De gemeente Hof van Twente, op 1 december 2020 slachtoffer van een hack die de it-systemen lamlegde, eiste vier miljoen schadevergoeding van partner Switch IT Solutions wegens wanpresteren. De rechtbank in Almelo oordeelt echter dat de it-dienstverlener uit Enschede, onderdeel van het Zweedse Dustin, geen blaam treft. Hof van Twente is zelf verantwoordelijk voor het incident door een lakse houding.
Eind 2020 kwam een stroom losgeldbrieven uit vijftig printers in het gemeentehuis in Goor. De hackers waren de baas over het gemeentelijke netwerk en eisten 750.000 euro losgeld. De gemeente betaalde niet en de gevolgen waren groot. Systemen werden vernietigd en data versleuteld of gestolen. Uiteindelijk was de gemeente ruim vier miljoen euro kwijt om de gemeentelijke systemen weer op te bouwen.
De hackers konden eenvoudig in het netwerk inbreken omdat een ambtenaar van de gemeente vlak voor de ransomwareaanval het wachtwoord van het beheerdersaccount in ‘Welkom2020’ had veranderd. Eerder al had de eigen systeembeheerder van de gemeente het nodig gevonden om een regel in de firewall aan te passen. De poort naar buiten kwam daardoor open te staan.
Desondanks stelde Hof van Twente it-partner Switch IT Solutions verantwoordelijk voor de inbraak. De gemeente vond dat Switch voor de slechte beveiliging had moeten waarschuwen. Aan de hack waren een jaar lang dagelijks vele tienduizenden pogingen tot inloggen voorafgegaan. Ook was malware geplaatst. Maar Switch reageerde hier niet op, aldus de advocaat van de gemeente.
De rechter stelde eerst voor om de zaak te schikken maar beide partijen kwamen niet tot een overeenstemming. In het vonnis dat de rechtbank in Almelo vorige week heeft uitgesproken krijgt Hof van Twente alsnog de zwartepiet toegeschoven. De gemeente had haar zaakjes niet op orde. De hackers kwamen het netwerk binnen via een account dat Hof van Twente zelf (onvoldoende goed) beheerde.
Functioneel beheer
Verder blijkt uit de uitspraak dat Switch contractueel alleen verantwoordelijk was voor het goed functioneren van de servers, de opslag en de netwerkvoorzieningen. Daar hoorde wel bij het borgen van de adequate back-up en restore van data, anti-virus-maatregelen en een firewall-inrichting maar niet security-monitoring, zoals door het instellen van een ‘alarm’ bij een bepaald aantal ongeautoriseerde inlogpogingen. Tenzij dit van invloed zou zijn op de beschikbaarheid, capaciteit of performance van de beheerde objecten: dan moest Switch wel handelend optreden.
In het kader van de borging van de it-voorzieningen gaf het it-bedrijf de gemeente security-adviezen, zoals het vervangen van de anti-virus-software door een oplossing die een betere bescherming zou bieden tegen gijzelsoftware. Ook kwam Switch met een voorstel voor een andere backup-oplossing. Daarbij zouden, op basis van Veam B&R, de backup-server en gekoppelde network attached storage (nas)-oplossing worden geïsoleerd en buiten het active directory-domein worden geplaatst. Zo zouden hackers, mochten ze eenmaal binnen zijn, de backup-server met de daaraan gekoppelde opslagapparaten niet kunnen benaderen om ze daarna te gijzelen Daarnaast stelde Switch voor om nog een extra kopie van de backup buiten de eigen it- omgeving te bewaren door middel van een zogeheten offsite-backup.
In de wind slaan
De gemeente liet zowel het anti-virus- als het backup-hardening-advies links liggen. Ook sloeg zij de waarschuwingen van haar accountant in wind. Die had vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en hacks. Hof van Twente koos er bewust voor een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding, met alle gevolgen van dien.
Dit, terwijl Switch juist had gewaarschuwd voor een scenario à la de Universiteit van Maastricht, waar hackers eind 2019 bij een inbraak ook de backup in handen kregen. Desalniettemin heeft de gemeente volhard in haar keuzes, kennelijk uit kostenoverwegingen, constateert de rechtbank. ‘In zoverre heeft de gemeente de invulling van de zorgplicht door Switch in feite verhinderd’, aldus de uitspraak.
