Net als de rechtbank Overijssel komt het gerechtshof Arnhem-Leeuwarden tot de conclusie dat de cyberaanval bij Hof van Twente niet het gevolg is van fouten van Switch IT Solutions. Het it-bedrijf uit Enschede en moederbedrijf Dustin Group zijn daarom niet aansprakelijk voor de schade die de gemeente door de aanval heeft geleden. De vorderingen van de gemeente worden daarom ook in hoger beroep afgewezen.
Eind 2020 werd de gemeente slachtoffer van een cyberaanval. Daarbij versleutelden de cybercriminelen het gemeentelijke netwerk en de back-up. De systemen werden ontoegankelijk gemaakt, terwijl vele virtuele servers verdwenen. Alleen al het herstel kostte vier miljoen euro. De gemeente probeerde de schade te verhalen op Switch IT uit Enschede, inmiddels onderdeel van het Zweedse Dustin, maar kreeg van de rechter nul op het rekest.
Ondanks een vernietigend vonnis in mei 2023, waarbij de rechter Hof van Twente zelf verantwoordelijk hield voor het mogelijk maken van de cyberaanval, achtte de gemeente het toch nodig om in hoger beroep te gaan. Ook het hof heeft Hof van Twente nu in het ongelijk gesteld.
Welkom2020
In de uitspraak speelt opnieuw de lakse handelswijze van een medewerker van de gemeente een cruciale rol. Uit onderzoek na de cyberaanval door NFIR is gebleken dat een jaar voor de aanval door die medewerker van de gemeente een regel in de firewall was aangepast, waardoor een zogeheten RDP-poort is opengezet die later een opening bleek naar de rest van het netwerk. Enkele weken voor de aanval was het wachtwoord van het gemeente-account gewijzigd in een eenvoudig te raden wachtwoord (Welkom2020).
Waarschijnlijk is daarna bij aanvallen van buitenaf het wachtwoord geraden. Omdat het account de hoogste rechten binnen het netwerk van de gemeente had, konden de aanvallers zich hierna vrij over het netwerk bewegen. Ook waren zij hierdoor in staat de back-ups te verwijderen, aldus het hof.
Niet toewijsbaar
De gemeente houdt echter Switch IT Solutions verantwoordelijk voor het feit dat de cyberaanval heeft plaatsgevonden. Zij vindt dat Switch de ongebruikelijke hoeveelheid inlogpogingen die gedurende een jaar plaatsvonden had moeten signaleren en kunnen voorkomen als zij de Sophos-firewall adequaat had ingericht (‘geconfigureerd’) en beheerd. De RDP-faciliteit had automatisch moeten worden uitgezet na verloop van een korte tijd. Ook had het bedrijf de backup-voorziening veilig moeten inrichten en had het een (derde) kopie van de backup-data elders (‘off-site’) moeten bewaren, zodat deze buiten bereik van onbevoegden bleef en de schade was voorkomen, c.q. zeer beperkt was gebleven, aldus Hof van Twente.
Volgens het gerechtshof blijkt echter nergens dat Switch IT Solutions als in 2018 aangetrokken ict-beheerder zijn contractuele verplichtingen niet is nagekomen of zijn zorgplicht tegenover de gemeente heeft geschonden, waardoor de cyberaanval heeft kunnen plaatsvinden. Net als eerder de rechtbank komt het gerechtshof tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn.
Ik denk dat het Hof van Twente dacht: wij huren een beveiligingsdienst in en als we gehackt worden dan is het altijd hun schuld en verhalen we de schade op hen.
Zo werkt het dus niet. Zeker niet als je een wachtwoord als “Welkom2020” instelt voor de Administrator. De persoon die dit wachtwoord instelde moet wat mij betreft ontslagen worden.