De gemeente Hof van Twente, twee jaar geleden slachtoffer van een hack die de ict-systemen lamlegde, eist vier miljoen schadevergoeding van Switch IT Solutions. De it-dienstverlener uit Enschede, onderdeel van het Zweedse Dustin, wordt verweten een wanprestatie te hebben geleverd.
De kwestie is nu onder de rechter. Die heeft beide partijen verzocht om in de komende vier weken tot een schikking te komen. De advocaat van Switch voerde aan dat de gemeente zelf ook boter op het hoofd heeft. Een ambtenaar van de gemeente veranderde vlak voor de aanval met ransomware het wachtwoord van het beheerdersaccount in ‘Welkom2020’. Eerder al had de eigen systeembeheerder van de gemeente het nodig gevonden om een regel in de firewall aan te passen. De poort naar buiten kwam daardoor open te staan. Mede door deze blunders konden de hackers gemakkelijk bij de gemeente binnendringen en hun vernietigende werk verrichten.
De rechter liet tijdens de zitting duidelijk merken het wachtwoordbeleid van de gemeente af te keuren. Maar de gemeente vindt dat Switch voor de slechte beveiliging had moeten waarschuwen. Hof van Twente voelt zich gesterkt door een rapport van onderzoeker Brenno de Winter die eerder stelde dat Switch voor zover bekend nooit alarm heeft geslagen. De advocaat van de gemeente voerde aan dat Hof van Twente destijds blind vertrouwde op de it-provider. Aan de hack waren een jaar lang dagelijks vele tienduizenden pogingen tot inloggen voorafgegaan. Ook was malware geplaatst. Maar Switch reageerde hier niet op, aldus de advocaat van de gemeente.
Halve fte
De it-leverancier zegt niet te hebben geweten dat het wachtwoord was veranderd en de firewall was aangepast. Ook meent Switch dat de gemeente zelf de verantwoordelijkheid droeg voor de beheerdersrechten en de veiligheid van de systemen. Tijdens de hack was slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente. Wel had de gemeente een ambtenaar die zich ciso noemde, maar die was een vijfde van zijn tijd bezig met taken die bij die functie horen.
De gemeente waande zich in de maanden voor de ransomware-aanval veilig. Uit een pentest van Sogeti bleek immers niet dat er problemen speelden met de ftp-server. Forensisch onderzoek door NFIR evenwel legde tal van zwakten bij deze penetratietest van Sogeti bloot. Het was Sogeti niet opgevallen dat eerdergenoemde ftp-server wagenwijd openstond en dat daarop een kwetsbare versie van het remote desktop protocol draaide. Bovendien werd niet gewezen op de best practice om een netwerk te segmenteren. Daardoor konden de hackers gemakkelijk van het ene systeem naar het andere springen. Ook methodologisch rammelde een en ander.
Losgeld
De gemeente weigerde destijds de hackers een losgeld van 750.000 euro te betalen.
Volgens RTV Oost is Hof van Twente er nog steeds niet in geslaagd alle gemeentelijke systemen opnieuw op te bouwen. Inmiddels is de gemeente ruim 4,2 miljoen euro armer. Per inwoner zijn de kosten opgelopen tot 120 euro. Als Hof van Twente en Switch geen schikking weten te bereiken, behandelt de rechter de zaak op 27 december verder.
Opvallend is dat de gemeente Hof van Twente de hele gevolgschade van € 4,2 miljoen wil verhalen op Switch IT, terwijl zij de keuze hebben gemaakt om geen € 750.000 ransome te betalen (wat geen garantie is dat er niet alsnog extra geld geëist kan worden). Wat gaat de rechter daar mee doen? Want ransome betalen is weliswaar niet wenselijk, maar ook niet verboden.
Beide partijen hebben fouten gemaakt, ook de “security specialisten” van onderaannemer Sogeti, waarvoor Switch verantwoordelijk is. Doordat Switch en Hof van Twente elkaar snel via advocaten zijn gaan bevechten, is het voor ons onduidelijk wie welke fouten heeft gemaakt of wat heeft nagelaten (volgens raamcontracten, General Practices for ICT en nadere afspraken / SLA’s). Gezamenlijk onderzoek, daarvan te leren en mediation is niet mogelijk. Ze zijn met elkaar in gevecht en dat is geen basis voor een schikking zoals verzocht door de rechter.
Switch zou niet mogen vertrouwen op de deskundigheid van een systeembeheerder van de gemeente, zoals de advocaten van Hof van Twente beweren. De gemeente is, blijkbaar ook volgens de rechter, medeverantwoordelijk door de fouten van de eigen beheerder. Duidelijk is in ieder geval dat de afstemming niet goed was en dat is ook een leidraad voor de rechter. De rechter zal de schade en de oplopende juridische kosten wel over de 2 partijen verdelen.
Ik wil niet vooruit lopen op een uitspraak maar volgens mij werd ‘onderzoeker’ Brenno de Winter ingehuurd als broodschrijver door de gemeente en lijkt me daardoor niet onafhankelijk. Een beetje advocaat zal daar op wijzen want het is verder niet sterk dat een functionaris zoals een CISO de rol maar voor 1/5 invult, dat klinkt alsof de gemeente zich ontzorgt heeft en te goed van vertrouwen de papieren tijgers ging temmen. Wat betreft een back-up durf ik niets te vragen want ervaring leert dat ¾ van de gemeenten hier nog wat te verbeteren heeft.
Een ambtenaar die zich CISO noemde, ‘Welkom2020’ als beheer password en dan de firewall openen 🙂
En dat moet burgers privacy waarborgen.
Wie moet nu wie controleren, de leverancier de opdrachtgever of andersom ?
Op kosten burger escaleren tot het gerechtshof dan maar.
wel benieuwd wat er uit komt.
Als gemeente inderdaad niet gedeeltelijk verantwoordelijk is, lijkt het mij dat ze dan ook geen beheerrechten zouden moeten hebben en dat betekent weer nog meer uitbesteding.
Dit is een interessante casus. Het is natuurlijk opvallend dat de gemeente het bonnetje voor de complete schade neerlegt bij de leverancier, alsof de gemeente geen enkele verantwoordelijkheid zou hebben in het gebeurde. Gezien het feit dat er zowel sprake is van een beheerder als een CISO (al dan niet formeel) bij de gemeente, wijst er op dat er bij de gemeente op zijn minst sprake is van semi-formeel ingerichte rollen, met bijbehorende processen en procedures. Dat wijst m.i. toch op zijn minst op een bepaald kennisniveau, en daarmee op zijn minst afstemming tussen leverancier en de gemeente. Vraag is natuurlijk wat er afgestemd werd, en in welke mate er sprake is van verslaglegging in de afstemming.
De relevante wetgeving is hier overigens ook duidelijk in, de gemeente heeft een aantal verplichtingen met betrekking tot (beveiliging van) informatievoorziening, en het lijkt me dat de gemeente zich niet kan onttrekken aan deze verplichtingen en zich kan verschuilen achter het al dan niet waarschuwen door de leverancier. Ook het genoemde feit dat men 2,5 jaar nodig heeft gehad om de omgeving opnieuw op te bouwen is een indicatie dat er veel meer aan de hand is.