image

Hof van Twente wil schade ransomware-aanval verhalen op it-leverancier

dinsdag 29 november 2022, 21:58 door Redactie, 32 reacties

De gemeente Hof van Twente wil de schade van de ransomware-aanval waar het eind 2020 door werd getroffen verhalen op de it-leverancier die de systemen beheerde. Het gaat om een bedrag van vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.

Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen. Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd, zo meldt RTV Oost.

De advocaat van de it-leverancier stelde vandaag tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier. "De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen", aldus de advocaat van de it-leverancier.

Security.NL meldde vorige maand dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter. De gemeente stelde dat de it-leverancier had moeten waarschuwen voor de wachtwoordwijziging. "Helemaal bij zo'n belangrijk account." De rechter heeft beide partijen gevraagd om tot een schikking te komen. Komt die er niet, dan behandelt de rechter de zaak op 27 december verder.

Reacties (32)
29-11-2022, 22:27 door Anoniem
Een medewerker van de gemeente heeft dat wachtwoord er op gezet. Tja als he dat account ook voor een internet facing ftp server gebruikt. Niet zo slim.
30-11-2022, 00:30 door Anoniem
Dus JOUW medewerker veranderd een wachtwoord van een systeem naar Welkom2020. Vervolgens klaagt de gemeente (die verantwoordelijk is voor de medewerker) de it-leverancier aan voor 4 miljoen. Dit moet niet gekker worden.
30-11-2022, 02:03 door Anoniem
Het is te hopen dat er een mooi contract is waar iets staat over veiligheid en er change notities gemaakt zijn....

Als de gemeente zelf de firewall aan kan passen en het wachtwoordbeleid heeft opgesteld dan staat men niet sterk. Het zou mij niet verbazen dat de dienstverlener het geen goed idee vond en de gemeente het er door drukte want "nodig".

De inlogpogingen niet opmerken is slordig maar als MFA normaal verplicht was .... Die had de gemeente ook uitgeschakeld.
30-11-2022, 07:00 door Anoniem
Flauwekul. Inlog/pogingen/ zeggen niets. Die zie je altijd. Als je geen imbeciel wachtwoord gebruikt en 2FA aan hebt staan, is er niets aan de hand. De gemeente is op zijn bek gegaan door eigen stommiteit.
30-11-2022, 08:02 door Anoniem
Een cascade aan fouten die elkaar versterken:
1 - door een aanpassing van de gemeentelijk firewall stond sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe open.
2 - Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd.
3 - De tweefactorauthenticatie was voor dit account uitgeschakeld.
4 - Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt.

Nu weet ik niet hoe de werkzaamheden en verantwoordelijkheden verdeeld waren tussen de gemeente en de leverancier, maar:

Voor de aanpassingen van 1 en 3 zou je mogen verwachten dat de IT leverancier een advies moet geven, met in duidelijke bewoordingen wat er kan gebeuren, en een verantwoordelijk manager van de gemeente moeten laten tekenen voordat je dat doorvoert (tegen het advies in).
Als dat niet gedaan is, dan krijg je de huidige situatie: vingerwijzen naar elkaar.

Vwb 2: dat is duidelijk de schuld van de gemeentemedewerker.
Vwb 4: daar is de leverancier weer laakbaar in.


Mijn (niet-jurist) conclusie:
Als 1 en 3 op papier niet goed afgehandeld zijn, dan dragen beide partijen (evenveel) schuld.
Laat ze elk de helft maar betalen.
30-11-2022, 08:47 door Anoniem
Ja, had er dan minstens Welkom1920 van gemaakt!
Even zonder gekheid, ik heb net de analyse gelezen, ik denk dat ze ook het pentest bedrijf hier op moeten aanspreken, dat het tijdens een pentest niet boven water komt dat de RDP en FTP publiekelijk open staan met een makkelijk wachtwoord is natuurlijk ook van de zotte.
Ik wil niet de schuld bij de gemeente weghalen, iedere beheerder moet weten dat dergelijke wachtwoorden niet kunnen en zeker niet op het openbare internet! Maar als je als gemeente van al je experts hoort dat er niets aan de hand is, dan is het wel lastig om daar tegenin te gaan.
30-11-2022, 09:03 door _R0N_
Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.

