image

Hof van Twente kan schade ransomware-aanval niet op it-leverancier verhalen

vrijdag 12 mei 2023, 15:46 door Redactie, 30 reacties

De gemeente Hof van Twente kan de schade van de ransomware-aanval waar het eind 2020 door werd getroffen niet op de it-leverancier verhalen, zo heeft de rechtbank Overijssel geoordeeld. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.

Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd en de zorgplicht als ict-leverancier geschonden. De advocaat van de it-leverancier stelde tijdens de behandeling vorig jaar tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier.

De rechtbank is het daarmee eens. "De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."

Contract

Het voornaamste verwijt dat de gemeente de it-leverancier maakte is dat zij ondanks de tools die zij had signalen, die wezen op een cyberaanval (zoals de reset van een wachtwoord, de aanpassing van de firewall en de ongeautoriseerde inlogpogingen) en die zij ook in geval van functionele monitoring zou moeten hebben gezien, heeft gemist. Daarbij stelt de gemeente dat de contractuele verplichtingen van de it-leverancier er juist op waren gericht om signalen van risicovolle situaties te detecteren, zodat er tijdig zou kunnen worden ingegrepen.

Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."

Verder stelt de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.

Wachtwoordbeleid

Security.NL meldde vorig jaar oktober dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter tijdens de behandeling vorig jaar. Ook in het vonnis wordt naar het wachtwoordbeleid gewezen.

"Het opstellen van het wachtwoordbeleid was de verantwoordelijkheid van de gemeente. De gemeente heeft niet onderbouwd op grond waarvan het afdwingen ervan en het monitoren van wijzigingen van ingestelde wachtwoorden, zeker waar het betreft een door de gemeente beheerd account, de verantwoordelijkheid was van [bedrijf 1]. Daar komt bij dat het gekozen wachtwoord ‘Welkom2020’ aan het wachtwoordbeleid van de gemeente voldeed, zodat een toets aan dat beleid niet tot een melding zou hebben geleid."

De rechter komt tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. "Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente", voegt de rechter toe.

Image

Reacties (30)
12-05-2023, 16:41 door Anoniem
Naast het niet hebben van een goede wachtwoord policy en de fout in de FW configuratie, maak ik hieruit ook de de volgende fouten op:
Geen port/vulnarability scanner
Geen 2FA
Geen periodieke config verificatie
Geen bruteforce detectie of ratelimiting
Geen goede netwerk segmentatie
En wel gebruik van onveilige protocollen FTP/RDP
12-05-2023, 16:44 door Anoniem
De gemeente is prachtig voorbeeld geworden van hoe het niet moet. Eerst proberen om de leverancier de fout in de schoenen te schuiven via de media om tenslotte van de rechter te moeten vernemen dat de gemeente eigenlijk incompetent is op het gebied van IT-security onderwerpen. En passant slaat de gemeente adviezen van kennisdragers rond het thema security in de wind.
Ik hoop dat andere gemeenten hiervan leren en niet zo onvolwassen met de data van haar burgers zal omspringen. Aangezien er meer van dit soort gemeentelijke voorbeelden zijn ben ik in afwachting wanneer de volgende gemeente ten prooi zal vallen aan de eigen ijdelheid en het gebrek aan middelen dat men spendeert aan security vraagstukken.
12-05-2023, 16:49 door Anoniem
Wouw, een uitspraak die logisch klinkt.. dat was een tijdje geleden...
Want de gemeente Hof van Twente begon een beetje als een amerikaan te klinken die de hond in de magnetron stopte om hem te drogen...
Goed dat die amerikaanse bullshit niet verder ging.
12-05-2023, 17:10 door Anoniem
Een rechter met humor:

"Hof van Twente"

en

"De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."
12-05-2023, 21:02 door karma4
Door Anoniem: Wouw, een uitspraak die logisch klinkt.. dat was een tijdje geleden......
Goed dat die amerikaanse bullshit niet verder ging.
Eens en

Door Anoniem: Een rechter met humor:
Ook eens. En een die het doel en idee van beveiliging architectureel begrepen heeft.
Dat begrip ontbreekt op de vloer te vaak.
13-05-2023, 06:20 door Anoniem
"RDP-poort van een ftp-server" "Wachtwoord welkom2020"

Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.
13-05-2023, 10:05 door Anoniem
Door Anoniem: "RDP-poort van een ftp-server" "Wachtwoord welkom2020"

Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.

