunnen leiden. “Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen.” Dit is eerder een onderschatting van een overschatting. Ik ga er vanuit dat er bij de partijen veel expertise aanwezig is en betrokken personen het goed willen doen, maar dat is vaak niet genoeg om een aantal redenen.
Ik roep daarom de gemeente Hof van Twente, Switch IT Solutions, Informatie Beveiligingsdienst VNG, Sogeti Nederland en andere mogelijke betrokken partijen op om deze casus gezamenlijk te bestuderen, om er van te leren wat anders had gemoeten en wat ook beter had gekund, beter afgestemd had gemoeten. Daar kan iedereen beter en sterker van worden.
Daarna kunnen de partijen via mediation hun onderlinge zaken netjes afhandelen. Rechtzaken kosten veel tijd en geld en vergen ook veel aandacht en emotie. Maar rechtszaken geven zelden de mogelijkheid om te leren wat er te leren valt, simpelweg omdat de focus daar niet op gericht is. Daarom is ook een doofpotafdoening verre van optimaal.
@Atilla Vigh, de hoeveelheid controls die gezet kan worden op de veiligheid van een auto is ontzettend groot, maar die is A. grotendeels geautomatiseerd en B. verdeeld over de vele toeleveranciers. Voor één schroefje zijn al gauw drie partijen bezig geweest met controle van materiaal, de fabricage en de inbouw. Je vergelijking is dus niet zo scheef. In diverse industrieën is het normaal om van elkaars fouten te leren. Soms zoals, in de luchtvaart, het railverkeer, de scheepvaart, de mijnbouw en de chemische industrie, zorgen de autoriteiten daarvoor als het om een ramp gaat.
De reacties moet ik nog lezen maar vroeg me af: is er betaald? Nee, als ik het lees ging het om 750.000 euro losgeld. Snap niet dat ze niet aan het onderhandelen zijn gegaan als ik zie wat nu de schade is.
Louis. Er is niet betaald. En als je betaalt weet je nog steeds niet of je geleverd krijgt. In dit geval van Hof van Twente hadden de criminelen ook daadwerkelijk virtuele servers vernietigd. Deze krijg je niet terug, ook niet als je betaald.
En wie garandeert je dat ze niet alsnog data doorverkopen? En dat je alle data terug krijgt? En dat je netwerk vrij van nog meer malware is?
Schade heb je sowieso omdat alles opnieuw opgebouwd moet worden.
Maar Louis… Wat als je wel betaald? Dan wordt het een businessmodel en financieer je in feite de volgende aanval en maak je het speelveld voor iedereen gevaarlijker.
Het.is.niet.simpel.
Als nabrander: In sommige gevallen is het zelfs verboden om te betalen als de ontvanger op een terroristenlijst staat. je financiert dat namelijk terroristen.
Grappig heh? dat er nog zo’n hele wereld aan overwegingen achter zit!
In praktisch alle gevallen is voorkomen veel en veel goedkoper dan genezen. Maar veel bedrijven zullen deze les helaas te laat leren.
Attilas reactie is te lang en onderhandelen is verboden.. Tuurlijk.
Ramptoeristen komen alleen kijken, maar anderen komen adiviseren tegen betaling.
“Je hebt gewoon iemand nodig die goed is in IT en die het domein gemeenten snapt. En uiteraard mandaat krijgt om zijn werk goed te kunnen doen.”
Ik denk dat je ze rampconsultants kunt noemen 😉
@Henri Ik moest denken aan de Universiteit van Maastricht. Die hadden hetzelfde probleem en zij hebben betaald. Begrijpelijk, het ging om onvervangbare data. Of dat nu mailboxen zijn, documenten, werk van studenten. Je kan van alles verzinnen. Onvervangbaar, onbetaalbaar. Dat die onderhandeld hebben en afgetikt vind ik begrijpelijk.
Nu lees ik hetzelfde, veel schade. Heb te doen met medewerkers van de gemeente die vele jaren werk kwijt zijn. Ik lees dat vitale onderdelen kwijt zijn en het gemis zich laat voelen. Er wordt al gesproken over 3 a 4 miljoen schade. Deze koppigheid moet betaald worden door de burgers van de gemeente Hof van Twente. Ze betalen dubbel, voor onkunde en koppigheid.
