of 63428 LinkedIn

Schade hack Hof van Twente in de miljoenen

In het geval van Hof van Twente had hij ook niet meteen doorgehad dat er veel meer aan de hand was, vertelt ict-deskundige Brenno de Winter. De schade van de cyberaanval op de gemeente gaat in de miljoenen lopen. Het was te voorkomen geweest, maar het plaatje van de techniek dat door de informatie werd geschetst kwam niet overeen met de realiteit. ‘Als de bestuurder niet de juiste informatie krijgt er dan komt er geen verbetering.’

In het geval van Hof van Twente had hij ook niet meteen doorgehad dat er veel meer aan de hand was, vertelt ict-deskundige Brenno de Winter. De schade van de cyberaanval op de gemeente gaat in de miljoenen lopen. Het was te voorkomen geweest, maar het plaatje van de techniek dat door de informatie werd geschetst kwam niet overeen met de realiteit. ‘Als de bestuurder niet de juiste informatie krijgt er dan komt er geen verbetering.’

Losgeld

De aanvallers beginnen met de ransomware-aanval tegen middernacht op 30 november met het versleutelen van systemen en het verwijderen van virtuele servers. De aanvallers laten ‘losgeldbriefjes’ achter op de printers en vervolgens schakelen ze ook die printerservers uit. Hof van Twente besluit geen losgeld te betalen. Belastinggeld is daar niet voor bedoeld, vertelt burgemeester Ellen Nauta over de beslissing toen. ‘Wij houden dit criminele verdienmodel niet in stand.’

 

De financiële schade zal een aantal miljoen zijn, zegt de burgemeester. Al gaat dat niet alleen om het opnieuw opbouwen van de infrastructuur maar ook om het onderhoud dat normaal ook gebeurt. Er is nog geen goed overzicht van de kosten, dat komt nog. Cyberveiligheidsbedrijf NFIR, dat het forensisch rapport schreef, helpt bij de opbouw van de nieuwe infrastructuur.

 

Nooit een totaalbeeld

‘Eigenlijk was er helemaal niet zo’n goed netwerk neergelegd’, vertelt De Winter. Hij schreef een duidend rapport ter aanvulling op het rapport van NFIR. 'De stuurinformatie, waarop de gemeente acteerde, was onvoldoende om als niettechneut te kunnen doorgronden dat er mogelijk iets mis was.'

 

'Krijgt het bestuur van de gemeente wel de informatie die het moet hebben om gealarmeerd te raken?', vraagt hij zich af tijdens de persconferentie over de presentatie van het onderzoek. Hij beantwoordt de vraag zelf: dat is niet het geval. ‘Er is nooit een totaalbeeld geweest van wat er mis kan gaan. Het grootste leerpunt is misschien dat als de bestuurder niet de juiste informatie krijgt er geen verbetering komt.’

 

‘Het valt wel op dat ik erg vaak bij organisaties kom waar dit soort zaken niet op orde is. Bij incidenten blijken de basiszaken als het segmenteren van servers en meerfactorauthorisatie niet op orde te zijn. Dat zou de ernst heel veel minder maken.’

 

Pentest

Opvallend in het geval van Hof van Twente is dat eind mei 2020 een penetratietest oftewel pentest is uitgevoerd om kwetsbaarheden te vinden, maar daar zijn geen grote kwetsbaarheden geconstateerd. In die test werden de servers waarlangs de hackers binnenkwamen wel meegenomen.

 

Vandaar dat De Winter in deze casus ook niet meteen had doorgehad dat er veel meer aan de hand was, ‘want het plaatje dat geschetst werd kwam niet overeen met de realiteit.’ Desondanks moet de overheid meer gaan doen aan controle en deskundigheid. ‘De sturingsinformatie moet eenduidiger, completer en mensen moeten worden opgeleid omdat te leren lezen.’

 

Controle op controle

‘In de bestuurskamer moet naast een financieel expert een ict-expert zitten, want de overheid is hiervan afhankelijk. Het gaat niet meer om bitjes en bytejes. De gemeente kan haar werk niet meer doen op het moment dat de systemen platliggen.’

 

Hierin vindt hij bijval van burgemeester Nauta, die de vergelijking maakt met de financiële wereld waar audits plaatsvinden en accountants rondlopen - controle op controle wordt uitgevoerd. ‘Ik heb in deze afschuwelijke crisis geleerd dat dat ook nodig is in de ict.’

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Spijker (n.v.t.) op
@A. Mol. Dat had ik dus ook al in een eerdere bijdrage gesteld (zie vorige artikelen). Je moet wel bij blijven.
Door A.Mol op
@Spijker: nee, de les is dat je als overheid zelf verantwoordelijk bent, ook al gebruik je een servicecontract. Het rapport leest dat beheerders zelf maar lukraak wat hebben lopen beunen: een bereik aan ports opengezet zonder reden, een publiek benaderbare ftp hebben opgezet en het wachtwoord veranderd naar iets infantiels als Welkom2020. Daarnaast was er geen multifactorenauthenticatie en was er een oneindig aantal login-pogingen mogelijk zonder een time-out.

Dit heeft helemaal niets te maken met goed onderhoud en patches. Het gaat hier niet om een reguliere aanval zoals vaak zichtbaar was bij Emotet-aanvallen. Het gaat hier om wanbeleid.
Door Spijker (n.v.t.) op
De lering van dit dossier is dat gemeenten voor hun ICT niet alleen kunnen volstaan met een systeem laten installeren, maar door aanpassing aan voortschrijdend inzicht en vanwege ict-criminaliteit ook goed moeten laten onderhouden en up to date houden. Daarbij nadrukkelijk te letten op de te stellen randvoorwaarden.