Vorig jaar was het volop in het nieuws: de gemeente Hof van Twente eiste €4,2 miljoen van haar IT-leverancier voor geleden schade na een grootschalige hack. De rechter stuurde aan op een schikking, maar dat mislukte. Nu is er dan eindelijk de uitspraak in deze zaak. Wat blijkt? De IT-beheerder gaat vrijuit en bij de gemeente is er nog meer misgegaan dan we al dachten….
Hoe een ransomware aanval tot een eis van €4,2 miljoen leidde
In 2020 wordt de gemeente Hof van Twente getroffen door een ransomware aanval. De gemeente weigert het losgeld te betalen, waarna data op back-ups en virtuele servers vernietigd wordt door de hackers. Geschatte schade is €4,2 miljoen en die wil de gemeente verhalen op haar IT-leverancier.
Op welke grond?
Volgens de gemeente is er sprake van een toerekenbare tekortkoming in de nakoming van de overeenkomst, schending van de zorgplicht dan wel een onrechtmatige daad.
Uit onafhankelijk onderzoek blijkt namelijk dat hackers al een jaar voor de geslaagde hack tienduizenden inlogpogingen per dag deden op de servers van de gemeente. Ook werd er een maand ervoor malware geplaatst. Het IT-bedrijf greep volgens de gemeente niet in en stelde de gemeente ook niet op de hoogte.
De IT-leverancier ziet dat heel anders.
De gemeente wijzigde namelijk zelf het wachtwoord van de servers naar het eenvoudig te raden ‘Welkom2020’. Daarnaast wijzigde de systeembeheerder van de gemeente zonder overleg een regel in de firewall. Hierdoor kwam de poort naar buiten wagenwijd open te staan en kon iedereen via internet verbinding zoeken met de FTP-server van de gemeente.
Mislukte schikking leidt tot nieuwe zitting met saillante details
Na de eerste zitting eind vorig jaar stuurde de rechter beide partijen naar de onderhandelingstafel om te schikken. De rechter zette namelijk vraagtekens bij het wachtwoordbeleid van de gemeente en vroeg de partijen om er samen uit te komen. Er wordt geen schikking bereikt, waarop er een nieuwe zitting plaatsvindt.
Tijdens deze zitting zijn nog meer details naar buiten gekomen over de omstandigheden rondom de ransomware aanval. Aangezien de gemeente haar IT-leverancier beticht van schending van de zorgplicht, is er nader gekeken naar de overeenkomst, offertes en communicatie tussen beide partijen.
Security monitoring viel buiten de scope
De gemeente verwijt de IT-beheerder geen melding te hebben gemaakt van de vele inlogpogingen en geen actie te hebben ondernomen na het plaatsen van malware in de periode voorafgaand aan de hack. Uit de aanbestedingsstukken blijkt echter dat de IT-beheerder niet verantwoordelijk kan worden gesteld voor security monitoring, oftewel het monitoren op beveiligingsincidenten. Contractueel is het IT-bedrijf alleen verantwoordelijk voor het goed functioneren van de servers, de opslag en de netwerkvoorzieningen.
Van de IT-beheerder mocht dus niet worden verlangd dat deze specifiek op veiligheidsrisico’s zou monitoren, zoals bijvoorbeeld door het instellen van een ‘alarm’ bij een bepaald aantal ongeautoriseerde inlogpogingen. Alleen als deze ongeautoriseerde inlogpogingen van invloed waren op de beschikbaarheid, capaciteit of performance mocht actie worden verwacht. De gemeente heeft niet bewezen dat deze inlogpogingen de beschikbaarheid, capaciteit of performance daadwerkelijk hebben beïnvloed.
Offertes anti-virus software en back-up hardening afgewezen
In de periode voorafgaand aan de hack heeft de IT-leverancier een voorstel gedaan tot vervanging van de anti-virus software, met name ter bescherming tegen gijzelsoftware. Deze offerte is afgewezen.
Daarnaast heeft de IT-beheerder in het voorjaar van 2020 nog een offerte uitgebracht, waarin wordt voorgesteld om de back-upserver en NAS te isoleren en de back-upserver buiten de Active Directory te plaatsen.
Daarbij wordt als reden opgegeven: “het ontvreemden van domein beheeraccount gegevens is één van de meest voorkomende “hack” methodes en stelt de hacker in staat de back-up server met daaraan gekoppelde opslag apparaten te benaderen en daarna te gijzelen.” Tot slot biedt de IT-beheerder ook nog de mogelijkheid tot offsite-backup.
Het voorstel tot back-up hardening wordt afgewezen door de gemeente.
Overigens komt in de zaak ook naar voren dat niet alleen de IT-leverancier, maar ook de accountant van de gemeente vóór de cyberaanval diverse keren heeft gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en cyberaanvallen.
Uitspraak rechter: IT-leverancier heeft de zorgplicht niet geschonden
De rechter maakt tijdens de uitspraak de optelsom als volgt:
de gemeente is zelf verantwoordelijk voor het wachtwoordbeleid;
de gemeente heeft zelf de firewall aangepast en zo de poort naar buiten opengezet;
de IT-leverancier was niet verantwoordelijk voor security monitoring;
de IT-leverancier heeft voorgesteld de beveiliging en back-up te verbeteren en hier heeft de gemeente niets mee gedaan.
Aangaande het laatste punt meldt de rechter zelfs: “in zoverre heeft de gemeente de invulling van de zorgplicht door de IT-beheerder in feite verhinderd.”
De vorderingen van de gemeente worden door de rechtbank afgewezen en de gemeente wordt veroordeeld om de proceskosten te betalen.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.