Net als de rechtbank Overijssel komt het gerechtshof Arnhem-Leeuwarden tot de conclusie dat de cyberaanval bij Hof van Twente niet het gevolg is van fouten van Switch IT Solutions. Het it-bedrijf uit Enschede en moederbedrijf Dustin Group zijn daarom niet aansprakelijk voor de schade die de gemeente door de aanval heeft geleden. De vorderingen van de gemeente worden daarom ook in hoger beroep afgewezen.
Eind 2020 werd de gemeente slachtoffer van een cyberaanval. Daarbij versleutelden de cybercriminelen het gemeentelijke netwerk en de back-up. De systemen werden ontoegankelijk gemaakt, terwijl vele virtuele servers verdwenen. Alleen al het herstel kostte vier miljoen euro. De gemeente probeerde de schade te verhalen op Switch IT uit Enschede, inmiddels onderdeel van het Zweedse Dustin, maar kreeg van de rechter nul op het rekest.
Ondanks een vernietigend vonnis in mei 2023, waarbij de rechter Hof van Twente zelf verantwoordelijk hield voor het mogelijk maken van de cyberaanval, achtte de gemeente het toch nodig om in hoger beroep te gaan. Ook het hof heeft Hof van Twente nu in het ongelijk gesteld.
Welkom2020
In de uitspraak speelt opnieuw de lakse handelswijze van een medewerker van de gemeente een cruciale rol. Uit onderzoek na de cyberaanval door NFIR is gebleken dat een jaar voor de aanval door die medewerker van de gemeente een regel in de firewall was aangepast, waardoor een zogeheten RDP-poort is opengezet die later een opening bleek naar de rest van het netwerk. Enkele weken voor de aanval was het wachtwoord van het gemeente-account gewijzigd in een eenvoudig te raden wachtwoord (Welkom2020).
Waarschijnlijk is daarna bij aanvallen van buitenaf het wachtwoord geraden. Omdat het account de hoogste rechten binnen het netwerk van de gemeente had, konden de aanvallers zich hierna vrij over het netwerk bewegen. Ook waren zij hierdoor in staat de back-ups te verwijderen, aldus het hof.
Niet toewijsbaar
De gemeente houdt echter Switch IT Solutions verantwoordelijk voor het feit dat de cyberaanval heeft plaatsgevonden. Zij vindt dat Switch de ongebruikelijke hoeveelheid inlogpogingen die gedurende een jaar plaatsvonden had moeten signaleren en kunnen voorkomen als zij de Sophos-firewall adequaat had ingericht (‘geconfigureerd’) en beheerd. De RDP-faciliteit had automatisch moeten worden uitgezet na verloop van een korte tijd. Ook had het bedrijf de backup-voorziening veilig moeten inrichten en had het een (derde) kopie van de backup-data elders (‘off-site’) moeten bewaren, zodat deze buiten bereik van onbevoegden bleef en de schade was voorkomen, c.q. zeer beperkt was gebleven, aldus Hof van Twente.
Volgens het gerechtshof blijkt echter nergens dat Switch IT Solutions als in 2018 aangetrokken ict-beheerder zijn contractuele verplichtingen niet is nagekomen of zijn zorgplicht tegenover de gemeente heeft geschonden, waardoor de cyberaanval heeft kunnen plaatsvinden. Net als eerder de rechtbank komt het gerechtshof tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn.
Ik denk dat het Hof van Twente dacht: wij huren een beveiligingsdienst in en als we gehackt worden dan is het altijd hun schuld en verhalen we de schade op hen.
Zo werkt het dus niet. Zeker niet als je een wachtwoord als “Welkom2020” instelt voor de Administrator. De persoon die dit wachtwoord instelde moet wat mij betreft ontslagen worden.
Bij hoeveel andere gemeenten is er eveneens sprake van duaal beheer waardoor er wijzigingen gemaakt kunnen worden buiten de kennis van dienstverlener om? Wat betreft het duale beheer en de daarbij benodigde domein kennis was het misschien een beetje dom van de medewerker in lagere operationele echelon. Maar het is waanzin dat ambtenaren in hogere echelon blijven volharden in ontlopen van verantwoordelijkheid want de proceskosten zijn voor de verliezer. Nadat Hof van Twente eerder via een broodschrijver probeerde haar maatschappelijk imago probeerde op te poetsen maakt de gemeente zichzelf nu compleet belachelijk want de maatschappelijke verantwoordelijkheid ligt niet bij de dienstverlener.
