Je gebruikt een verouderde webbrowser. Het kan mogelijk deze of andere websites niet correct weergeven. Het is raadzaam om je webbrowser te upgraden of een browser zoals Microsoft Edge of Google Chrome te gebruiken.
De gemeente Hof van Twente werd begin december verleden jaar gehackt
Hackers over rode loper naar binnen bij Hof van Twente: wachtwoord was Welkom2020
GOOR - Het is een ambtenaar van Hof van Twente geweest die haast letterlijk de hackers welkom heeft geheten, die de gemeente begin december platlegden. De ambtenaar veranderde een wachtwoord dat tot dan toe miljoenen aanvallen buiten de deur had gehouden.
Hof van Twente heeft dinsdagmiddag openheid van zaken gegeven over de hack die de gemeente volgens burgemeester Ellen Nauta verraste als een donderslag bij heldere hemel en voelde als een nachtmerrie.
Switch IT Solutions bijt van zich af: Hof van Twente heeft hack aan zichzelf te wijten
Switch IT Solutions wijst alle verantwoordelijkheid voor de gevolgen van de cyberaanval op de gemeente Hof van Twente af.
Volgens een verklaring van de ICT-dienstverlener moet de gemeente vooral de hand in eigen boezem steken.
De gemeente Hof van Twente wil de schade van de ransomware-aanval waar het eind 2020 door
werd getroffen verhalen op de it-leverancier die de systemen beheerde.
Het gaat om een bedrag van vier miljoen euro.
Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden
uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds
oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand
op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord
van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd.
De tweefactorauthenticatie was voor dit account uitgeschakeld.
Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente,
die niet door de it-leverancier werden opgemerkt.
Volgens de gemeente heeft het bedrijf een wanprestatie geleverd, zo meldt RTV Oost.
De advocaat van de it-leverancier stelde vandaag tegenover de rechter, dat de aanvallers door het
handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de
systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier.
"De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de
systemen", aldus de advocaat van de it-leverancier.
Security.NL meldde vorige maand dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid.
"Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter.
De gemeente stelde dat de it-leverancier had moeten waarschuwen voor de wachtwoordwijziging.
"Helemaal bij zo'n belangrijk account." De rechter heeft beide partijen gevraagd om tot een schikking te
komen. Komt die er niet, dan behandelt de rechter de zaak op 27 december verder.
De gemeente Hof van Twente kan de schade van de ransomware-aanval waar het eind 2020 door
werd getroffen niet op de it-leverancier verhalen, zo heeft de rechtbank Overijssel geoordeeld.
De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het
wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds
oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op
afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het
wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd.
De tweefactorauthenticatie was voor dit account uitgeschakeld.
Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de
gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het
bedrijf een wanprestatie geleverd en de zorgplicht als ict-leverancier geschonden.
De advocaat van de it-leverancier stelde tijdens de behandeling vorig jaar tegenover de rechter
dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het
wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen
ook niet hebben gemeld bij de leverancier.
De rechtbank is het daarmee eens. "De rechtbank is van oordeel, dat [bedrijf 1], gelet op haar
contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en
bewakers, maar dat de gemeente een door haar beheerde achterdeur, die toegang gaf tot het
kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een
makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor
de bewakers niet ingrepen."
Contract
Het voornaamste verwijt dat de gemeente de it-leverancier maakte is, dat zij ondanks de
tools die zij had signalen, die wezen op een cyberaanval (zoals de reset van een wachtwoord,
de aanpassing van de firewall en de ongeautoriseerde inlogpogingen) en die zij ook in geval
van functionele monitoring zou moeten hebben gezien, heeft gemist.
Daarbij stelt de gemeente, dat de contractuele verplichtingen van de it-leverancier er juist op
waren gericht om signalen van risicovolle situaties te detecteren, zodat er tijdig zou kunnen
worden ingegrepen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle
situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren.
"Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de
servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een
brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed
hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het
geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
Verder stelt de gemeente, dat het openzetten van een RDP-poort een afwijking is, omdat
het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke
invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid
van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen
functionele monitoring een melding zou moeten zijn gegenereerd.
Wachtwoordbeleid
Security.NL meldde vorig jaar oktober dat de gemeente Hof van Twente al voor de
ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn
twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is,
wat zou hij dan denken?", zei de rechter tijdens de behandeling vorig jaar.
Ook in het vonnis wordt naar het wachtwoordbeleid gewezen.
"Het opstellen van het wachtwoordbeleid was de verantwoordelijkheid van de gemeente.
De gemeente heeft niet onderbouwd op grond waarvan het afdwingen ervan en het
monitoren van wijzigingen van ingestelde wachtwoorden, zeker waar het betreft een
door de gemeente beheerd account, de verantwoordelijkheid was van [bedrijf 1].
Daar komt bij, dat het gekozen wachtwoord ‘Welkom2020’ aan het wachtwoordbeleid van
de gemeente voldeed, zodat een toets aan dat beleid niet tot een melding zou hebben geleid."
De rechter komt tot de conclusie, dat de it-leverancier de zorgplicht niet heeft geschonden.
De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort
voor iedereen op internet toegankelijk was en het instellen van een zwak wachtwoord.
Dit werd niet bij de it-leverancier gemeld. "Juist vanwege het behoud van beheerrechten door
de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan
instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente",
voegt de rechter toe.
Hof van Twente in beroep tegen uitspraak over schade ransomware-aanval
woensdag 2 augustus 2023, 14:45 door Redactie, 2 reacties
De gemeente Hof van Twente tekent beroep aan tegen de uitspraak dat het de schade van een grote
ransomware-aanval die eind 2020 plaatsvond niet op de it-leverancier kan verhalen. De schade door
de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020"
binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober
2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de
server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een
beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor
dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te
detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren.
"Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de
opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen
bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en
beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar
niet onderbouwd."
Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan
anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de
poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen
en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was
mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet
toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld.
De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.
Hof van Twente gaat dan ook in beroep, zo meldt RTV Oost. Een woordvoerder van de gemeente wil geen
verdere details geven, omdat de zaak onder de rechter is. Wanneer het hoger beroep dient is onbekend.
De rechtbank is het daarmee eens. "De rechtbank is van oordeel, dat [bedrijf 1], gelet op haar
contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en
bewakers, maar dat de gemeente een door haar beheerde achterdeur, die toegang gaf tot het
kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een
makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor
de bewakers niet ingrepen."
Het is heel simpel, als je als beheerder het zo open zet dan ben jij zelf verantwoordelijk en niet de IT partij, helemaal niet omdat intrusie detectie helemaal niet in de afgesproken diensten zat. zie:
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te
detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren.
"Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de
opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen
bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en
beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar
niet onderbouwd."
Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan
anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de
poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen
en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
Dat is het leuke, rdp zelf heeft 0,01 procent invloed op de prestaties van een server. Pas als je bent ingelogged en zware opdrachten geeft gaat de performance van de server achteruit, maar dat is niet anders als wanneer jopie van boekhouding een zware opdracht geeft in zijn boekhoud pakket of wanneer op de achtergrond een backup gaat lopen.
De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was
mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet
toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld.
De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.
Deze site maakt gebruik van cookies om de inhoud te personaliseren, jouw ervaring aan te passen en om je ingelogd te houden als jij je registreert.
Door deze site te blijven gebruiken, stem je in met ons gebruik van cookies.