Die medewerker zou geen beheersrechten moeten hebben.

De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen

Waar heb je dan een IT-leverancier voor?

Ik denk dat beide schuld hebben in deze. Waarom werden complexe wachtwoorden niet afgedwongen?
Waarom heeft iemand die zo weinig snapt van security (zie gebruikte wachtwoord) zoveel rechten?
Waarom staat RDP open voor het internet?
30-11-2022, 09:59 door Anoniem
Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.
Misschien zou het eerlijker zijn Hof van Twente om een deel van de schade op uw zelf te nemen.
Is maar een suggestie hoor!
30-11-2022, 10:48 door Anoniem
Hoe kan je MFA voor AD beheer accounts activeren? Ik ken het wel voor 365 producten e.d. maar een domain admin met MFA op servers hoe fix je dat? En wordt daar veel gebruikt?
30-11-2022, 10:50 door Anoniem
Die medewerker zou geen beheersrechten moeten hebben.
Helemaal mee eens! Bij ons op het werk hadden wij als medewerkers ook geen beheerdersrechten.
Waarom bij Hof van Twente dan wel?
30-11-2022, 11:06 door Anoniem
Uiteraard weet niemand hoe de contracten er uit zien, maar dit komt over als een wanhopige poging van "nee heb je, ja kan je krijgen bij een rechter die zich laat ringeloren". Treurig. Ik ben wel benieuwd welke case de gemeente denkt te maken wanneer gevraagd wordt naar DPIA/externe audits/procedures/beveiligingsbeleid/aanbestedingsdocumenten vanuit de gemeente. Daar zitten m.i. toch wel een paar kleine hiaten als een medewerker een beheerdersaccount een dergelijk wachtwoord kan geven én 2FA niet ingeschakeld hebben :D
30-11-2022, 11:09 door Anoniem
Door Anoniem: Ja, had er dan minstens Welkom1920 van gemaakt!
Even zonder gekheid, ik heb net de analyse gelezen, ik denk dat ze ook het pentest bedrijf hier op moeten aanspreken, dat het tijdens een pentest niet boven water komt dat de RDP en FTP publiekelijk open staan met een makkelijk wachtwoord is natuurlijk ook van de zotte.
Ik wil niet de schuld bij de gemeente weghalen, iedere beheerder moet weten dat dergelijke wachtwoorden niet kunnen en zeker niet op het openbare internet! Maar als je als gemeente van al je experts hoort dat er niets aan de hand is, dan is het wel lastig om daar tegenin te gaan.

Een pentest is altijd wat de naam suggereert, een test van de bestaande situatie. Je mag er nooit vanuit gaan dat die uitputtend is. Een pentest kan je hooguit vertellen dat je een probleem hebt, maar niet dat je goed zit. Dat is een heel ander soort project.
30-11-2022, 11:12 door Anoniem
De schuld is lastig te bepalen zonder te weten wat er is afgesproken in het SLA tussen de gemeente en de IT-leverancier. Maar als IT-leverancier begrijp ik niet goed waarom je toestaat dat de gemeente zelf zoveel aan kan passen, je koppelt namelijk wel je naam aan het bedrijf en ziet hier nogmaals dat als het fout gaat je hoe dan ook de schuld krijgt en imago schade oploopt.

