Managed hosting door True

Schade hack bij Hof van Twente loopt op

Negen op de tien gemeentes vrezen ook slachtoffer te worden

 

De gemeente Hof van Twente gaat minimaal drie à vier miljoen euro schade lijden als gevolg van de aanval met ransomware waardoor massaal basisdata verloren gingen. Per bewoner is dat zeker honderd euro verlies. De uiteindelijke strop kan nog behoorlijk oplopen.

Dit zegt Richard Klein Tankink, hoofd concernstaf van de getroffen gemeente, tijdens het RPO Journaal, een evenement van VNG Risicobeheer. Centraal thema was hoe gemeenten om moeten gaan met de risico's van digitalisering. Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen. Vandaar ook de grote interesse in het verloop van deze ongekend grote ramp.  

Nog steeds blijkt de gemeente deze klap allerminst te boven is. Sommige ambtenaren kunnen het psychisch niet verwerken dat twintig jaar werk verloren is gegaan, vertelt Klein Tankink. De eerste dagen na de ramp was de publieke dienstverlening vrijwel geheel tot stilstand gekomen. Nu vier maanden later zijn bepaalde vitale onderdelen nog steeds 'kwijt'. Het gemis aan gegevens laat zich sterk voelen.

Brute force

"De gemeente dacht dat de zaken op orde waren"

De hack kon zo'n impact hebben door een opeenstapeling van fouten. De poort naar de gemeentelijke systemen stond wijd open. Juist op die uiterst belangrijke toegang was de twee-factorauthenticatie uitgezet. En dat terwijl de gemeente al drie jaar geleden dit slot had ingevoerd. Het wachtwoord (Welkom2020) was te zwak. Verder ontbrak het aan toezicht op wat er gebeurde rond de firewall. Met een reeks aan inlogpogingen wisten de hackers het wachtwoord te bemachtigen zonder dat deze ‘brute force’ werd opgemerkt. Ook was er in de gemeentelijke infrastructuur onvoldoende segmentering toegepast en het zicht op wat er binnen de systemen gebeurde minimaal. Ten slotte was de backup onvoldoende beveiligd, vat Klein Tankink het gemeentelijke foutenfestival samen.  

Schokkend detail is dat de gemeente dacht dat de zaken op orde waren, mede door geruststellende resultaten van een pentest door Sogeti en positieve audits. Volgens Klein Tankink is het voornaamste leerpunt dat je niet te veel op rapportages af moet gaan. De gemeente dacht op basis van de Ensia (Eenduidige Normatiek Single Information Audit) te kunnen concluderen dat de beveiliging goed was. De verklaring van de auditor, die aangaf dat het bestuur de situatie scherp op het netvlies had, bevestigde dit beeld. Maar het college en de raad wisten niet dat Ensia qua informatiebeveiliging alleen kijkt naar de aansluiting. Als stuurmiddel blijkt Ensia dan ook volkomen ongeschikt, zo luidt de conclusie nu.

Bewustzijn

Op papier leek alles behoorlijk goed te kloppen. De gemeente voldeed voor 92 procent aan de eisen van de Baseline informatiebeveiliging Overheid (BIO), het basis-normenkader voor informatiebeveiliging. De meeste vinkjes stonden goed. Maar naar later bleek, was de praktijk anders. De systeembeheerder veranderde uitgerekend het belangrijkste wachtwoord in het makkelijk te raden Welkom2020. ‘Zet daarom het kweken van meer bewustzijn als hoogste onderwerp op de agenda,’  adviseert Klein Tankink aan zijn collega's.  

Uit het verhaal van het hoofd concernstaf bleek dat de Informatie Beveiligingsdienst (IBD) van de VNG bij de ramp eind vorig jaar minder ondersteuning gaf dan was verwacht. De rol van de IBD beperkte zich tot het geven van adviezen op afstand. Een rit naar de geplaagde gemeente was achterwege gebleven. Van triage op lokatie was geen sprake.  

IBD-directeur Nausikaä Efstratiades erkent dat haar dienst bij dit soort incidenten meer kan doen. Het was inderdaad beter geweest als de IBD ter plekke samen met de getroffen gemeente de hulpvraag had vastgesteld en samen met een marktpartij nader onderzoek had gedaan. De IBD bekijkt momenteel hoe haar rol in dit soort gevallen kan worden uitgebreid.

Mede door onvoldoende steun kon het voorkomen dat de gemeente bij het incidentenmanagement het verkeerde particuliere onderzoeksbureau inschakelde. Op advies van de externe beheerder Switch IT Solutions werd een bureau in de arm genomen dat tot dezelfde groep van ICT-bedrijven behoorde en geen onderzoeksbevoegdheid had. Resultaat was een rapportage vol gebreken, zo bleek later uit een onderzoek van Brenno de Winter.  

Overigens bereidt de gemeente zich voor op juridische acties. Jos Marinus, afdelingsmanager bij de gemeente, bevestigt dat. Daarom wil de gemeente niet nader ingaan op de vraag waarin Switch als beheerder precies tekort is geschoten. 

Scope

Eveneens onduidelijk blijft waartoe de betrokkenheid van het adviesbureau M&I/Partners bij de aanbesteding van het beheer heeft geleid. Projectleider Urs Keller werkte alternatieven uit voor de invulling van de ict-beheersdiensten. Hij bepaalde ook de scope voor de uitbesteding. Anders gezegd: wie (gemeente of dienstverlener) verantwoordelijk is voor welke dienstverlening. In nauw overleg met de afdeling I&A maakte Keller een programma van eisen en wensen. De gemeente wil niet reageren op vragen van Computable over het al dan niet aanpassen dan wel uitbreiden van de infrastructuur na de aanbesteding. Ook over het change management en het al dan niet samen bespreken van de aanpassingen doet de gemeente er het zwijgen toe. Onduidelijk is wie daarbij leidend was; Switch of de gemeente. Ook Switch heeft nog niet gereageerd op vragen.  

In de loop van het jaar zal ook duidelijk worden of deze affaire voor Sogeti als pentester alleen tot reputatieschade leidt of dat er meer gevolgen komen. In mei 2020 had Sogeti een pentest bij de gemeente had gedaan zonder dat het haar was opgevallen dat de ftp-server wagenwijd open stond. Sogeti had überhaupt geen ernstige risico's waargenomen. Een forensisch onderzoek van onderzoeksbureau NFIR legde een groot aantal manco's bij deze penetratietest bloot waar het laatste woord nog niet over is gezegd.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7162635). © Jaarbeurs IT Media.

6,7


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×

Ontvang gratis de nieuwste Computable 100

Doe mee aan het Computable 100 onderzoek!