Te weinig oog
Opmerkelijk ook is dat de voorganger van Switch, Previder, nog een aantal werkzaamheden moest uitvoeren, zoals netwerksegmentatie. De rechter stelt vast dat dit kennelijk niet gebeurd; het was geen opdracht die, na een aanbesteding, op het bordje van Switch terecht was gekomen. Saillant is ook dat de anti-virus-software van Trend Micro die Hof van Twente gebruikte, ‘anders dan de gemeente meent, malware niet alleen heeft gedetecteerd, maar ook heeft verwijderd’, schrijft de rechtbank. Bovendien had de gemeente zelf inzicht in het dashboard van Trend Micro.
Deze bevindingen passen bij het eerdere beeld dat de gemeente veel te weinig oog heeft gehad voor de it- en informatiebeveiliging. Zo was slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente en liep er een ambtenaar rond die zich chief information security officer (ciso) noemde, maar in de praktijk weinig tijd besteedde aan de taken die bij die functie horen.
Een woordvoerster van Hof van Twente laat weten dat de gemeente nog niet weet of zij in hoger beroep gaat. Daarvoor wordt momenteel de uitspraak van de Almelose rechtbank bestudeerd.
2 jaar verder met deze hilarische en beschamende vertoning van bestuurlijke arrogantie en mismanagement.
En de gemeente zal vast wel in hoger beroep gaan. Kosten belastingbetaler.
De Gemeenteraad speelt kennelijk geen rol van betekenis.
Welk deel van de uitspraak van de Almelose rechtbank wordt nou bestudeerd ?
– lakse houding.
– zwartepiet
– De gemeente had haar zaakjes niet op orde.
– In de wind slaan van alle goede adviezen van Switch
– De hackers konden eenvoudig in het netwerk inbreken omdat een ambtenaar van de gemeente vlak voor de ransomwareaanval het wachtwoord van het beheerdersaccount in ‘Welkom2020’ had veranderd. Eerder al had de eigen systeembeheerder van de gemeente het nodig gevonden om een regel in de firewall aan te passen. De poort naar buiten kwam daardoor open te staan.
– In zoverre heeft de gemeente de invulling van de zorgplicht door Switch in feite verhinderd
– het was geen opdracht die, na een aanbesteding, op het bordje van Switch terecht was gekomen.
– Deze bevindingen passen bij het eerdere beeld dat de gemeente veel te weinig oog heeft gehad voor de it- en informatiebeveiliging
– Zo was slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente en liep er een ambtenaar rond die zich chief information security officer (ciso) noemde, maar in de praktijk weinig tijd besteedde aan de taken die bij die functie horen.
Vreemd dat Switch niet zelf een procedure startte tegen de gemeente
Ik verwacht een pittige raadsvergadering waarin de burgemeester wat uit te leggen heeft want ondanks het mooie verhaal van de broodschijver die ingehuurd was voor het oppoetsen van een imago zit de fout in het beheermodel van Looijen:
“Hof van Twente koos er BEWUST voor een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding, met alle gevolgen van dien.”
De uitbesteding van de techniek was geen probleem maar de regie over de toegang kende blijkbaar een joker als de fatale FTP service om een functionele behoefte gaat. Wat betreft de ontkoppeling van de back-up denk ik dat het verlies van een archief voor de grootste pijn zorgt want ik heb wat ervaring in dit domein. Gemeenten die adviezen in de wind slaan zijn dan ook geen nieuws meer en inghuurde broodschrijvers die met een mooi verhaal komen bieden geen garanties voor eventuele claims. No cure, no pay zou ik als gemeenteraad vragen stellen over de rol van Brenno.
Ik zou bijna zeggen dat ik dit vraag naar aanleiding van wat vrienden want waarschuwing van accountant negeren maakt duidelijk dat er een bewustzijn was over de risico’s waardoor hele verhaal over te goed van vertrouwen naar de prullemand kan. Pittige raadsvergadering moet de rol van bepaalde ambtenaren ook niet vergeten want verantwoordelijkheid van de bedrijfsvoering ligt niet bij CISO. Ik heb het idee dat Hof van Twente vooral wat moet doen aan de rapportages, papieren tijgers zijn makkelijk te temmen maar uiteindelijk blijkt maar weer dat zoiets als beveiliging geld kost.
Om te beginnen had de gemeente het verlies moeten nemen en de softwaregijzelaars moeten betalen. De goedkoopste en snelste manier om je zaken weer draaiend te krijgen. Een ramp als je alle computerspulletjes kwijt bent. Herinner met het originele verhaal, medewerkers die jaren werken kwijt waren. Had met ze te doen.
En dan ook dit, Welkom2020. Het kan ons allemaal gebeuren maar een duur foutje en ook nog voor de gemeente.
