De gemeente Hof van Twente acht het toch nog nodig om in hoger beroep te gaan tegen de uitspraak van de rechtbank over de hack die de it-systemen lam legde. Hoewel de gemeente op nagenoeg alle punten in het ongelijk werd gesteld en een nieuwe rechtszaak weer veel tijd en geld kost, weten de lokale bestuurders van geen ophouden.
Eind 2020 werd de gemeente slachtoffer van een cyberaanval. Daarbij versleutelden de cybercriminelen het gemeentelijke netwerk en de back-up. De systemen werden ontoegankelijk gemaakt, terwijl vele virtuele servers verdwenen. Alleen al het herstel kostte vier miljoen euro. De gemeente probeerde de schade te verhalen op Switch IT uit Enschede, inmiddels onderdeel van het Zweedse Dustin, maar kreeg van de rechter nul op het rekest.
Nergens is gebleken dat de it-dienstverlener contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld. Verder oordeelde de rechter dat de gemeente zelf schuldig was aan de hack. Een ambtenaar had een door de gemeente zelf beheerde achterdeur opengezet die toegang gaf tot de systemen. Deze persoon zette een zogenoemde rdp-poort open door een regel in de firewall aan te passen. Dit werd niet aan Switch IT verteld.
De it-dienstverlener heeft de gemeente er medio 2020 nog op gewezen dat het voor de veiligheid beter was leveranciers alleen via de Kaseya-tool toegang te geven, maar de ambtenaar sloeg die waarschuwing in de wind. Tot overmaat van ramp had de gemeente een makkelijk te raden wachtwoord ingesteld (Welkom2020). Hof van Twente was zelf verantwoordelijk voor het wachtwoordbeleid. De gemeente verzuimde Switch IT van de wachtwoord-wijziging op de hoogte te stellen.
Hand in eigen boezem
Nu meent de gemeente dat Switch IT dit zwakke wachtwoord had moeten toetsen. Maar omdat het wachtwoord aan het beleid voldeed, had dat nooit tot een melding geleid. Overigens had de it-dienstverlener de gemeente al geschreven niet te kunnen instaan voor de gevolgen als ambtenaren op eigen houtje gaan handelen. De rechtbank oordeelde dan ook dat Hof van Twente geen poot heeft om op te staan. Desondanks meent de gemeente toch in hoger beroep te moeten gaan.
Ook het advies van de eigen Rekenkamercommissie is kennelijk alweer vergeten. Vorig jaar oktober zeiden alle fracties in de gemeenteraad de hand in eigen boezem te steken nadat deze commissie ook de eigen rol had gehekeld. Alles rondom de beveiliging moet beter, zei de voltallige gemeenteraad, zo meldde dagblad Tubantia destijds. ’Te weinig controle, te weinig kennis, te weinig bemoeienis, te weinig budget,’ zo had de Rekenkamer geconcludeerd. Inmiddels is wel een echte ciso aangesteld. Daarvoor had de gemeente een ambtenaar die zich de titel ciso toe-eigende, terwijl deze maar een vijfde van de tijd die taak vervulde.
Te weinig controle, te weinig kennis, te weinig bemoeienis en te weinig budget geldt blijkbaar alleen de dienstbaarheid aan de burger want er is blijkbaar geld genoeg om door te gaan op de jurdische weg voor een bestuurlijk gelijk welke niks veranderd aan de feiten. De prangende vraag is dan ook wie er nu eigenlijk de baas is want in theorie is de raad het hoogste orgaan en het college enkel een uitvoerend bestuur.
Of heeft de raad, welke grotendeels uit vrijwilligers bestaat, geen enkel idee van de operationele werkelijkheid omdat de ambtenaren aan de touwtjes trekken?
Mogen wij als inwoner hier ook nog wat van vinden, publieke gelden in een verloren zaak steken is onbegrijpelijk en toelaatbaar. Makkelijk handelen als het niet uit eigen portemonnee komt. STOP hiermee gemeente en bespaar ons wederom verhoging van belastingen