Hof van Twente wil schade hack verhalen op ict-leverancier

De gemeente Hof van Twente wil de schade van een aanval in 2020 verhalen op ict-bedrijf Switch IT Solutions uit Enschede. Volgens de gemeente leverde de het bedrijf een wanprestatie. Switch IT stelt daarentegen dat de gemeente fouten heeft gemaakt.

Schade

Hof van Twente meldde op 4 december 2020 dat aanvallers waren binnengedrongen in hun systemen. De servers werden vervolgens ontoegankelijk gemaakt. In september dit jaar liet de gemeente weten dat het bijna klaar was met de herstelwerkzaamheden van de systemen. De schade is ondertussen uitgekomen op 4,2 miljoen euro. 

Contractuele afspraken

Nu heeft de gemeente dus ict-bedrijf Switch IT Solutions voor de rechter gesleept, in een poging de schade op hen te verhalen, meldt RTV Oost. Switch IT is een consultancybedrijf dat onder meer diensten rondom security levert. Maar volgens de advocaat van Hof van Twente is het bedrijf contractuele afspraken niet nagekomen. Hackers zouden bijvoorbeeld vanaf oktober 2019 al tienduizenden inlogpogingen per dag gedaan hebben op de servers van de gemeente en een maand voor de aanval werd malware geplaatst. Switch IT miste die signalen echter. 'Elk feit had moeten leiden tot actie', aldus de advocaat. Op 9 november volgde een succesvolle aanval en pas later die maand trok Switch IT aan de bel.

Wachtwoord

In maart 2021 bleek uit een rapport dat de ransomware-aanval inderdaad te voorkomen was. Zo had de ict-dienstverlener die de servers en backups van de gemeente beheert, zijn zaken niet goed op orde. Daarnaast waren er fouten gemaakt door de dienstverlener die in mei 2020 een pentest uitvoerde, waarin geen grote beveiligingsproblemen zijn geconstateerd. Dat terwijl de FTP-server waarlangs de criminelen zijn binnengekomen wel is meegenomen in de pentest.

Brute kracht

Maar uit die rapportage bleek ook dat de gemeente zelf steken heeft laten vallen. Het wachtwoord van het beheerdersaccount van de servers was namelijk 'Welkom2020'. De aanvallers wisten dat wachtwoord met een bruteforce-aanval te raden en te wijzigen, waarna ze eind november een verkenning van het interne netwerk hebben ondernomen. 

Zelf verantwoordelijk

Switch IT stelde in de rechtbank verder dat een medewerker van de gemeente bovendien een regel in de firewall wijzigde, waardoor iedereen op internet verbinding kon zoeken met de FTP-server voor bestandsuitwisseling van de gemeente. Daardoor hadden de aanvallers toegang tot de systemen, stelt de advocaat van Switch IT. Beide handelingen zouden niet bij Switch gemeld zijn. En volgens de leverancier was de gemeente zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen.

Rechter vraagt om schikking

Ook de rechter vindt dat de gemeente het wijzigen van zijn wachtwoord had moeten melden bij Switch. De rechter heeft dan ook gevraagd of beide partijen tot een schikking kunnen komen. Lukt dat niet binnen vier weken, dan wordt de zaak op 27 december verder behandeld. 

Bron: AG Connect