Onderzoek: er ging veel mis bij hack Hof van Twente
Er gingen meerdere dingen mis bij Hof van Twente waardoor de vernietigende cyberaanval heeft kunnen plaatsvinden. Dat blijkt uit een forensisch rapport naar aanleiding van de hack eind vorig jaar. Er waren bijvoorbeeld geen maatregelen om toegang tot de servers te voorkomen, een makkelijk wachtwoord gaf toegang tot een account met te veel bevoegdheden en er was onvoldoende scheiding tussen de servers. Ook beschikten het college en de raad niet over de juiste informatie.
Er gingen meerdere dingen mis bij Hof van Twente waardoor de vernietigende cyberaanval heeft kunnen plaatsvinden. Dat blijkt uit een forensisch rapport naar aanleiding van de hack eind vorig jaar. Er waren bijvoorbeeld geen maatregelen om toegang tot de servers te voorkomen, een makkelijk wachtwoord gaf toegang tot een account met te veel bevoegdheden en er was onvoldoende scheiding tussen de servers. Ook beschikten het college en de raad niet over de juiste informatie.
‘Ongeautoriseerde toegang had voorkomen kunnen worden’, schrijft cyberveiligheidsbedrijf NFIR in het rapport. Als online toegang tot de servers niet nodig was, hadden periodieke controles van de firewall toegang kunnen voorkomen. Als ze wel beschikbaar moeten zijn vanaf het internet, was een bijvoorbeeld tweefactor-authenticatie passend geweest. Maar dergelijke maatregelen ontbraken.
Welkom2020
Omdat de beveiliging van meerdere lagen ontbrak, gaf het raden van het wachtwoord meteen toegang. Het wachtwoord was ‘Welkom2020’. Het voldeed destijds aan het wachtwoordbeleid van de gemeente, maar de combinatie van een veelgebruikt woord en een jaartal is zwak. ‘Deze combinatie is niet geschikt om als wachtwoord te gebruiken’, schrijft NFIR. Beleid voor een beter wachtwoord had ‘zowel op technisch als beleidsniveau moeten worden afgedwongen’.
Veel rechten
Eenmaal binnen bleek dat met het account, ‘testadmin’, als beheerder gewerkt kon worden en dat het dus veel rechten gaf. Een duidelijkere rechtenstructuur, meer beheer en toezicht en het gebruik van een gelaagd rollenrechtensysteem ‘hadden kunnen voorkomen dat een onbevoegde beschikking kon krijgen over deze verhoogde rechten’.
Waar noodzakelijk
Onvoldoende scheiding van communicatie tussen de servers zorgde er vervolgens voor dat binnen het netwerk van de gemeente verbinding gemaakt kon worden met andere servers. Als communicatie enkel was toegestaan waar noodzakelijk, had deze situatie voorkomen kunnen worden.
Standaarden
Opvallend is dat een penetratietest (pentest), waarbij een ethische hacker toegang probeert te krijgen, op verzoek van Hof van Twente is uitgevoerd maar dat de kwetsbaarheden hierbij niet zijn gedetecteerd. ‘Deze situatie had voorkomen kunnen worden door middel van een toetsbare penetratietest, waarin standaarden worden toegepast.’ En actief en centraal monitoren van beveiligingsmelden had activiteiten tijdig aan het licht hebben kunnen brengen.
Tot slot hadden aanvallers controle over de systemen waarop back-ups werden gemaakt en zij konden zo die back-ups verwijderen. ‘Deze situatie had voorkomen door daadwerkelijk een back-up buiten het netwerk te bewaren, waardoor verlies van data te voorkomen was geweest.’
Technische realiteit
Voor het college kwam de aanval als een ‘donderslag bij heldere hemel’, merkt ict-deskundige Brenno de Winter op in zijn eigen rapport. ‘De informatie waarvoor college en de gemeenteraad beschikten, gaven geen signalen af dat er iets fundamenteel niet in orde was. De onderzoeken
bleken onvoldoende geschikt om rond informatiebeveiliging de juiste stappen te zetten. Hierdoor ontstond er een kloof tussen het openbaar bestuur en de technische realiteit. Terwijl alle signalen waren dat de gemeente de zaakjes best goed op orde had, bleek er toch van alles mis te zijn.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.