Nee, alarminstallatie installeren. En dan niet aanzetten als je weg gaat, maar wel de achterdeur van het slot laten. (of op een kier open late staan?)
13-05-2023, 19:44 door Andreplusplus
Het grootste probleem is in mijn ogen dat het contract ontoereikend was. Wel bepalingen over functioneren en capaciteit (health van de infra) maar blijkbaar geen enkele afspraak over security(maatregelen).
Of het contract was wel toereikend, maar de aanvullende security zaken zijn niet in beheer van de gemeente geïmplementeerd en op werking gecontroleerd. Geen of ontoereikende preventie, derectie/monitoring en opvolging.
Als leverancier zou je daar vanuit je vakmanschap op moeten wijzen. Wellicht was dat gebeurd, dat is niet helemaal uit dit vonnis te halen.
Maar laat het een les zijn voor zowel klant als leverancier - wees heel duidelijk over welke verantwoordelijk door wie wordt gedragen (klant, leverancier, gezamenlijk) en benoem daar informatiebeveiliging expliciet in.
Hopenlijk leren gemeenten en andere organisaties hiervan bij nieuwe aanbestedingen.
13-05-2023, 22:01 door Anoniem
Door Anoniem: "RDP-poort van een ftp-server" "Wachtwoord welkom2020"

Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.

Het is geen strafrecht - (en zelfs als het dat was) - het is geen misdrijf om incompetent te zijn.
En zolang er geen opzet in het spel is , is de werkgever degene die schade lijdt , en mag die niet verhalen op werknemers. (dat is civiel en arbeidsrecht)
Met voldoende dossieropbouw kan een werkgever uiteindelijk alleen die mensen ontslaan, en zelfs met dit nivo kan dat nog moeite kosten - dan moeten ze verbetertrajecten gehad (of geweigerd) hebben, of dit soort broddelwerk expliciteit tegen instructies in toch gedaan hebben, dat soort dingen.


In indirecte zin _zijn_ die beheerders veroordeeld : de schade wordt gelegd (/blijft liggen) bij de werkgever van deze beheerders - de gemeente, en wordt gesteld dat de schade direct te wijten is aan dit klungelwerk.

Hier ging het de rechtszaak over de vraag of de externe partij (ook) verantwoordelijk was om dit geklungel te voorkomen cq de gevolgen van dit geklungel - en de externe partij had geen contract waarin ze daar (ook) op moesten letten, dus blijft die verantwoordelijkheid liggen bij de werkgever van deze beheerders.
13-05-2023, 22:45 door Anoniem
Zo een uitspraak ligt dusdanig voor de hand dat het feitelijk misbruik van de rechtsgang is door de overheid. Je jaagt er toch bedrijven niet enkel mee op kosten maar ook op slapeloze nachten. Zo een gemeente heeft juristen die zelf hadden kunnen voorspellen dat zo een klacht tot aan de rechter brengen niet erg goed is voor de beeldvorming van de overheid zelf. Te meer omdat de overheid nooit failliet kan. Maar de ondernemer wel. Zo een Hof vsn Twente typisch voorbeeld van ambtenaren die ondernemertje spelen zonder ondernemersrisico. Schandalig dat de rechter hier aan te pas moest komen. Schandalig dat er in dat Twente blijkbaar geen boer wakker was om te zeggen dat je dit niet kunt maken.
14-05-2023, 09:29 door Briolet - Bijgewerkt: 14-05-2023, 09:29
"Wachtwoord welkom2020"

Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.
14-05-2023, 11:11 door Anoniem
Door Briolet:
"Wachtwoord welkom2020"

Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.
Nee joh, ze waren vergeten het jaar 2020 welkom te heten en hebben dat op 15 oktober goedgemaakt.

