ICT-dienstverlener Hof van Twente had zaak niet op orde

Het ICT-systeem van de gemeente Hof van Twente, dat vorig jaar werd gehackt en waarbij data werd versleuteld met ransomware, was niet voldoende veilig opgebouwd. Die fout ligt bij het bedrijf dat de systemen beheerde, maar ook bij de gemeente, die onvoldoende alert waren op veiligheidproblemen. Dat staat in een vertrouwelijk gemeentelijk onderzoeksrapport waar dagblad Tubantia uit citeert.

Losgeld

Door een hack van de gemeentelijke systemen kwam de dienstverlening van Hof van Twente eind vorig jaar geheel stil te liggen. Hackers versleutelden een deel van de bestanden om ze tegen betaling weer vrij te geven, maar burgemeester Ellen Nauta heeft steeds aangegeven geen losgeld te betalen voor de data. Vorige week werd bekend dat een deel van de gegevens waarvan men dacht dat ze definitief gewist waren, toch weer teruggehaald zijn. De gemeente heeft het systeem nog niet helemaal draaiend: veel diensten, zoals de levering van paspoorten, worden nu handmatig uitgevoerd.

Stevig

Volgens Tubantia trekt het onderzoeksrapport stevige conclusies over het beheer van de systemen. Zo waren de backups niet losgekoppeld van de rest van het systeem, om ze ontoegankelijk te houden als het systeem wordt gecompromitteerd. Het systeem was niet gecompartimenteerd, waardoor de inbrekers , eenmaal binnen, toegang konden krijgen tot alle onderdelen van het systeem. Ook werden vaak dezelfde wachtwoorden gebruikt.

Toezicht

Maar ook de gemeente hield te weinig toezicht op de dienstverlener. Vorig jaar werd nog wel een pentest gehouden om te testen op zwakheden in de beveiliging, maar het ip-adres van de server waarop de hackers uiteindelijk toegang kregen, was daarbij niet meegenomen. Volgens de krant onderzoekt de gemeente of de dienstverlener aansprakelijk kan worden gesteld voor de hack. Het rapport wordt volgende week besproken in de gemeenteraad, en daarna pas vrijgegeven.