Beheer

Security
Burgemeester Hof van Twente wil betere IT-vragen kunnen stellen

Burgemeester Hof van Twente wil betere IT-vragen kunnen stellen

Ze zoekt de samenwerking met andere, grotere gemeenten voor een betere digitale zekerheid.

© gemeente Hof van Twente
29 maart 2021

Ze zoekt de samenwerking met andere, grotere gemeenten voor een betere digitale zekerheid.

De gemeente Hof van Twente was te goed van vertrouwen. Daarom praat burgemeester Ellen Nauta van de gemeente nu ook met collega’s over hoe een gemeente zorgt dat ze niet in slaap wordt gesust. De burgemeester vertelt hierover in een interview met Binnenlands Bestuur.

De burgemeester gaat in het interview in op de hack bij haar gemeente. Hof van Twente is in december vorig jaar slachtoffer geworden van een hack waardoor systemen ontoegankelijk werden gemaakt. De gemeente ging niet in op de losgeldeis van de aanvallers en besloot de systemen eigenhandig weer op te bouwen.

Welkom2020

De hack werd onderzocht en uit rapporten die twee weken geleden bekend werden, bleek dat de hack eigenlijk best te voorkomen was. Dit niet alleen theoretisch zoals heel veel hacks zijn te voorkomen met voldoende beveiligingsmaatregelen en IT-budget. In de rapporten over de ransomware-infectie bij Hof van Twente wordt gesproken over een reeks van missers, inclusief basale securityfouten.

Zo bleek de IT-dienstverlener die de servers en backups van de gemeente beheert zijn zaken niet goed op orde te hebben. Ook heeft een pentest maanden voor de aanval een FTP-server met testaccount gemist. En ook de cyberbeveiliging van de gemeente liet te wensen over, voor het beheerdersaccount 'testadmin' werd bijvoorbeeld het wachtwoord Welkom2020 gebruikt. Dat an sich niet bepaald veilige wachtwoord was toen wel in overeenstemming met het securitybeleid bij de gemeente.

Nauta zegt dat de gemeente kennelijk leefde in een fantasiewereld. “Bij de gemeentelijke financiën is alles geregeld. Een accountant, een auditor, noem maar op. Controle op controle. Voor ICT hebben we veel minder, in elk geval niets betrouwbaars. We hebben tweefactorauthenticatie ingevoerd op sommige systemen en we werkten met beveiligde mail. We hebben een penetratietest laten uitvoeren, ik heb audits laten houden, maar er waren geen signalen.”

Schijnzekerheid

De audits en penetratietest gaven schijnzekerheid. “We waren te goed van vertrouwen. Die les moeten we met z’n allen uit deze cyberaanval trekken.” Volgens haar is het niet erg om afhankelijk te zijn voor je ICT, maar moet je als gemeenten wel de juiste vragen kunnen stellen zodat je niet op het verkeerde been wordt gezet.

Ze denkt daarom aan een intensievere samenwerking tussen gemeenten en veiligheidsregio’s. “Als gemeenten gezamenlijk kunnen we veel meer dan we denken. Grote gemeenten zouden kleine gemeenten kunnen helpen. Ik heb drie fte’s voor systeembeheer, maar ICT is wel onze core business, hè? We zitten op een bulk data waar je beroerd van wordt. Daar móet iets tegenover staan. Dat is digitale veiligheid.”

Lees het volledige interview met burgemeester Ellen Nauta op de website van Binnenlands Bestuur.

MELD JE AAN VOOR DE SECURITY GAME!

Meld je gratis aan voor de Security Game van AG Connect op donderdag 22 april. Tijdens deze middag ga je de strijd aan met hackers in een echte security escaperoom. Game-elementen worden afgewisseld met inhoudelijke sessies over security. Meer weten? Ga naar de website voor meer informatie of aanmelden.

Lees meer over
1
Reacties
Erwin1 30 maart 2021 09:50

Ze hebben daar gewoon zitten slapen, net als op veel andere overheidsinstellingen. Wat een krokodillentranen. "Op het gebied van financien hebben we vanalles geregeld, maar voor ICT hebben we niks betrouwbaars. We hebben audits laten houden, maar er waren geen signalen. Je moet wel de juiste vragen kunnen stellen. We hebben 3 FTE's voor ICT, maar dat is wel onze core business" Nou volgens mij is ICT voor geen enkele overheid 'Core Business'. Maar ik schat dat er op de afdeling Beleid veel meer FTE's zitten. Maar waar zijn de audit resultaten over de mate van toepassing van de PTOLU lijst ? En waar zijn de audit resultaten omtrent naleving van de BIO (Baseline Informatievoorziening Overheid) ? Want die werden niet nageleefd, want anders was er een externe backup, een sterk wachtwoordbeleid voor alle accounts, en een afgescheiden netwerk voor testen. De gemeente heeft dus gewoon zitten pitten, en volledig op de blauwe ogen van hun dienstverlener vertrouwd. Het is zo jammer dat een Gemeente niet failliet kan gaan, en de ' klanten' van de gemeente gedwongen winkelnering hebben, want als dit een normaal bedrijf betrof waren ze al lang en breed failiet geweest, en alle klanten naar een andere aanbieder gesneld.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.