Mocht je je opmerking serieus bedoeld hebben: nee, zo gaat een rechter het echt niet beoordelen, die gaat een wachtwoord niet behandelen alsof die een boodschap bevat. Het gaat erom dat het wachtwoord zwak was, naast de andere fouten die gemaakt zijn.
14-05-2023, 14:26 door Anoniem
Door Briolet:
"Wachtwoord welkom2020"

Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.

Dat soort lulverhalen - een 'welkom' banner is geen vrijbrief om een te hacken, laat staan af te persen .
Nog minder een "geheim" password, hoe simpel ook.
De definitie in de wet computercriminaliteit is vrij simpel .

Ook een deurmat met "Welkom" geeft inbrekers of insluipers geen immuniteit .
14-05-2023, 14:29 door Anoniem
Door Anoniem:
Mocht je je opmerking serieus bedoeld hebben: nee, zo gaat een rechter het echt niet beoordelen, die gaat een wachtwoord niet behandelen alsof die een boodschap bevat. Het gaat erom dat het wachtwoord zwak was, naast de andere fouten die gemaakt zijn.

Voor de strafrechtelijke verantwoordelijkheid van de daders maakt het niet uit hoe simpel het wachtwoord was, evenmin als een inbreker korting krijgt wanneer er een gamma slot op de deur zat.

Voor civiele aansprakelijkheid van de organisaties maakt het wel (wat) uit - het wordt gezien als een verwijtbare fout, en de vraag was alleen welke organisatie (niet - welke werknemer persoonlijk) verantwoordelijk voor het maken cq niet opmerken van die fout.
14-05-2023, 22:32 door Anoniem
Door Anoniem: Wouw, een uitspraak die logisch klinkt.. dat was een tijdje geleden...

Meeste vind ik wel hoor.
14-05-2023, 22:36 door Anoniem
Door Anoniem: "RDP-poort van een ftp-server" "Wachtwoord welkom2020"

Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.

Lijkt er inderdaad op dat ze opzettelijk schade willen toebrengen. Volgens mij expres een wachtwoord gekozen uit een lijst die veel geprobeerd worden
14-05-2023, 22:39 door Anoniem
Sorry hoor maar als je IT leverancieer bent bij de gemeente, ongeacht je contract, dan moet toch wel 10k inlog pogingen iets op een dashboard verschijnen #wijdoenhetbeter! ;)
15-05-2023, 08:26 door Anoniem
Gelukkig hebben ze het wachtwoord nu aangepast... welkom 2023.
15-05-2023, 10:00 door Anoniem
Door Anoniem: Gelukkig hebben ze het wachtwoord nu aangepast... welkom 2023.

Toe maar: een spatie en een punt. Het wordt al een beetje sterker. :-)

Nog een decennia en ze zijn bij de tijd.
15-05-2023, 10:55 door Anoniem
Door Anoniem: Een rechter met humor:

"Hof van Twente"

en

"De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."

Heel mooi verwoord en prachtige metaforen.

- Maarten
15-05-2023, 11:04 door Anoniem
Door Anoniem: Gelukkig hebben ze het wachtwoord nu aangepast... welkom 2023.

Ze hebben nu een ijzersterk wachtwoord. Welkom2018.
Dat verwachten de hackers nooit,,
15-05-2023, 12:22 door RuudU
De hufterigheid om hierover verhaal te willen halen, kostbare capaciteit van een rechtbank verspillen. Dank zij dit soort idioten kunnen criminelen hun gang gaan. Niet alleen dat slappe wachtwoord, maar dat überhaupt een kennelijk niet ter zake kundig gekwalificeerde medewerker dit kon doen. Geef ze verdomme nog een boete!
15-05-2023, 12:30 door Anoniem
Door Anoniem: Gelukkig hebben ze het wachtwoord nu aangepast... welkom 2023.

