De gemeente Hof van Twente, op 1 december 2020 slachtoffer van een hack die de it-systemen lamlegde, eiste vier miljoen schadevergoeding van partner Switch IT Solutions wegens wanpresteren. De rechtbank in Almelo oordeelt echter dat de it-dienstverlener uit Enschede, onderdeel van het Zweedse Dustin, geen blaam treft. Hof van Twente is zelf verantwoordelijk voor het incident door een lakse houding.
Eind 2020 kwam een stroom losgeldbrieven uit vijftig printers in het gemeentehuis in Goor. De hackers waren de baas over het gemeentelijke netwerk en eisten 750.000 euro losgeld. De gemeente betaalde niet en de gevolgen waren groot. Systemen werden vernietigd en data versleuteld of gestolen. Uiteindelijk was de gemeente ruim vier miljoen euro kwijt om de gemeentelijke systemen weer op te bouwen.
De hackers konden eenvoudig in het netwerk inbreken omdat een ambtenaar van de gemeente vlak voor de ransomwareaanval het wachtwoord van het beheerdersaccount in ‘Welkom2020’ had veranderd. Eerder al had de eigen systeembeheerder van de gemeente het nodig gevonden om een regel in de firewall aan te passen. De poort naar buiten kwam daardoor open te staan.
Desondanks stelde Hof van Twente it-partner Switch IT Solutions verantwoordelijk voor de inbraak. De gemeente vond dat Switch voor de slechte beveiliging had moeten waarschuwen. Aan de hack waren een jaar lang dagelijks vele tienduizenden pogingen tot inloggen voorafgegaan. Ook was malware geplaatst. Maar Switch reageerde hier niet op, aldus de advocaat van de gemeente.
De rechter stelde eerst voor om de zaak te schikken maar beide partijen kwamen niet tot een overeenstemming. In het vonnis dat de rechtbank in Almelo vorige week heeft uitgesproken krijgt Hof van Twente alsnog de zwartepiet toegeschoven. De gemeente had haar zaakjes niet op orde. De hackers kwamen het netwerk binnen via een account dat Hof van Twente zelf (onvoldoende goed) beheerde.
Functioneel beheer
Verder blijkt uit de uitspraak dat Switch contractueel alleen verantwoordelijk was voor het goed functioneren van de servers, de opslag en de netwerkvoorzieningen. Daar hoorde wel bij het borgen van de adequate back-up en restore van data, anti-virus-maatregelen en een firewall-inrichting maar niet security-monitoring, zoals door het instellen van een ‘alarm’ bij een bepaald aantal ongeautoriseerde inlogpogingen. Tenzij dit van invloed zou zijn op de beschikbaarheid, capaciteit of performance van de beheerde objecten: dan moest Switch wel handelend optreden.
In het kader van de borging van de it-voorzieningen gaf het it-bedrijf de gemeente security-adviezen, zoals het vervangen van de anti-virus-software door een oplossing die een betere bescherming zou bieden tegen gijzelsoftware. Ook kwam Switch met een voorstel voor een andere backup-oplossing. Daarbij zouden, op basis van Veam B&R, de backup-server en gekoppelde network attached storage (nas)-oplossing worden geïsoleerd en buiten het active directory-domein worden geplaatst. Zo zouden hackers, mochten ze eenmaal binnen zijn, de backup-server met de daaraan gekoppelde opslagapparaten niet kunnen benaderen om ze daarna te gijzelen Daarnaast stelde Switch voor om nog een extra kopie van de backup buiten de eigen it- omgeving te bewaren door middel van een zogeheten offsite-backup.
In de wind slaan
De gemeente liet zowel het anti-virus- als het backup-hardening-advies links liggen. Ook sloeg zij de waarschuwingen van haar accountant in wind. Die had vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en hacks. Hof van Twente koos er bewust voor een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding, met alle gevolgen van dien.
Dit, terwijl Switch juist had gewaarschuwd voor een scenario à la de Universiteit van Maastricht, waar hackers eind 2019 bij een inbraak ook de backup in handen kregen. Desalniettemin heeft de gemeente volhard in haar keuzes, kennelijk uit kostenoverwegingen, constateert de rechtbank. ‘In zoverre heeft de gemeente de invulling van de zorgplicht door Switch in feite verhinderd’, aldus de uitspraak.
