Eind 2020 werden alle systemen van de gemeente Hof van Twente gehackt. Door de hack kwam ook de dienstverlening van de gemeente plat te liggen. Nu twee jaar later staan de gemeente en het IT-bedrijf dat de systemen beheerde voor de rechter. De gemeente stelt dat het IT-bedrijf contractuele afspraken niet is nagekomen en er sprake is van wanprestatie. De vraag is of de rechter daarin meegaat, aangezien de hackers konden binnenkomen door een eenvoudig te raden wachtwoord ingesteld door de gemeente zelf…
Ransomware-aanval legt gemeente plat
Op 1 december 2020 krijgt de systeembeheerder van de gemeente Hof van Twente de volgende boodschap: "Hello, need data back? Contact us fast." De hackers eisen 750.000 euro in ruil voor het vrijgeven van de systemen.
De gemeente weigert echter losgeld te betalen aan criminelen. Data op back-ups en virtuele servers blijkt vernietigd en de gemeente wordt gedwongen om een nieuwe infrastructuur op te bouwen. De schade is enorm. Door de hack ligt de dienstverlening van de gemeente plat, kunnen medewerkers niet bij hun gegevens en komt privacygevoelige informatie over inwoners op straat te liggen.
Nu twee jaar na de aanval is de gemeente nog altijd bezig met het heropbouwen van de systemen.
Geschatte schade?
4,2 miljoen euro. Dit bedrag wil de gemeente verhalen op het IT-bedrijf dat de systemen beheerde, op grond van wanprestatie.
Waar ging het mis?
Uit onafhankelijk onderzoek is gebleken dat hackers al een jaar voor de geslaagde hack tienduizenden inlogpogingen per dag deden op de servers van de gemeente Hof van Twente. Ook werd er een maand ervoor malware geplaatst. Het IT-bedrijf greep volgens de gemeente echter niet in en stelde de gemeente ook niet op de hoogte.
Het IT-bedrijf verwijst in reactie hierop naar datzelfde onderzoek, want daaruit blijkt ook dat de systeembeheerder van de gemeente het wachtwoord van de servers zelf heeft gewijzigd naar ‘Welkom2020’. Daarnaast wijzigde de systeembeheerder zonder overleg een regel in de firewall, waardoor de poort naar buiten wagenwijd open kwam te staan en iedereen via internet verbinding kon zoeken met de FTP-server van de gemeente.
Dit heeft er volgens het IT-bedrijf toe geleid dat de hackers zeer eenvoudig binnen zijn gedrongen in de systemen van de gemeente. Het IT-bedrijf stelt tevens dat beide handelingen niet bij haar gemeld zijn en dat de gemeente zelf verantwoordelijk is voor beheerdersrechten en de veiligheid van systemen.
Saillant detail: in het voorjaar van 2020 liet de gemeente een pentest uitvoeren door een andere IT-partij, die constateerde dat er geen grote beveiligingsissues waren….
Wat zegt de rechter?
Eind november stonden beide partijen in de rechtbank. De gemeente Hof van Twente eist schadevergoeding op grond van wanprestatie. De IT-beheerder meent echter dat de schuld van de hack en de gevolgen daarvan bij de gemeente zelf liggen.
De rechter zet tijdens de zitting vraagtekens bij het wachtwoordbeleid van de gemeente en geeft beide partijen vier weken de tijd om tot een schikking te komen. Lukt dat niet? Dan wordt de zitting op 27 december 2022 voortgezet. Wordt vervolgd dus!
Zeker weten dat u niks mist?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.