Voor wat realiteitszin.
Betalen van losgeld is geen enkele garantie dat de ‘hackers’ (feitelijk nauwelijks hackers te noemen) de gegijzelde systemen ook weer vrij geven.
Daarna zul je de volledige netwerk- en systeemomgeving en data moeten opschonen van malware en andere effecten en opnieuw moeten inregelen. In de praktijk nagenoeg onbegonnen werk, en bovendien kostbaar.
Feitelijk is de volledige IT-omgeving gecorrumpeerd en het waarschijnlijkheid dat er nog achterdeurtjes zijn achtergebleven is groot.
En dan hebben we het nog maar niet eens over allerlei hard- en software die het End-of-Life-moment al vele jaren achter zich hebben liggen.
Om van schending van wet- en regelgeving, normen en richtlijnen, maar niet te spreken. De betrokkenheid van de Functionaris Gegevensbescherming is niet of nauwelijks belicht. Hetgeen op zichzelf al vragen oproept.
Opnieuw opbouwen, volgens de huidige ‘stand der techniek’, en zonder bemoeienis van ‘bestuurders’ en non-deskundigen, is sneller, goedkoper en effectiever.
Van de rol van de Gemeenteraad moet men niet teveel verwachten. Dat geldt overigens voor bijna elke gemeente.
De verhoudingen binnen de Gemeenteraad zijn doorgaans zo dat de coalitie het B&W niet al te pijnlijk wil maken.
De ‘responsibility’ zal nog wel aan de orde komen. Maar aan de ‘accountability’ zal men zich niet willen branden, alleen al vanwege de ‘hand in eigen boezem’.
Ik verwacht niet veel meer dan een ‘Motie van Treurnis’, of hooguit een ‘Motie van Afkeuring’, en een motie met de opdracht aan het College om consequenties voor de lopende beleidsuitvoering in beeld te brengen. Het lijkt dat men nog niet aan de Voorjaarsnota 2023 is toegekomen.
Burgemeester Ellen Nauta-van Moorsel is verantwoordelijk voor Bedrijfsvoering, Kwaliteit en (Informatie-)Veiligheid.
Tenzij men IT ouderwets onder Financiën heeft geschoven is binnen de gezamenlijke College-verantwoordelijkheid verder geen van de 3 wethouders betrokken.
Dat de burgemeester de wacht wordt aangezegd zie ik niet snel gebeuren.
Dat er op het IT-gerelateerde front versterking noodzakelijk is lijkt mij evident.
Dat een ‘Business Risks Approach’ wenselijk is (M_o_R) eveneens.
En Hof van Twente kan natuurlijk altijd nog in hoger beroep gaan.
Dan wil ik graag even verwijzen naar de parallelle Niemans Beton casus van Vianen/Vijfheerenlanden.
Waar men na 40 jaren bestuurlijke arrogantie en mismanagement, en vele processen, uiteindelijk €92 mln. moest betalen
Ambtenaren die jaren werk kwijt zijn gaat niet om de back-up, het gaat om de preservering van allerlei referentiedata welke eenvoudig te beschermen is. En dat kost niet eens zoveel geld want technologie ervoor is een halve eeuw oud en vrij van patenten, net als FTP;-)
Ik denk dat de Functionaris Gegevensbescherming op dezelfde manier is ingevuld als de CISO, de rol bestaat alleen op papier want het vinkje voor de compliance is makkelijk te zetten. Eindrapport rekenkamercommissie Hof Van Twente concludeert dat de gemeente te zuinig is geweest aangaande de informatieveiligheid en dat de gemeenteraad nalatig is geweest. Ze kunnen daarover hun schouders ophalen maar daarmee verliezen ze het vertrouwen van de burger:
“De accountant, met de raad als opdrachtgever, heeft in de managementletters meerdere malen aandacht gevraagd voor ICT in relatie tot de rechtmatigheid van de financiële huishouding van de gemeente. Maar ook ten aanzien van informatieveiligheid, in ieder geval vanaf 2017. Daarbij heeft de accountant onder andere het wachtwoordenbeleid geproblematiseerd en gewaarschuwd voor de risico’s van een hack.”
De conclusies van de Rekenkamercommissie zijn dan ook interessant want een diepgaande kennis over ICT was niet voldoende aanwezig op sleutelposities in de ambtelijke en bestuurlijke organisatie om de naleving van beleid en protocollen af te dwingen of te controleren. Ik had meen ik al wat gezegd over het beheermodel van Looijen want uitbesteding van de infrastructuur mistte hierdoor regie en sturing op zowel de operationele, tactische en strategische lagen.