Te weinig oog
Opmerkelijk ook is dat de voorganger van Switch, Previder, nog een aantal werkzaamheden moest uitvoeren, zoals netwerksegmentatie. De rechter stelt vast dat dit kennelijk niet gebeurd; het was geen opdracht die, na een aanbesteding, op het bordje van Switch terecht was gekomen. Saillant is ook dat de anti-virus-software van Trend Micro die Hof van Twente gebruikte, ‘anders dan de gemeente meent, malware niet alleen heeft gedetecteerd, maar ook heeft verwijderd’, schrijft de rechtbank. Bovendien had de gemeente zelf inzicht in het dashboard van Trend Micro.
Deze bevindingen passen bij het eerdere beeld dat de gemeente veel te weinig oog heeft gehad voor de it- en informatiebeveiliging. Zo was slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente en liep er een ambtenaar rond die zich chief information security officer (ciso) noemde, maar in de praktijk weinig tijd besteedde aan de taken die bij die functie horen.
Een woordvoerster van Hof van Twente laat weten dat de gemeente nog niet weet of zij in hoger beroep gaat. Daarvoor wordt momenteel de uitspraak van de Almelose rechtbank bestudeerd.
De publieke meningen zijn altijd interessant om nog eens terug te lezen wat er allemaal gezegd is in de discussie, zo herinner ik me eens iets gezegd te hebben over RACI-model bij uitbestedingen. De ’toewijzing op van maatregelen op eindverantwoordelijke’ van BIO gaat om de vinkjes in een tabel met allerlei processen zodat duidelijk is waar papieren tijgers getemd worden en waar beleid vertaald is naar operationele mogelijkheden. Want om alle logs te kunnen analyseren moet je wel eerst de logfaciliteiten hebben want normeringen in de informatiebeveiliging stellen nogal wat eisen hieraan. Het is niet het amateurisme en gemakzucht bij ICT’ers van de gemeente waar het beleid faalt want het gaat mis bij bestuurlijke incompetenties van juristen die geen affiniteit hebben met ICT.
Informatiebeveiliging gaat meer om de organisatorische maatregelen dan de techniek want net als een CISO zonder budget geldt dat een functionaris gegevensbescherming weinig kan doen als de data niet geclassificeerd is. Ik heb handreiking dataclassificatie doorgenomen want dataassessments leren dat zo’n 80% van de data enkel als bewijs of referentie bewaard wordt en niet meer gewijzigd mag worden. Ik wijs daarom op de back-up die 7 jaar bewaard wordt als archiefkopie omdat zo’n 90% van de datalekken daar uit voortkomen. Dit mede omdat er sprake is van verwezing want het eigenaarschap van informatie ligt namelijk niet bij de IT-afdeling, die beheert de data en heeft door het onbreken van classificatie moeite met de beheersing.
“De publieke meningen zijn altijd interessant om nog eens terug te lezen wat er allemaal gezegd is in de discussie”.
Me dunkt dat dat hier meerdere malen is aangetoond. Met de Equihold-affaire misschien nog wel als schoolvoorbeeld.
Even goed zijn we er niet met het RACI-model. Dat is maar een onderdeeltje. Een onderdeeltje dat in processen, programma’s en projecten slechts met tegenzin wordt ingevuld, en daarna zelden wordt toegepast. ‘Goed Opdrachtgeverschap’ is nog steeds een onbekend fenomeen. Duikgedrag is de norm. Dat duikgedrag wordt dan ook meer dan gefaciliteerd en gecamoufleerd in alle vormen van privatisering, verzelfstandiging, uitbesteding, PPS, en wat al niet. Simpel gezegd : ‘iedereen heeft er belang bij om het zo vaag mogelijk te houden’.
De oorzaak zoeken in “bestuurlijke incompetenties van juristen die geen affiniteit hebben met ICT.” is helaas veel te simpel, en ook in strijd met de werkelijkheid.
De afgelopen decennia zijn miljoenen uitgegeven aan congressen, seminars, workshops en trainingen. Met lunch, borrel en naslagwerk. En nog steeds moet directeuren, wethouders en burgemeesters worden uitgelegd wat hun verantwoordelijkheden zijn. Maar die hadden ze toch net zo fijn weggedelegeerd?
Concreet gezegd : als men een Service Level Agreement Manager aan stelt en gelijktijdig het budget van het Hoofd Systeembeheer kort heeft men het duidelijk niet begrepen. Helaas zomaar een praktijkvoorbeeld.
