Het conflict tussen de gemeente Hof van Twente en Switch IT Solutions verhardt zich. De externe beheerder van de door hackers getroffen gemeentelijke ict-systemen stelt burgemeester Ellen Nauta persoonlijk aansprakelijk voor reputatieschade.
Switch IT Solutions meent door Ellen Nauta’s uitspraken belangrijke opdrachten te hebben verloren. De it-beheerder had volgens de burgemeester wel eens mogen waarschuwen dat het wachtwoord Welkom2020 de deur voor hackers openzette. Nauta erkent dat haar ambtenaar nooit zo’n simpel wachtwoord had mogen gebruiken, maar vond ook dat Switch van zich had moeten laten horen. De burgemeester verweet het bedrijf uit Enschede ook fouten bij de inrichting van systemen. Ook het toezicht en de back-ups waren volgens haar niet in orde.
Bij een aanval met ransomware afgelopen december gingen op grote schaal basisdata verloren. Nauta wilde meteen na bekend worden van de ramp open kaart spelen om te voorkomen dat andere gemeenten in soortgelijke problemen terecht komen. De gemeente weigerde losgeld te betalen. Meerdere servers werden daarop gewist. Gevolg is dat nog steeds bepaalde vitale onderdelen niet of gebrekkig werken. Gemeentelijke diensten lijden daaronder.
In een reactie aan Tubantia stelt Nauta de uitspraken over Switch IT Solutions te hebben gedaan namens de gemeente en niet als privépersoon. ‘Dus met een persoonlijke aansprakelijkheidsstelling kan ik niets, zo werkt het niet.’
Pijnlijk
Let wel, Nauta staat allerminst alleen in haar kritiek op Switch. Onderzoeksrapporten van forensisch onderzoeker NFIR en cyberdeskundige Brenno de Winter alsmede de gemeente zelf waren voor de externe beheerder pijnlijk. De infrastructuur bleek volgens deze rapporten gebrekkig ingericht. Vrijwel alle systemen hadden tot elkaar toegang. Van netwerksegmentatie was geen sprake.
Vlak voordat burgemeester Nauta deze rapporten ging toelichten, probeerde Switch de gemeente alle schuld in de schoenen te schuiven. Daar maakte het bedrijf bepaald geen vrienden mee. De verhouding met de Hof van Twente verslechterde. De gemeente stuurt aan op een schadevergoeding van Switch wegens geleverde wanprestatie.
Overigens heeft Computable aan Switch op 19 maart een groot aantal vragen gesteld. Die zijn tot nog toe onbeantwoord gebleven. Switch beriep zich daarbij op de inhoud van het contract met de gemeente en de security.
Deze zo langzamerhand persoonsgerichte en juridische strijd gaat ten koste van beide organisaties. Dit was geen vervelend ongeluk door slechts een te haastige keuze voor een wachtwoord, maar een ramp door meerdere fouten op rij aan één of twee kanten.
Beide organisaties zouden er goed aan doen om samen met een neutrale derde partij te bekijken waarom het zo kon misgaan en daarvan leren. Om de woorden van Switch te gebruiken, “Directies wakker schudden”, “Waarschuwen dat het mis kan gaan” en “Proactief meedenken”.
Deze publicitaire en juridische escalatie is alleen goed voor de portemonnees van juristen en pr-adviseurs. Via arbitrage kan veel goedkoper bekeken worden wie welke schade moet vergoeden. Wie van de twee partijen kan zich in principe onnodige juridische procedures veroorloven naast de reeds veroorzaakte schade bij beide partijen? En die kosten bestaan niet alleen uit juridische kosten sec.