En ja, de raad nam weinig initiatief en liet zich leiden maar never waste a good crisis kun je leren van fouten want ik kan me heel goed vinden in de aanbevelingen van de Rekenkamercommissie. Eén advies raad ik echter af want samenwerking tussen gemeenten gaat niet lang goed.
Ik ben absoluut niet onder de indruk van de rapportages door accountant en gemeentelijke rekenkamer. Volgens mij hebben we dat een jaartje terug al doorgenomen.
Waarbij hier nog wel moet worden benadrukt dat beiden de rechtmatigheid en doelmatigheid van de besteding van gemeentelijke financien als focus hebben.
CISO en FG zijn beiden wettelijk verplicht.
De rol van de FG is vanwege de rapportageplicht echter ook bovengemeentelijk. Dat kan dus nog leiden tot nader onderzoek door de AP, plus maatregelen en boetes.
We kunnen gevoeglijk stellen dat de volledige gemeentelijk governance – voor zowel IT, als bedrijfsprocessen, als gemeentelijke samenwerking – niet op orde was, en is. Een maturity die 0 nadert.
Dat zou toch wel de aandacht van de provincie moeten trekken.
Het lijkt er op dat dit vooralsnog niet is gebeurd. Hetgeen een vraag op zich is.
Uit de rechtelijke uitspraak blijkt dat het Hof van Twente nog meer fouten heeft gemaakt, dan in eerste instantie al naar buiten zijn gekomen en ik vermoed dat in de beerput van het Hof van Twente nog veel meer te vinden is. Door het amateurisme en gemakzucht bij de ICT’ers van de gemeente en de slechte communicatie en afstemming tussen de afdeling I&A en de oude en nieuwe leveranciers, heeft men heel veel kansen gemist om narigheid te voorkomen en ook nog de positie van de gemeente in de rechtszaak verzwakt. I&A heeft een reeks van belangrijke waarschuwingen genegeerd en allerlei verbetervoorstellen niet geaccepteerd. Goedkope quick wins zijn niet geïmplementeerd (in tegendeel) en ook geen tijdelijke oplossingen als alternatief voor geweigerde voorstellen van leveranciers. De Beveiligingsbeheerder ICT met meer dan 35 jaren I&A ervaring, heeft blijkbaar niet willen luisteren naar de waarschuwingen van Switch. Heeft deze B&W wel op de hoogte gesteld van de problemen rond de beveiliging?
Als er meer dan één beherende partij is, zoals in deze casus, dan moet helder vastgelegd worden welke partij, wat doet of beslist. Uit de uitspraak blijkt dat er geen eenduidig beeld was wat het beheer en de taakverdeling in de praktijk inhield, ook al heeft M&I/Partners de gemeente geholpen met de Europese aanbesteding. Maar indien je als professionele partij weet dat je opdrachtgever er een rommeltje van maakt en daardoor niet de benodigde beveiliging krijgt, dan mag je wel meer initiatief tonen.
Switch is door de rechter voor alle ingediende klachten van de gemeente vrijgepleit omdat vastgesteld is dat de gemeente een hele serie verkeerde beslissingen heeft genomen na gewaarschuwd te zijn en het beheer door Switch in de wielen reed.
Het was unfair van het Hof van Twente om Switch zo snel af te branden en ook nog eens publiekelijk. Ze wisten dat ze ook grote fouten hadden gemaakt. De afdeling I&A wilde immers een eigen beheerdersaccount en de firewall deels buiten Switch in beheer houden om zelf poorten in te stellen. Het netwerk van de gemeente is door de wijzigingen van de firewall kwetsbaar gemaakt wat tot brute force aanvallen leiden van 50.000 en 100.000 inlogpogingen per dag. Een snel te raden wachtwoord van het beheerdersaccount zonder meerlaagse beveiliging gebruiken, maakte de hack ook nog eens relatief eenvoudig. De hacker kon een extra beheeraccount maken en daarna met de standaard beheertools veel schade aanrichten, want antivirussoftware ziet en verwijdert alleen malware en logs werden te laat gelezen. De gemeente heeft niet alleen deze en vele andere fouten gemaakt, maar het heeft de beheeropdracht voor Switch in de praktijk zodanig beperkt dat deze de beveiliging niet echt op zich kon nemen, zoals oorspronkelijk de bedoeling was en dat rekent de rechter de gemeente zwaar aan. Wijzen naar de slecht bijgehouden documentatie door Switch houdt geen stand als I&A heel belangrijke wijzigingen niet aan de leverancier meldt. Het lijkt erop dat de ambtenaren van het Hof van Twente er vooral op gespitst waren om de eigen geitenpaadjes zo gemakkelijk mogelijk te maken, niet om de gemeentelijke gegevens en die van haar bewoners veilig te stellen.
