Nog voordat de gemeente Hof van Twente het doelwit was van een ransomware-aanval, waarschuwde een accountant meerdere malen voor de risico’s van een mogelijke cyberaanval. Er was weliswaar draagvlak voor informatiebeveiliging binnen het college van B&W, maar diepgaande kennis over deze materie ontbrak op sleutelposities in de ambtelijke en bestuurlijke organisatie. Informatiebeveiliging was zodoende niet prioriteit nummer één.
Dat staat in het rapport ‘De perfecte storm’ (pdf) van de Rekenkamercommissie Hof van Twente, dat dinsdag werd besproken in de gemeenteraad (1).
De gemeente Hof van Twente was eind 2020 het doelwit van een ransomware-aanval (2). Hackers wisten de interne systemen van de gemeente te infiltreren en privacygevoelige informatie te versleutelen. Het ging onder meer om de financiële administratie van de gemeente en aanvragen voor jeugdzorg en omgevingsvergunningen door burgers. Ook vertrouwelijke informatie over werk, inkomen en schulden van inwoners werd buitgemaakt. Tot slot slaagden de aanvallers er in om de back-up systemen plat te leggen.
In maart 2022 publiceerde cybersecuritybedrijf NFIR haar onderzoekrapport naar de aanval. Beveiligingsonderzoeker Brenno de Winter maakte in dezelfde periode zijn duidingsrapportage openbaar. Daaruit bleek dat de beveiliging op een aantal punten te wensen overliet (3). Door een aanpassing in de firewall kon de FTP-server overal vandaan bereikt worden. Bovendien draaide deze server op een kwetsbare versie van het Remote Desktop Protocol (RDP) van Microsoft.
Verder kwam in het digitaal forensisch onderzoek naar voren dat de admin-account verregaande rechten had en netwerksegmentering ontbrak. De hackers konden daardoor wekenlang ongestoord hun gang gaan. Back-ups waren deels vernietigd en versleuteld, en niet beschikbaar op een externe locatie. Tot slot was het wachtwoord van de FTP-server weliswaar aangepast, maar allesbehalve sterk: deze luidde ‘Welkom2020’. Een pentest bracht dit euvel niet aan het licht (4).
Burgemeester Ellen Nauta schatte in dat het nog zo’n twee-en-een-half jaar (5) zou duren om alle schade te herstellen. IT-bedrijf Switch IT Solutions probeerde de burgemeester persoonlijk aansprakelijk te stellen (6) voor de reputatieschade dat het bedrijf had geleden als gevolg van de cyberaanval.
Voordat de ransomware-aanval eind 2020 plaatsvond, is de gemeente Hof van Twente meerdere malen gewaarschuwd. Een accountant wees de gemeente in 2017 al op de risico’s van de informatiebeveiliging en een mogelijke computeraanval. “Daarbij heeft de accountant onder andere het wachtwoordenbeleid geproblematiseerd en gewaarschuwd voor de risico’s van een hack”, zo staat er in het rapport van de Rekenkamercommissie.
In 2018 formuleerde de accountant acht aandachtspunten voor de gemeente over informatiebeveiligingsbeleid, toegangs- en autorisatiebeleid en pentesten. Een jaar later constateerde hij dat er op een aantal punten vooruitgang was geboekt, maar dat er wel nog aandacht nodig was op het vlak van beheersingsmaatregelen en het wachtwoordenbeleid.
De Rekenkamercommissie concludeert dat informatiebeveiliging op bestuurlijk niveau “niet prioriteit nummer één” was, omdat men dacht dat alles op orde was. De gemeente voldeed namelijk voor 90 procent aan de BIO-richtlijnen. ‘BIO’ staat voor Baseline Informatiebeveiliging Overheid en beschrijft de minimale veiligheidseisen waaraan gemeenten, waterschappen, provincies en andere overheidsorganen aan dienen te voldoen.
Diepgaande kennis over ICT en informatiebeveiliging was volgens de Rekenkamercommissie onvoldoende aanwezig op sleutelposities binnen de ambtelijke en bestuurlijke organisatie. Signalen over onvolkomenheden in de informatiebeveiliging drongen zodoende niet door bij het management, de college en de gemeenteraad. “De kennis over informatiebeveiliging was beperkt om de risico’s op informatieveiligheid adequaat te duiden en erop door te vragen”, aldus de opstellers van het rapport ‘De perfecte storm’.
Verder zeggen de onderzoekers dat de gemeente te afhoudend was en te veel vertrouwen gaf aan de externe leverancier. “Deze relatie was voornamelijk gebaseerd op vertrouwen en er werd sterk geleund op de werkprocessen en kennis van deze partij. De leverancier werd als trusted third party tegemoet getreden, zodat er te weinig controle was op hetgeen de externe partij contractueel verplicht was te leveren.” De gemeente was van plan om in 2020 meer de regie in handen te nemen. Vanwege de coronacrisis is het daar nooit van gekomen.
In een reactie (pdf) zegt burgemeester Nauta dat ze de Rekenkamercommissie dankbaar is voor al haar werk. Ze belooft de aanbevelingen een plek te geven in het Verbeterplan van het college. “Door de cyberaanval is duidelijk dat ICT, digitalisering en informatiebeveiliging op het hoogste niveau meer aandacht verdienen dan ooit daarvoor. Binnen de raad, het college en de ambtelijke organisatie moeten we dit beter borgen in structuren en processen. Tevens moeten we nadenken op welke wijze we de benodigde deskundigheid en sturingsinformatie kunnen ontwikkelen”, aldus de burgemeester. Ze zegt dat het college samen met de gemeenteraad en de ambtelijke organisatie er alles aan doet om de verbeteringen door te voeren.
Om de informatiebeveiliging te verbeteren, belooft burgemeester Nauta risico-inventarisaties of audits te laten uitvoeren door een onafhankelijke ICT-deskundige. Dat omschrijft ze als “het organiseren van tegenspraak” om erop toe te zien dat het Verbeterplan ook daadwerkelijk wordt uitgevoerd. Verder gaat Hof van Twente samen met een buurgemeente een fulltime Chief Information and Security Officer (CISO) aanstellen.
https://gemeenteraad.hofvantwente.nl/Vergaderingen/Gemeenteraad/2022/25-oktober/19:30/Aanbieding-onderzoek-Rekenkamercommissie-informatiebeveiligingsbeleid-De-perfecte-storm
https://gemeenteraad.hofvantwente.nl/Vergaderingen/Gemeenteraad/2022/25-oktober/19:30/Aanbieding-onderzoek-Rekenkamercommissie-informatiebeveiligingsbeleid-De-perfecte-storm
https://www.vpngids.nl/nieuws/pentest-hof-van-twente-mist-zwak-wachtwoord-welkom2020/
https://www.vpngids.nl/nieuws/pentest-hof-van-twente-mist-zwak-wachtwoord-welkom2020/
https://www.vpngids.nl/nieuws/hof-van-twente-opbouw-ict-infrastructuur-gaat-meer-dan-twee-jaar-duren/
https://www.vpngids.nl/nieuws/it-bedrijf-wil-reputatieschade-prive-verhalen-bij-burgemeester-hof-van-twente/
Rekenkamerrapport Informatiebeveiliging Gemeente Hof van Twente
Bestuurlijke wederhoor rekenkamerrapport ‘De perfecte storm’