Gelukkig, want Switch wil graag dat je geen omkijken meer hebt (naar 2020???) volgens hun website:

Een stabiele IT-omgeving is essentieel voor de continuïteit van uw bedrijfsprocessen. U moet er blindelings op kunnen vertrouwen, 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En u wilt er geen omkijken naar hebben. Switch zorgt voor een betrouwbare en veilige IT-omgeving, ook na de oplevering van een project. Beheer en support kunt u volledig aan ons overlaten. Zo kunt u zich helemaal concentreren op uw corebusiness.
15-05-2023, 14:28 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig hebben ze het wachtwoord nu aangepast... welkom 2023.

Gelukkig, want Switch wil graag dat je geen omkijken meer hebt (naar 2020???) volgens hun website:

Een stabiele IT-omgeving is essentieel voor de continuïteit van uw bedrijfsprocessen. U moet er blindelings op kunnen vertrouwen, 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En u wilt er geen omkijken naar hebben. Switch zorgt voor een betrouwbare en veilige IT-omgeving, ook na de oplevering van een project. Beheer en support kunt u volledig aan ons overlaten. Zo kunt u zich helemaal concentreren op uw corebusiness.
Je krijgt alleen maar, waarvoor je betaalt. Het is geen liefdadigheidsinstelling.
15-05-2023, 16:54 door Anoniem
Door Anoniem: Sorry hoor maar als je IT leverancieer bent bij de gemeente, ongeacht je contract, dan moet toch wel 10k inlog pogingen iets op een dashboard verschijnen #wijdoenhetbeter! ;)

Dat hangt ook van de klant af. Wat heeft die overgedragen, en hoeveel heeft met geïnvesteerd? Als je een oude gare omgeving erft of de klant wil niet investeren, dan wordt het heel lastig.
16-05-2023, 08:03 door Anoniem
Het feit dat een rechtbank heden ten dagen nog analogie nodig acht om kenbaar te maken wat er aan de hand is binnen een computer systeem, baart mij toch flinke zorgen ten aanzien van het kennisniveau van de betrokken juristen.
16-05-2023, 10:12 door Anoniem
Dit raakt aan problemen waar wij ook mee worstelen: een bedrijf (hier de gemeente) heeft besloten de ICT uit te besteden maar de oude beheerders willen een vinger in de pap houden en eisen beheerrechten op van alles en nog wat. Dan heb je dus twee kapiteins op een schip. Vervolgens verkloten ze iets (Hier: firewall rules aanpassen en zwakke wachtwoorden instellen) en als het fout gaat met het vingertje naar de ICT partij wijzen. Maar alle voorstellen voor security monitoring tools afwijzen wegens te duur. Wij laten partijen die er op staan om beheerrechten te houden altijd tekenen voor het feit dat wij bij gedeeld beheer geen verantwoording kunnen nemen voor het functioneren van de door gezamenlijke partijen beheerde systemen en/of netwerken. Zie dit artikel waarom.
16-05-2023, 11:09 door Anoniem
Door Anoniem: Het feit dat een rechtbank heden ten dagen nog analogie nodig acht om kenbaar te maken wat er aan de hand is binnen een computer systeem, baart mij toch flinke zorgen ten aanzien van het kennisniveau van de betrokken juristen.

Indeed.. Maar vergeet niet dat de mensen in dehoge ivoren toren en die een filmpje maken geen verstand hebben van dit soort zaken. Security is blijkbaar geen chef-sache terwijl het wel zo zou moeten zijn.
17-05-2023, 09:33 door Anoniem
Blijkbaar zijn die windowssysteembeheerders niet goed opgeleid en/of onderbetaald en plukken ze nu de wrange vruchten.
19-05-2023, 12:30 door Anoniem
"Wauw een uitspraak die logisch klinkt" is natuurlijk een beetje meelullen met de meute op basis van uitzonderingen. Als je daadwerkelijk alle gerechtelijke uitspraken gaat nalezen zal het overgrote deel gewoon logisch klinken en zijn. Net als deze uitspraak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.