De gemeente Hof van Twente kan de miljoenenschade van de ransomware-aanval waar het eind 2020 door werd getroffen niet op de it-leverancier verhalen, zo heeft het gerechtshof Arnhem-Leeuwarden in hoger beroep geoordeeld. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" bij de gemeente binnen te dringen en konden uiteindelijk de ransomware op gemeentesystemen uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account niet ingeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.

Volgens de rechtbank Overijssel was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."

Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.

De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. De gemeente bleef erbij dat de leverancier wel verantwoordelijk is en ging in augustus 2023 tegen de uitspraak in hoger beroep.

Hoger beroep

"Net als de rechtbank komt het hof tot de conclusie dat de vorderingen niet toewijsbaar zijn, omdat niet is gebleken dat de externe dienstverlener haar contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld", oordeelt het gerechtshof Arnhem-Leeuwarden in het vandaag verschenen vonnis. Het hof merkt op dat een medewerker van de gemeente aanpassingen in de firewall maakte waardoor de server vanaf het internet toegankelijk werd.

"Tijdens de mondelinge behandeling heeft de gemeente verder erkend dat rule settings, zoals een beperking van de duur van openstelling van een RDP-poort, pas bij aanpassing van een regel in de firewall kunnen worden ingesteld, en niet vooraf en in het algemeen", aldus het hof. Dat voegt toe dat het blijven openstaan van de RDP-poort, die door een gemeentemedewerker was opengezet, niet te wijten is aan een configuratiefout van de leverancier.

Back-up

De gemeente stelde ook dat de leverancier tekort was geschoten bij het maken van de back-ups. De leverancier verklaarde dat het wel aan de '3-2-1 best practice' voor back-ups had voldaan, die inhoudt dat drie kopieën worden bewaard op verschillende media en locaties: één primary back-up en twee kopieën die op twee verschillende typen media/gegevensdragers worden bewaard, waarvan ten minste één off-site, aldus het hof.

Volgens de leverancier waren er drie sets van de data aanwezig, de originele data en twee kopieën. De originele data stond op de servers van de gemeente, één kopie stond op de lokale back-up op de locatie van de gemeente en één kopie stond op de off-site back-up van de leverancier, en de kopieën waren op verschillende dragers/media opgeslagen. "De gemeente heeft niets meer tegen dit verweer ingebracht. Gelet daarop ziet het hof onvoldoende grond voor het vermoeden dat dit anders was", aldus het hof.

Wachtwoordbeleid

De gemeente vond ook dat de it-leverancier de zorgplicht had geschonden. De leverancier signaleerde na de ransomware-aanval bij de Universiteit Maastricht dat de aanvallers toegang hadden gekregen tot de active directory omgeving en daarmee ook bij de back-up konden komen. Dat betekende niet direct een groot risico voor de gemeente, omdat de leverancier zelf multifactorauthenticatie (MFA) toepaste op de door haar beheerde domein administrator accounts en zij ervan mocht uitgaan dat de gemeente haar eigen account ook goed beveiligde met een (moeilijk te raden) wachtwoord, zo staat in het vonnis.

Het hof merkt ook op dat de gemeente zelf verantwoordelijk was en wilde blijven voor haar wachtwoordbeleid. "Zij beschikte op haar uitdrukkelijke wens over een eigen domein administrator account en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd." De leverancier had de gemeente ook geïnformeerd dat het MFA voor de door haar beheerde accounts had ingeschakeld. Tevens adviseerde de leverancier aan de gemeente om de toegang via Kaseya te laten verlopen, waarop MFA was ingesteld. Het account waar de aanvallers toegang toe kregen maakte geen gebruik van MFA.

Het hof komt uiteindelijk tot het oordeel dat de it-leverancier haar contractuele verplichtingen en zorgplicht niet heeft geschonden. De gemeente moet dan ook de proceskosten van de leverancier betalen, die op bijna 24.000 euro uitkomen.