@Louis Kossen : het kenmerk van criminelen is nu juist dat ze niet te vertrouwen zijn.
En ‘verdienmodel’? Zodra er betaald is is de crimineel tevreden. Hij/zij zal niet snel aan klantenbinding doen. Scriptkiddies al helemaal niet. Ervaringscijfers tonen overigens aan dat eenmaal ‘gehackte’ organisaties vaak nogmaals gehacked worden, en bij herhaling. In dat opzicht is er wel een verdienmodel.
En het punt is nu juist dat zelfs als je al de beschikking over systemen en data terug krijgt je vervolgens alles zult moeten desinfecteren; hardware, software, data. Feitelijk onbegonnen werk. En bovendien een kostenpost die het losgeldbedrag meerdere malen overstijgt.
Waarbij ik overigens zou durven stellen dat een volledige herbouw van de databestanden wel eens een ‘blessing in disguise’ zou kunnen zijn. Datamanagement, incl. verificatie en actualisatie, staat in de meeste organisaties laag op de prioriteitenlijst. Kijk maar eens in welke klucht je verzeild raakt als je als consument of burger je gegevens wilt laten corrigeren.
Het overheidsbeleid is dat overheden niet onder dwang behoren te betalen en dat heeft het Hof van Twente ook niet gedaan. Maar er is meer wat eigenlijk had gemoeten en ook nog eens wettelijk is vastgelegd. Gemeenten moeten nl. de gegevens van burgers en personeel adequaat beschermen i.v.m. de AVG en dat heeft het Hof van Twente niet gedaan. Op het gebied van beveiliging geldt geen if it ain’t broke don’t fix it, maar een continue inspanning. De gemeente had dus net zo goed kunnen onderhandelen, ook al heeft de Volkskrant dit er niet gemakkelijker op gemaakt. En indien je beslist dat je gaat betalen, dan is de garantie tot aan de deur. Dus dan ben je voorzichtig. Je wilt weten met wie je “zaken”doet. Je betaalt wat en je krijgt wat (via een iteratief proces misschien alles) terug. Er is een kans dat de hackers te haastig of onprofessioneel hebben gewerkt en te veel hebben weggegooid. Daar wil je niet voor betalen. En criminelen kunnen gegevens hebben gestolen die ze later gaan doorverkopen.
Statelijke actoren hebben een ander verdienmodel dan cybercrime groepen. Statelijke actoren hoeven niet perse ransomware in te zetten omdat er (ook) andere doelen kunnen zijn. Het kenmerk van statelijke actoren is dat ze net als criminelen niet te vertrouwen zijn. Staten die door statelijke actoren aangevallen worden, kunnen hard terugslaan, zie de cyberwar tussen Iran en Israël. Zie ‘Toekomstverkenning: Het cyberdomein in 2022’ van het RIVM met voor Nederland bedachte scenario’s (https://www.rivm.nl/sites/default/files/2019-10/Toekomstverkenning cyberdomein 2015.pdf.)
Het Hof van Twente, is in de problemen gekomen door amateurisme en gemakzucht bij ICT’ers, de slechte samenwerking met Switch, de slechte aansturing door de ambtelijke top en de knieperigheid van B&W. Die gemeente komt er niet uit door een externe jurist er op uit te sturen om de schade te verhalen bij een leverancier. Ik vraag me af hoe serieus de rechtszaak uiteindelijk wel bedoeld was. Als er meteen een eerlijk gesprek had plaatsgevonden tussen het uitvoerend personeel van I&A, de ambtelijke leiding en B&W, dan was de gemeente waarschijnlijk een andere kant op gegaan. Er is gekozen voor “functie elders” voor sommigen van I&A, maar de rest is blijven zitten.
@Jaap : ik denk dat we af moeten stappen van enige daadwerkelijke betrokkenheid van ICTers. ICTers zijn wellicht gemakzuchtig. Zij houden zich bezig met ICT. “Geen budget? Dan gebeurt het niet.”.
Voor dat soort gemoeide bedragen is minimaal het middle-management betrokken. En de eindverantwoordelijk wethouder/burgemeester heeft het gedelegeerd, en wil niet horen van problemen die hij/zij niet begrijpt.