Want om even terug te komen op dat duale beheer in het maatschappelijke speelveld zijn gemeenten erg makkelijk in het ontlopen van verantwoordelijkheid. Wel de lusten maar niet de lasten in het ontzorgen gaat vooral om het bestuurlijk-juridische temmen van de papieren tijgers. Lees een heleboel verwachtingen die niet passen bij de budgetten als we kijken naar de kern van het uitbesteden. Want in het risicomanagement is een verwachting zonder een contractuele SLA een aanname, meer een wens dan een eis. Het juridische drijfzand gaat om de quid pro quo van de redelijkheid en billijkheid in verantwoordelijkheid want je kunt niet beheren wat je niet weet.
Individuals and interactions over processes and tools
Working software over comprehensive documentation
Customer collaboration over contract negotiation
Responding to change over following a plan
las ik zomaar ergens.
Welkom in 2020
Wat betreft tijdgeest komt het goed uit dat een rechterlijke uitspraak genegeerd kan worden.
Juridisch nog niet, maar wat betreft verantwoordelijkheid wel.
Gewoon stellen dat de rechter niet deugt en je bent er vanaf.
“Net als eerder de rechtbank komt het gerechtshof tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn.”
Die strategie van niet met nieuwe feiten komen maar gewoon hetzelfde harder bleren hielp blijkbaar ook niet.
Maakt ook niet uit, de burger betaalt toch.
Maar ik moet toegeven, het is ook wel lastig om security in een SLA te gieten. Want het agile manifesto waar ik mee begon is is meer voor development bedoeld, dan voor beheer. Die haal ik uit de kast voor de verwarring. Een Russische strategie. De rechter de schuld geven, das een Amerikaanse strategie. Gelukkig leren we snel bij in het westen.
Ook al is een Agreement net zo iets als een NAVO in het het klein, dus iets waar onderuit komt als je niet leuk meer vindt,
bij problemen kiest men SLA boven vrijheid, gelijkheid en broederschap.
Alleen Redelijkheid en billijkheid is inderdaad een uitdaging als je geen benul hebt waarover het het gaat. Het beste ervan hopen dan maar..
Vol verwachting klopt ons hart.
Wie de koek krijgt, wie de gard.
Hard hetzelfde brullen om jezelf belachelijk te maken is er een best practice om de OTA en P van elkaar scheiden. Agile kleuters mogen in eigen zandbak doen wat ze willen maar in de echte wereld moeten ze het beheer overlaten aan de degenen die er wel verstand van hebben. Nu geeft W9 uit het Programma van eisen en wensen de technisch applicatiebeheerders van gemeente (al dan niet tijdelijk) volledige AD beheerrechten waardoor de hele AD een achterdeur wordt. Wat betreft het duale beheer en het beheermodel van Looijen
herken ik een systemische fout hoewel Switch wens ook had kunnen negeren en binnen het contract risico’s proactief aan had kunnen pakken. Het invullen van de regiefunctie bij een gemeente vraagt om een technical accountmanager met commerciële vaardigheden.
Penny wise and pound foolish heb ik een idee over de waarde van het voorstel in punt 3.12 en weet ik dat tussen identificeren van de risico’s en ze mitigeren vaak meer dan 9 maanden zit waardoor je sneller een kind krijgt dan een akkoord op een change. Zeker als het om non-functionele kant van ICT met zoiets als een back-up gaat. Redelijkheid en billijkheid is geen probleem in overeenkomsten alleen wilde Hof van Twente voor een dubbeltje op de eerste rang zitten in het ICT circus. Van dompteurs die de papieren tijgers temmen naar de clowns is de off-site kopie trouwens niet gelijk aan off-line kopie.
We hebben het namelijk over twee verschillende risico’s omdat 3-2-1 regel om een verlies aan data gaat als gevolg rampen met als overtreffende trap een totaal verlies van een site. Met 3-2-1-0 regel voegen we een off-line kopie als een soort van ‘immutable’ back-up toe, een optie die Veeam ondertussen ook ondersteund maar anders kun je nog altijd tape toevoegen. Goedkoop, groen en veilig dus nog lang niet dood ook al denken sommigen er anders over. Maar zoals gezegd moet je het beheer overlaten aan degenen die er wel verstand van hebben want zonder data geen business.