Maarja nogmaals de schuld is lastig te bepalen zonder te weten wat beide partijen hebben afgesproken in het SLA.
30-11-2022, 11:44 door Anoniem
Door Anoniem: Hoe kan je MFA voor AD beheer accounts activeren? Ik ken het wel voor 365 producten e.d. maar een domain admin met MFA op servers hoe fix je dat? En wordt daar veel gebruikt?
Je hebt de dienst genaamd DUO Security die je op servers kunt instellen, wanneer je dan inlogt op de server krijg je een prompt van DUO Security waar je via een push melding via app, sms of telefonisch kan verifiëren. Hier wordt steeds vaker gebruik van gemaakt.
30-11-2022, 11:45 door Anoniem
Door Anoniem:
Die medewerker zou geen beheersrechten moeten hebben.
Helemaal mee eens! Bij ons op het werk hadden wij als medewerkers ook geen beheerdersrechten.
Waarom bij Hof van Twente dan wel?

Ook de applicatiebeheerder of interne systeembeheerder is "medewerker van de gemeente" .

Hier zal de context puur zijn of het "iemand van de gemeente" dan wel "iemand van de leverancier was" die dit deed vwbt de schuld en schade vraag.

Je kunt wel vinden dat iedereen die een beheerdersrol heeft beter zou moeten weten in het kiezen van een password dan Welkom2020
30-11-2022, 11:46 door Anoniem
Ik geloof niet dat die 4 miljoen echt alleen met het incident te maken hebben. Ik vermoed dat de gemeente gelijk achterstallig onderhoud heeft laten uitvoeren. Met andere woorden: Wat zijn directe incident gerelateerde kosten en wat is uitgegeven aan achterstallig onderhoud? En als we van wat er dan overblijft ieder de helft laten aftikken, dan heb je het denk ik netjes gedaan.

Daarnaast ben ik benieuwd naar de afspraken die gemaakt zijn rondom gedeeld beheer. Persoonlijk vind ik het heel onverstandig, er kan en mag er maar 1 de baas zijn (lees: beheerrechten hebben). Je gaat anders ten onder aan afstemming en afstemming en nog eens afstemming. Zeer onwenselijk. Dit is beide partijen te verwijten. De leverancier had het nooit mogen accepteren en de klant had het nooit mogen vragen.
30-11-2022, 11:56 door Anoniem
Door Anoniem: Uiteraard weet niemand hoe de contracten er uit zien, maar dit komt over als een wanhopige poging van "nee heb je, ja kan je krijgen bij een rechter die zich laat ringeloren". Treurig. Ik ben wel benieuwd welke case de gemeente denkt te maken wanneer gevraagd wordt naar DPIA/externe audits/procedures/beveiligingsbeleid/aanbestedingsdocumenten vanuit de gemeente. Daar zitten m.i. toch wel een paar kleine hiaten als een medewerker een beheerdersaccount een dergelijk wachtwoord kan geven én 2FA niet ingeschakeld hebben :D

Idd. Maar toch kan recht wel eens verrassend uitvallen . Dat bedrijf dat weinig beveiliging had kon toch een deel van de ransomware schade verhalen op z'n leverancier omdat die niet GENOEG gewaarschuwd had .

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124

Als verschil denk ik wel dat een gemeente geacht zal worden ook zelf professioneel genoeg te zijn , welk aspect meewoog in het vonnis bij O Cliance.
30-11-2022, 12:34 door Anoniem
Voordat er met vingerwijzen gestart wordt, we weten niet wat de contracten en de hoedanigheid van de overeenkomst is.
Wanneer ik als IT-dienstverlener een firewall naar binnen duw bij een klant, dan zet ik op papier dat ik verwacht dat er iemand met verstand van zaken mee gaat werken. Tis voor de hand liggend, maar gezien mijn ervaringen en rechtzaken waar ik geen gelijk gekregen heb (omdat rechters er per definitie van uit gaan (zeker de digibeten en dat zijn rechters allemaal) dat een dienstverlener overal verantwoordelijk voor is.

