image

Hof van Twente in beroep tegen uitspraak over schade ransomware-aanval

woensdag 2 augustus 2023, 14:45 door Redactie, 11 reacties

De gemeente Hof van Twente tekent beroep aan tegen de uitspraak dat het de schade van een grote ransomware-aanval die eind 2020 plaatsvond niet op de it-leverancier kan verhalen. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.

Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."

Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.

De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.

Hof van Twente gaat dan ook in beroep, zo meldt RTV Oost. Een woordvoerder van de gemeente wil geen verdere details geven, omdat de zaak onder de rechter is. Wanneer het hoger beroep dient is onbekend.

Reacties (11)
02-08-2023, 15:02 door Anoniem
Ambtenaren en ICT. Dit gaat de gemeente verliezen. Er stonden geen afspraken over security in het contract. En als je zelf tegen best practice in gaat werken en dat ook niet meld bij de leverancier, dan ga je gewoon nat. Zeker met zwakke wachtwoorden.

Jammer dan, moet je maar niet aan de systemen komen.

TheYOSH
02-08-2023, 15:03 door Anoniem
Kunnen ze dit geld niet beter besteden aan nuttige zaken ? Of wil je persé je gelijk krijgen als een stampvoetend kleutertje.

Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
02-08-2023, 17:11 door Anoniem
Door Anoniem: Kunnen ze dit geld niet beter besteden aan nuttige zaken ? Of wil je persé je gelijk krijgen als een stampvoetend kleutertje.

Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.

Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .

Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .

Heel mensen spelen in loterijen met een veel kleinere winstkans.
02-08-2023, 17:16 door Anoniem
Door Anoniem: Ambtenaren en ICT. Dit gaat de gemeente verliezen. Er stonden geen afspraken over security in het contract. En als je zelf tegen best practice in gaat werken en dat ook niet meld bij de leverancier, dan ga je gewoon nat. Zeker met zwakke wachtwoorden.

Jammer dan, moet je maar niet aan de systemen komen.

TheYOSH

Sinds dat Hilversumse bedrijf (O'Cliance) ligt het niet altijd ZO zwart wit en is de zorgplicht voor leveranciers verder opgerekt dan velen verwacht hadden.

Ik verwacht het niet meteen hier (waarschijnlijk wordt van de gemeente meer eigen deskundigheid verwacht dan van een administratiekantoor) , maar die zaak in Hilversum leek ook zo simpel als jij het stelt , en daar viel de beslissing in het voordeel van de klant .
02-08-2023, 19:48 door Anoniem
Kansloos. De gekozen ICT systemen zijn niet idiotproof en als het beheerwachtwoord wordt opgeëist is er blijkbaar een beheerder bijgekomen en dan kan de andere beheerder de juiste werking per definitie niet meer garanderen.
02-08-2023, 21:00 door Anoniem
Welke leverancier doet ooit nog zaken met deze gemeente?
02-08-2023, 22:51 door Anoniem
Eindelijk een rechter (ook overheid) die ICT snapt en zijn/haar beslissing goed kan uitleggen!
03-08-2023, 07:18 door Anoniem
Door Anoniem:
Door Anoniem: Kunnen ze dit geld niet beter besteden aan nuttige zaken ? Of wil je persé je gelijk krijgen als een stampvoetend kleutertje.

Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.

Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .

Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .

Heel mensen spelen in loterijen met een veel kleinere winstkans.

In een loterij is het echt een winstkans... Hier is het meer een (kleine) kans op geen verlies...
03-08-2023, 09:08 door Anoniem
Door Anoniem: Eindelijk een rechter (ook overheid) die ICT snapt en zijn/haar beslissing goed kan uitleggen!
Je bedoelt een rechter, die een uitspraak doet, die in JOUW straatje past.
03-08-2023, 12:54 door Anoniem
Door Anoniem:
Door Anoniem: Eindelijk een rechter (ook overheid) die ICT snapt en zijn/haar beslissing goed kan uitleggen!
Je bedoelt een rechter, die een uitspraak doet, die in JOUW straatje past.
Dus jij vindt het oké dat een gemeente een ICT-bedrijf aansprakelijk stelt voor zaken waarvan het contract zegt dat ze daar niet voor verantwoordelijk zijn.
03-08-2023, 17:40 door Anoniem
Lees even de vorige uitspraak van de rechter na :

De gemeente heeft er bewust voor gekozen een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding. Bij de aanvang van de overeenkomst heeft [bedrijf 1] gewezen op de risico’s hiervan. Ook in het voorstel voor back-up hardening wordt nu juist gewaarschuwd voor een hack zoals die bij de gemeente daadwerkelijk heeft plaatsgevonden. De accountant van de gemeente heeft vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en cyberaanvallen. Desalniettemin heeft de gemeente volhardt in haar keuzes.

[bedrijf 1] heeft (vanuit haar adviesrol) voorstellen op het gebied van back-up hardening (met de optie van een back-up bij [bedrijf 1], die niet benaderbaar zou zijn via de internetverbinding van de gemeente) en anti-virus maatregelen gedaan, maar daar is de gemeente niet op ingegaan, kennelijk uit kostenoverwegingen. In zoverre heeft de gemeente de invulling van de zorgplicht door [bedrijf 1] in feite verhinderd.

De cyberaanval is (mede) mogelijk gemaakt door twee onzorgvuldigheden aan de zijde van de gemeente: i) een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet, en ii) een medewerker van de gemeente heeft een zwak nieuw wachtwoord ingesteld. Beiden hebben daarvan geen melding gemaakt bij [bedrijf 1]. Het zwakke wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente.

Gelet op het vorenstaande is de rechtbank van oordeel dat, voor zover er buiten de op basis van de Europese aanbesteding gesloten overeenkomst nog een aparte zorgplicht via artikel 6:162 BW kan gelden, [bedrijf 1] die zorgplicht niet geschonden heeft.

Ik ken natuurlijk niet alle details maar ik zie hier weinig ruimte dat de gemeente alsnog gelijk krijgt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.