Hof van Twente in beroep tegen uitspraak over schade ransomware-aanval
De gemeente Hof van Twente tekent beroep aan tegen de uitspraak dat het de schade van een grote ransomware-aanval die eind 2020 plaatsvond niet op de it-leverancier kan verhalen. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.
Hof van Twente gaat dan ook in beroep, zo meldt RTV Oost. Een woordvoerder van de gemeente wil geen verdere details geven, omdat de zaak onder de rechter is. Wanneer het hoger beroep dient is onbekend.
Jammer dan, moet je maar niet aan de systemen komen.
TheYOSH
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .
Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .
Heel mensen spelen in loterijen met een veel kleinere winstkans.
Jammer dan, moet je maar niet aan de systemen komen.
TheYOSH
Sinds dat Hilversumse bedrijf (O'Cliance) ligt het niet altijd ZO zwart wit en is de zorgplicht voor leveranciers verder opgerekt dan velen verwacht hadden.
Ik verwacht het niet meteen hier (waarschijnlijk wordt van de gemeente meer eigen deskundigheid verwacht dan van een administratiekantoor) , maar die zaak in Hilversum leek ook zo simpel als jij het stelt , en daar viel de beslissing in het voordeel van de klant .
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .
Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .
Heel mensen spelen in loterijen met een veel kleinere winstkans.
In een loterij is het echt een winstkans... Hier is het meer een (kleine) kans op geen verlies...
De gemeente heeft er bewust voor gekozen een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding. Bij de aanvang van de overeenkomst heeft [bedrijf 1] gewezen op de risico’s hiervan. Ook in het voorstel voor back-up hardening wordt nu juist gewaarschuwd voor een hack zoals die bij de gemeente daadwerkelijk heeft plaatsgevonden. De accountant van de gemeente heeft vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en cyberaanvallen. Desalniettemin heeft de gemeente volhardt in haar keuzes.
[bedrijf 1] heeft (vanuit haar adviesrol) voorstellen op het gebied van back-up hardening (met de optie van een back-up bij [bedrijf 1], die niet benaderbaar zou zijn via de internetverbinding van de gemeente) en anti-virus maatregelen gedaan, maar daar is de gemeente niet op ingegaan, kennelijk uit kostenoverwegingen. In zoverre heeft de gemeente de invulling van de zorgplicht door [bedrijf 1] in feite verhinderd.
De cyberaanval is (mede) mogelijk gemaakt door twee onzorgvuldigheden aan de zijde van de gemeente: i) een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet, en ii) een medewerker van de gemeente heeft een zwak nieuw wachtwoord ingesteld. Beiden hebben daarvan geen melding gemaakt bij [bedrijf 1]. Het zwakke wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente.
Gelet op het vorenstaande is de rechtbank van oordeel dat, voor zover er buiten de op basis van de Europese aanbesteding gesloten overeenkomst nog een aparte zorgplicht via artikel 6:162 BW kan gelden, [bedrijf 1] die zorgplicht niet geschonden heeft.
Ik ken natuurlijk niet alle details maar ik zie hier weinig ruimte dat de gemeente alsnog gelijk krijgt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
