Hof van Twente eist dat Switch IT Solutions een schadevergoeding van 4,2 miljoen euro betaalt. De gemeente meent dat het IT-bedrijf uit Enschede “een wanprestatie” heeft geleverd. Switch IT Solutions meent daarentegen dat de gemeente zelf nalatig is geweest.
Dat zeggen de partijen over en weer in de rechtbank, zo meldt RTV Oost (1).
Het is inmiddels al weer twee jaar geleden dat de gemeente Hof van Twente het doelwit was van een ransomware-aanval. Hackers wisten de interne systemen van de gemeente te infiltreren en vertrouwelijke gegevens van zowel de gemeente als burgers buit te maken. De bestanden werden bovendien versleuteld, zodat ambtenaren niet langer toegang hadden tot de data. Ook de back-ups werden platgelegd. De daders eisten 75.000 euro aan losgeld.
Cybersecuritybedrijf NFIR onderzocht hoe de cyberaanval kon plaatsvinden. Ok beveiligingsonderzoeker Brenno de Winter nam de zaak onder de loep. Uit de onderzoeker bleek dat de beveiliging te wensen overliet. Door een aanpassing in de firewall kon de FTP-server overal vandaan bereikt worden. Bovendien draaide deze server op een kwetsbare versie van het Remote Desktop Protocol (RDP) van Microsoft. Tot slot was het wachtwoord van de FTP-server weliswaar aangepast, maar allesbehalve sterk: deze luidde ‘Welkom2020’.
Eind oktober bleek dat de beveiligingsproblemen kenbaar waren bij de gemeente. Nog voordat de ransomware-aanval plaatsvond, waarschuwde een accountant het college van B&W dat de informatiebeveiliging niet op orde was. Zo was de gemeente te afhoudend en vertrouwde blindelings op de externe leverancier vanwege een kennisgebrek in de ambtelijke en bestuurlijke top. Burgemeester Ellen Nauta beloofde meer aandacht te besteden aan informatiebeveiliging.
De cyberaanval vond weliswaar eind 2020 plaats, maar Hof van Twente is nog altijd bezig om het informatienetwerk opnieuw op te bouwen. Dat heeft de gemeente tot nu toe 4,2 miljoen euro gekost. Via de rechter probeert de gemeente nu dit bedrag te vorderen van het IT-bedrijf dat verantwoordelijk was voor de IT-infrastructuur.
De advocaat van de gemeente Hof van Twente zei in de rechtbank dat Switch IT Solutions “een wanprestatie” heeft geleverd. Het bedrijf is de contractuele afspraken niet nagekomen en is nalatig geweest in de aanloop naar de cyberaanval. Een maand vóór de aanval installeerden de hackers malware op de servers van de gemeente. “Het waren oorverdovende alarmbellen, maar Switch IT deed al die tijd niets. Elk feit had moeten leiden tot actie”, aldus de advocaat.
Nadat de hackers toegang hadden verkregen tot het netwerk van de gemeente, verwijderden ze negentig virtuele servers en alle back-ups. Pas daarna kwam het IT-bedrijf in actie.
Switch IT Solutions is het niet eens met deze lezing en vindt dat de gemeente de fout is in gegaan. Het was immers een medewerker van de gemeente die het wachtwoord van de beheerdersaccount wijzigde in ‘Welkom2020’. Diezelfde medewerker wijzigde een regel in de firewall waardoor iedereen met een internetverbinding de FTP-server kon opzoeken. “Door het handelen van de gemeente hadden hackers toegang tot de systemen”, aldus de advocaat van het IT-bedrijf uit Enschede.
De gemeente had bovendien niet doorgegeven dat het wachtwoord van de beheerdersaccount en de instellingen in de firewall waren aangepast. Zodoende ligt de schuld volledig bij de gemeente.
Tot slot stelt het IT-bedrijf dat de gemeente niet de deskundigheid in huis had om de IT-infrastructuur te beheren. Ten tijde van de hack was er slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente.
De rechter vroeg beide partijen om te kijken of het mogelijk was om tot een schikking te komen. Mochten ze daar niet in slagen, dan gaat de rechtszaak op dinsdag 27 december weer verder.
Het is overigens niet de eerste keer dat de gemeente Hof van Twente en Switch IT Solutions met elkaar in de clinch liggen over financiële compensatie. In mei 2021 eisten beide partijen een schadevergoeding van elkaar. Het Enschedese bedrijf stelde burgemeester Nauta als privépersoon aansprakelijk voor de geleden schade, omdat de gemeente “een rode loper” voor de hackers hadden uitgerold.
Beide partijen onderhandelen sindsdien over een ‘minnelijke schikking’.
https://www.rtvoost.nl/nieuws/2167567/gehackt-hof-van-twente-eist-in-rechtbank-4-miljoen-euro-van-systeembeheerder