Ja, je moet vertrouwen op de boeven. Leveren ze niet dan is het ook met hun verdienmodel gedaan. Als ze virtuele servers vernietigen en schade aanrichten aan de data dan doen ze iets niet goed. Dan wordt het geen 750.000 euro (in bitcoins zeker?). Alles wat je kan terughalen is meegenomen, zeker als ik nu lees over de schade. Ja, er is risico op malware, ja er is risico op doorverkopen data. Als je niet betaalt maak je daar zeker kans op. Ik denk, je moet pragmatisch zijn en de schade beperken om de continuiteit te waarborgen. Dan nog zul je een en ander van de grond af weer moeten opbouwen.
En verder? Als ik het lees dan klinkt het alsof er een honeypot is ingericht. Dat moet beter kunnen. Er zijn genoeg slimme bedrijven (a la Fox) die de systemen kunnen doorlichten, dat lijkt me handig. Beter dan de energie steken in de schuldvraag en rechtszaken.
Louis, ik gaan heel lang verhaal meer afsteken, maar details doen er toe.
Als je enige tijd in de zaak wilt steken, begin dan hier: https://www.hofvantwente.nl/actueel/nieuws-en-persberichten/nieuwsbericht/archief/2021/03/artikel/hof-van-twente-cyber-hack-stevige-les-voor-ons-1872 en kijk ook naar de persconferentie.
Het argument “Als ze niet leveren schaden ze hun eigen businessmodel”, dat lijkt soms wel de consensus, maar ik twijfel sterk aan die redenatie. Ik zie daar *geen* enkele onderbouwing van. Wat ik wel zie is dat de criminelen professioneler worden. Goede helpdesk, goede onderhandelaars, overtuigende zakenpartners.
Het is achteraf ook makkelijk oordelen, maar we maken ons allemaal schuldig aan onveilig gedrag. We hebben dat ook niet meegekregen in de opvoeding en leren het ook niet op school. Daar pleit ik er ook voor dat iedere organisatie van enige omvang een professional heeft die IT savvy genoeg is, maar ook voldoende domeinkennis bezit.
Iemand die door cijfers en statistieken kijkt. Is een papierenafspraak wel een afspiegeling van de praktijk?
Kijk bijvoorbeeld eens naar de coronastatistieken. Google lepelt ze prachtig voor je op zodat het lijkt alsof je naar vergelijkbare getallen kijkt. Maar aantal besmettingen en doden is *totaal* anders opgebouwd per land. Dus als je conclusies trekt, maar de onderliggende totstandkoming niet kent maak je geheid verkeerde beslissingen.
Wees in ieder geval voorzichtig met je oordeel. Het land zit vol met mensen met een mening en een oordeel. En dat lost niets op. Een organisatie veilig houden is een vak. En het is drie slagen moeilijker als je wel de verantwoordelijkheid krijgt, maar niet het mandaat…
@Louis Kossen, je schrijft: “Ja, je moet vertrouwen op de boeven. Leveren ze niet dan is het ook met hun verdienmodel gedaan ” Zijn de betrokken boeven met zekerheid te identificeren en geregistreerd bij de KvK (niet dat dit wat zegt) en hebben zij de versleuteling keys en eventueel gestolen data in repository bij een betrouwbare notaris achtergelaten? Nee, dus het blijft gokken. Je moet ook goed weten wat het je kan kosten in worst case scenario’s.
En het vervelende is dat in dit geval de overheid aan boeven zou betalen (dat was na de beruchte bonnetjes-affaire niet meer de bedoeling). En het kunnen ook nog eens boeven zijn die voor een ontvanger op een terroristenlijst werken, zoals Henry schreef, wat verboden is. Het inboeken van betalingen aan criminelen is sowieso ook een dingetje. Krijg je bonnetjes voor deze uitgaven, enz?
Ik schreef zo’n 7 jaar geleden een opinie op basis van rapporten die tot de conclusie kwamen dat alleen beheersbaarheid rest als beheergebieden opgeknipt en over meerdere organisaties verspreid worden. Batavus Droogstoppel gaat even voorbij aan alle beleidsnotities die waarnemend griffier ook heeft, de correcte naam is Richard Klein Tank en hij is ook vertrouwenspersoon wat mogelijk de opmerking over psychische problemen verklaard over 20 jaar werk verloren laten gaan.