Dus wanneer je het niet uit sluit, ben je de sjaak.
Dat gaat zelfs zover dat als je een firewall dienst levert, waarbij de klant zelf aanpassingen moet kunnen blijven doen, jij nog steeds verantwoordelijk bent als zij zelf iets doms doen, zoals permit any-any-always-all.
Je moet dan als dienstverlener alle stupiditeiten voorkomen wat een ondoenlijk werk is bij gemeenten.
Ik lever daarom ook niet meer aan gemeenten, omdat daar echt de meest achterlijke 'beheerders' werkzaam zijn die echt nergens verstand van hebben maar wel een certificaatje gehaald hebben bij een clubje.
Gemeente blij want zij hebben iemand met een papiertje die voor een appel en een ei wat wil komen verkloten...
Totdat ze firewalls open gaan zetten, wachtwoordregels aanpassen zodat het 'fijner' werkt enz enz...

Dus bij het uitrollen van een simpele (ha) pizzadoos firewall, komt er meteen een abbo bij voor tenable enz. gewoon omdat ze kunnen klagen. wordt IT security wel nodeloos duur van, maar ik heb geen zin in schadeclaims van 4 (of hoger) miljoen euro omdat een ito en een kneus met scharen gaan rennen in een kerncentrale.
30-11-2022, 12:56 door Anoniem
Kijk, zo werkt de overheid van Nederland. Zelf op je m**l gaan en de ellende vervolgens bij een ander droppen. Niks nieuws onder de zon.
30-11-2022, 14:59 door Anoniem
Door Anoniem:
Door Anoniem: Hoe kan je MFA voor AD beheer accounts activeren? Ik ken het wel voor 365 producten e.d. maar een domain admin met MFA op servers hoe fix je dat? En wordt daar veel gebruikt?
Je hebt de dienst genaamd DUO Security die je op servers kunt instellen, wanneer je dan inlogt op de server krijg je een prompt van DUO Security waar je via een push melding via app, sms of telefonisch kan verifiëren. Hier wordt steeds vaker gebruik van gemaakt.

Of nog netter, deze wachtwoorden in een PAM-tool beheren, daar kan je dan sowieso een MFA over heen gooien. Voor zulke accounts zou je dan ook nog session recording aan kunnen zetten.
30-11-2022, 15:12 door Anoniem
ik heb net de analyse gelezen, ik denk dat ze ook het pentest bedrijf hier op moeten aanspreken, dat het tijdens een pentest niet boven water komt dat de RDP en FTP publiekelijk open staan met een makkelijk wachtwoord is natuurlijk ook van de zotte.

Als het niet bij een blackbox pentest naar voren is gekomen, dan is het ip adres dat voor die server gebruikt is uitgesloten geweest van de test. Dus niet opgegeven voor de test. Achteloosheid of willens en wetens.

Onnozel om de firewall open te zetten én het wachtwoord van een beheerder zo makkelijk te maken. Imho is het laakbaar. In nl recht is het bij mijn weten het causa proxima boven causa remota. De schade is veroorzaakt door het actief handelen van de gemeentemedewerker.
30-11-2022, 15:12 door Anoniem
Hoe kan het dat de 24/7 monitoring van Hof voor Twente dit niet tijdig had gedetecteerd? Ik neem aan dat ze die hadden, een vreemde aanlog (IP) op een admin account moet toch een alarmbel laten afgaan zou je zeggen.
30-11-2022, 15:32 door Anoniem
Door Anoniem: Hoe kan je MFA voor AD beheer accounts activeren? Ik ken het wel voor 365 producten e.d. maar een domain admin met MFA op servers hoe fix je dat? En wordt daar veel gebruikt?
Je zou eens kunnen kijken naar de techniek van silverfort
30-11-2022, 15:38 door Anoniem
Door Anoniem: Kijk, zo werkt de overheid van Nederland. Zelf op je m**l gaan en de ellende vervolgens bij een ander droppen. Niks nieuws onder de zon.

Het enige dat nieuw zou zijn is wanneer je gelijk had dat het *alleen* de overheid is die probeert shit bij een ander neer te leggen.