Op het gebied van beveiliging geldt ‘state of the art’. ‘Welkom2020’ is stenen tijdperk. En scriptkiddies gaan niet onderhandelen op resultaatverplichting.
Voor ‘statelijke actoren’ geldt het ‘attributiebeginsel’, zie het ‘Tallinn Manual’. Hoe graag burgemeesters a la Bruls zich ook ook willen opwerpen als generaals die op de bres staan om ‘cyberattacks’ te weerstaan. Het RIVM moet zich bemoeien met zaken waar ze verstand van hebben.
De door de gemeente ingeschakelde jurist (?) heeft zich hoogstwaarschijnlijk beperkt tot de taakopdracht. Voor een taakopdracht is ‘Goed Opdrachtgeverschap’ vereist. Hetgeen in casu evident afwezig was. De gemeentelijke onderhandelingspositie was sowieso 0,0. Aldus restereerde het afreageren op de onderaannemer, hetgeen voorspelbaar in het afvoerputje geraakte.
Het is mij onbekend dat er bij I&A slachtoffers zijn gevallen. Goede kans dat de usual suspects na eind mei gewoon blijven zitten.
Wat kost het kiezen van een moeilijk te raden wachtwoord, wat kost het afdwingen van een sterk wachtwoord via Active Directory, wat kost het doorgeven van een configuratieverandering via een IT-servicemanagement procedure aan Switch, enz.? En er was nog budget voor de segmentatieopdracht door de oude leverancier Previder. Die moest alleen de gelegenheid krijgen van de gemeentelijk afdeling I&A. Multifactor Authentication hoeft ook niet veel te kosten.
Een I&A manager moet normaal gesproken in staat zijn om evenwicht te bereiken tussen het budget en de taakstelling. Je hebt van die foute politieke baasjes die willen dat je alleen aan hen rapporteert en liever geen negatieve zaken via e-mail doorgeeft, want die e-mail zouden toevallig over het hoofd kunnen zien. Maar als het mis gaat, dan weten ze zogenaamd van niks. Maar waarom zou je hun alibi willen zijn? Gewoon rapporteren en bespreken en afspraken eventueel zelf op papier zetten. In de meeste gevallen verdwijnt daarna ook de halsstarrige manager omdat ze niet alle lijken in de kast kunnen houden.
Ook ik heb diverse keren een beheerafdeling gezien waar ICT’ers zeer gefrustreerd waren vanwege baasjes, die slecht aansturen, medewerkers slecht behandelden, te veel verlangen voor het beschikbare budget. Dan krijg je een slecht gemotiveerde beheerafdeling die in een neerwaartse spiraal terechtkomt, waar de beste en de jongere medewerkers weglopen en de rest zoveel mogelijk passief achter het scherm de tijd uitzit. Die mensen gaan vanzelf ook slecht werken of weg zodra het kan. Zo’n afdeling oplappen kost geld; hun werk uitbesteden is meestal risicovol en extra kostbaar door een gebrek aan medewerking en goede documentatie.
@Jaap : voor mij volledig – tenenkrommend – herkenbaar. Zowel bij overheid als bedrijfsleven. En niet alleen bij ICT.
Elke organisatie zou dankbaar moeten zijn voor een capabel, stevig in haar/zijn schoenen staand Hoofd Systeembeheer en een dito Hoofd Applicatiebeheer.
Voor de volledigheid wellicht goed nog even te verwijzen naar de artikelenreeks van Holla Advocaten over de zorgplicht van de de IT-leverancier.
https://www.holla.nl/nieuwsbericht/let-op-de-zorgplicht/
Goede tip P.J Westerhof. Hola heeft zo te zien een mooie serie van artikelen gemaakt die lezenswaardig zijn voor leveranciers en afnemers in onze sector.
Leveranciers en afnemers moeten gezamenlijk problemen zien te voorkomen. En er zijn leveranciers die interne richtlijnen hebben die veel aandacht geven aan zorgplicht. Maar je hebt ze ook die bij problemen via handjeklap of mediation er alsnog (onder)uit willen komen.
Overheden als klant, gaan meestal voor mediation. Daardoor zijn er niet zoveel rechtszaken met gerechtelijke oordelen die als richtlijn voor belanghebbenden kunnen dienen, inclusief andere rechters. Rechters verzoeken partijen sowieso meestal meerdere keren om tot een vergelijk te komen.