of 63428 LinkedIn

ICT-dienstverlener Hof van Twente had zaak niet op orde

Het ICT-systeem van de gemeente Hof van Twente, dat vorig jaar werd gehackt en versleuteld met ransomware, was niet voldoende veilig opgebouwd. Die fout ligt bij het bedrijf dat de systemen beheerde, maar ook bij de gemeente, die onvoldoende alert waren op veiligheidproblemen. Dat staat in een vertrouwelijk gemeentelijk onderzoeksrapport waar dagblad Tubantia uit citeert.

Het ICT-systeem van de gemeente Hof van Twente, dat vorig jaar werd gehackt en waarbij data werd versleuteld met ransomware, was niet voldoende veilig opgebouwd. Die fout ligt bij het bedrijf dat de systemen beheerde, maar ook bij de gemeente, die onvoldoende alert waren op veiligheidproblemen. Dat staat in een vertrouwelijk gemeentelijk onderzoeksrapport waar dagblad Tubantia uit citeert.

Losgeld

Door een hack van de gemeentelijke systemen kwam de dienstverlening van Hof van Twente eind vorig jaar geheel stil te liggen. Hackers versleutelden een deel van de bestanden om ze tegen betaling weer vrij te geven, maar burgemeester Ellen Nauta heeft steeds aangegeven geen losgeld te betalen voor de data. Vorige week werd bekend dat een deel van de gegevens waarvan men dacht dat ze definitief gewist waren, toch weer teruggehaald zijn. De gemeente heeft het systeem nog niet helemaal draaiend: veel diensten, zoals de levering van paspoorten, worden nu handmatig uitgevoerd.

 

Stevig

Volgens Tubantia trekt het onderzoeksrapport stevige conclusies over het beheer van de systemen. Zo waren de backups niet losgekoppeld van de rest van het systeem, om ze ontoegankelijk te houden als het systeem wordt gecompromitteerd. Het systeem was niet gecompartimenteerd, waardoor de inbrekers , eenmaal binnen, toegang konden krijgen tot alle onderdelen van het systeem. Ook werden vaak dezelfde wachtwoorden gebruikt.

 

Toezicht

Maar ook de gemeente hield te weinig toezicht op de dienstverlener. Vorig jaar werd nog wel een pentest gehouden om te testen op zwakheden in de beveiliging, maar het ip-adres van de server waarop de hackers uiteindelijk toegang kregen, was daarbij niet meegenomen. Volgens de krant onderzoekt de gemeente of de dienstverlener aansprakelijk kan worden gesteld voor de hack. Het rapport wordt volgende week besproken in de gemeenteraad, en daarna pas vrijgegeven.

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Spijker (n.v.t.) op
@Een ambtenaar (Ambtenaar). Mijn stellingname geeft de hoofdregel weer. Als het ICT-bedrijf fouten maakt of in gebreke blijft (bijv. er wordt niet voldaan aan de gestelde randvoorwaarden voor de installatie) moet dat door de opdrachtgever worden hard gemaakt en bewezen. Pas dan kunnen er verschuivingen t.a.v. de schuldvraag plaatsvinden.

Door Een ambtenaar (Ambtenaar) op

Dat is een interessante stelling @Spijker. Voor U lijken degene die de fout maakt en degene die de opdrachtgever is en de verantwoording draagt automatisch dezelfde. Als dit geen ICT was maar een bus dan is een busongeluk dus de fout van de eigenaar omdat de garage vergeten was de remmen te repareren.
Of is dat alleen zo als de opdrachtgever helemaal niet de opdracht gegeven heeft om de remmen te onderhouden?
Door Spijker (n.v.t.) op
De fout ligt altijd bij de opdrachtgever i.c. de gemeente. Deze is altijd voor 100% verantwoordelijk voor het eindproduct. Gekleurd Pieten heeft derhalve geen zin.