Het rapport ‘Te goed van vertrouwen’ van Brenno de Winter geeft aan wat de partijen voor en vlak na de hack gedaan hebben, maar dat de meesten onvoldoende effectief zijn opgetreden of onvoldoende gerapporteerd hebben. Coördinatie en beslissingen vanuit I&A ontbraken. Er wordt aangegeven dat eerdere audits en pentesten door I&A niet op de juiste wijze zijn geïnterpreteerd. De opmerking “de gemeente geeft veel vertrouwen aan leverancier.” in het duidingsrapport, moet niet los gezien worden van het feit dat dit vertrouwen in eerste instantie voor de eigen ambtenaren zou moeten gelden, omdat zij de spin in het web zijn. Dat het beeld van het beheer en de informatisering in de ambtelijke bubbel niet overeenkomt met technische feiten, dat er zo veel kansen zijn gemist, had scherper geformuleerd mogen worden. De duiding was immers bedoeld voor de ambtelijke leiding en B&W, die belangrijke besluiten moeseten nemen.
Zelf heb ik publiekelijk aangegeven dat de gemeente Hof van Twente, Switch IT Solutions, Informatie Beveiligingsdienst VNG, Sogeti Nederland en andere mogelijke betrokken partijen deze casus gezamenlijk zouden moeten bestuderen, om er van te leren wat anders had gemoeten en wat ook beter had gekund, beter afgestemd had gemoeten. Het Hof van Twente heeft er voor gekozen om op hoge toon Switch alle schuld in de schoenen schuiven. Wellicht heeft B&W pas tijdens de rechtsgang geweten wat de eigen ambtenaren al lang wisten, dan wel hadden moeten weten en wat de rol was van het hoofd I&A, de Beveiligingsbeheerder ICT en de zuinigheid door het bestuur. De gemeente had samen met haar advocaat vooraf moeten onderzoeken welke klachten de rechter vrijwel zeker ongegrond zou verklaren. De problematiek van de gemeente is over de schutting van hun advocaat gegooid. Zonde van de gemaakte ambtelijke uren en de proceskosten.
De investering in beveiliging en de genomen maatregelen, de slechte samenwerking pasten niet bij het dreigingsbeeld om een 7×24 beschikbaarheid enigszins te garanderen. De gemeente heeft daarmee willens en weten risico’s genomen. Daarom kunnen gedupeerde bewoners claims bij de gemeente indienen. De burgemeester en de ambtelijke top mogen zich gaan beraden of zij wel in staat zijn om adequaat leiding te geven aan het gemeentelijk apparaat.
Nog even in aanvulling op mijn eerdere commentaar.
De eerstvolgende raadsvergadering van de gemeente Hof van Twente staat geagendeerd voor 30 en 31 mei a.s.
Voor 30 mei staat momenteel niets op de agenda mbt. dit onderwerp, anders dan het gebruikelijke ‘Spreekrecht burgers’, ‘Vragenhalfuur gemeenteraad’ en het vergaderpunt ‘Actieve informatieplicht college’. Voor 31 mei staat niets geagendeerd.
Er is geen vermelding van een ingelaste (informatieve) raadsvergadering.
Interessant.
De raadsvergadering wordt niet gestreamed, dus men zal de ambtelijke verslaglegging en de mediaberichten moeten afwachten.
@PJWesterhof Een garantie op het terugkrijgen van verloren bestanden heb je nooit als je betaalt. Maar leveren de boeven niet dan schoppen ze het eigen verdienmodel onderuit. Je kan er enigszins vertrouwen in hebben.
Het voorbeeld is natuurlijk de Universiteit van Maastricht. Gehackt en mails en werk van de studenten kwijt. Naar mijn mening geen andere keus dan betalen wat ze hebben gedaan.
Dat is de vraag voor iedere gehackte organisatie, kies je voor betalen of voor een streep zetten door alle data die nodig is voor het reiln en zeilen van de de organisatie.
Dat het betekent het de eigen systemen onder de loep te nemen en opnieuw op te bouwen, daar heb je gelijk in. Of je nu betaalt of niet. Systemen zijn vervangbaar, je data niet.
Dan gaat het nog niet eens over de financieen, betalen was goedkoper geweest voor de Hof van Twente dan deze koppigheid.