Dat proberen bedrijven ook , om maar te zwijgen van zeikende burgers die alle shit bij de overheid, de verhuurder , de werkgever, hun ISP of waar dan ook neer te leggen voor alles wat ze zelf fout gedaan hebben.
30-11-2022, 19:22 door walmare
De leverancier kan van alles afdwingen via policies, zoals complexe wachtwoorden, max aantal inlogpogingen etc. Als de klant beheerrechten opeist is de leverancier niet meer in control. Punt... Dat ben je trouwens nooit met Microsoft software maar Microsoft is nooit verantwoordelijk. Dat dwingen ze af vie de EULA. De dienstverlener kan dat natuurlijk ook afdwingen via een contract. Blijft staan dat het Hof beheerder is geworden en dus dan per definitie verantwoordelijk is.
Men kan dan alles om zeep helpen, hetgeen dus ook is gebeurd.
30-11-2022, 20:11 door Anoniem
Door Anoniem: Ja, had er dan minstens Welkom1920 van gemaakt!
Even zonder gekheid, ik heb net de analyse gelezen, ik denk dat ze ook het pentest bedrijf hier op moeten aanspreken, dat het tijdens een pentest niet boven water komt dat de RDP en FTP publiekelijk open staan met een makkelijk wachtwoord is natuurlijk ook van de zotte.

Ik heb nog nergens gezien wat de scope van de pentest is, de soort pentest en of het in de tijd gezien klopt/gezien had kunnen worden, kansloze opmerking dus.
01-12-2022, 14:05 door Anoniem
RDP? :-)
01-12-2022, 15:28 door Anoniem
Het zou mij bevreemden wanneer ze de volledige eis krijgen toegewezen. Zelfs al zou de leverancier volledig verantwoordelijk gehouden worden. Waarom? Omdat het de keuze van de gemeente was om geen losgeld te betalen. Daardoor zijn de kosten uiteindelijk opgelopen tot 4 miljoen euro. Was er losgeld betaald, was je met 10% klaar geweest. Doe er nog 10% bij voor het herstel en extra veilig maken van het systeem. Wanneer de leverancier van te voren had geweten dat de kosten op hen verhaald zouden worden, zouden ze ook in het oplossen wat te zeggen moeten hebben gehad. Onder andere de keuze wel of niet betalen.
01-12-2022, 16:05 door Anoniem
<q>Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond.</q>

Wie heeft de poort opengezet lijkt me de hamvraag
01-12-2022, 20:46 door Anoniem
Ah typisch ambtenaren : we doen maar wat en als het mis gaat geven we een ander de schuld ... want verantwoordelijk zijn dat willen we niet, dat schuiven we liever af want we verkwanselen heel veel geld van burgers.

Is de betreffende ambtenaar die een firewall aanpast en RDP / FTP open zet al ontslagen? Wat stond er trouwens op die FTP bak ? Movies ? Pr0N ? Hoeveel auteursrecht is er geschonden ?
02-12-2022, 13:05 door Anoniem
Door Anoniem: Ah typisch ambtenaren : we doen maar wat en als het mis gaat geven we een ander de schuld ... want verantwoordelijk zijn dat willen we niet, dat schuiven we liever af want we verkwanselen heel veel geld van burgers.

Is de betreffende ambtenaar die een firewall aanpast en RDP / FTP open zet al ontslagen? Wat stond er trouwens op die FTP bak ? Movies ? Pr0N ? Hoeveel auteursrecht is er geschonden ?
We gaan de uitvoerders niet de schuld geven he (hij zou zelfs in opdracht gehandeld kunnen hebben) Je bedoelt natuurlijk de manager die geëist heeft dat zijn ambtenaar beheerrechten moest krijgen?
01-01-2023, 20:44 door Anoniem
Ik denk dat de gemeente aan't kortste eind zal trekken. Veel hangt af van de details in de contracten. In het beste geval slepen ze een gedeelde schuld uit de brand. En wat nadien?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.