Management

Juridische zaken
beschuldiging

Gehackte gemeente versus leverancier: vuurwerk verwacht

Schikking, overwinning of verlies: Hof van Twente versus Switch IT kent nu al twee verliezers.

© Shutterstock Fatal Sweets
7 december 2022

Schikking, overwinning of verlies: Hof van Twente versus Switch IT kent nu al twee verliezers.

Verantwoordelijkheid, aansprakelijkheid en dienstverlening zijn hete hangijzers nu IT-afhankelijkheid groot, groter, groots is en securityschendingen veel, veel meer en miljoenen kosten. Gedeeld beheer kan deze kwestie nog veel gecompliceerder maken. Zie maar de ransomwarezaak bij de gemeente Hof van Twente, die zijn ICT-leverancier aansprakelijk stelt. De rechter wil dat de twee tot een schikking komen, maar zelf als dat gebeurt, is de kous niet af.

De toon was al vrij snel gezet na het geruchtmakende ransomware-incident van eind 2020. Nou ja, incident, dat is nogal een eufemisme. De plattelandsgemeente nabij Enschede is volledig lamgelegd door deze digitale aanval, waarvoor het geweigerd heeft om losgeld te betalen. De eis was 750.000 euro. Daarna ging het herstel van nagenoeg de volledige ICT-omgeving flink in de papieren lopen. De burgemeester heeft toen harde woorden geuit over de ICT-leverancier, die vervolgens reputatieschade wou gaan verhalen bij die bestuursvrouw.

Nu, ruim anderhalf jaar later, komt het opnieuw tot vuurwerk, in etappes. De getroffen gemeente wil bijna de hele geleden schade verhalen op zijn ICT-leverancier. Switch IT Solutions zou een wanprestatie hebben geleverd, zo luidt de beschuldiging. De aangeklaagde ICT-leverancier komt met de tegenbeschuldiging dat de gemeente zelf fouten heeft gemaakt. De rechtbank in Enschede buigt zich over deze zaak, maar heeft de strijdende partijen eerst naar de onderhandelingstafel gestuurd. Met een deadline.

Over en weer verwijten

De eerste etappe is eind november ingezet. Toen is naar buiten gekomen dat de gemeente zijn IT-dienstverlener voor de rechter heeft gesleept. Daarbij wordt 4 miljoen euro - van de totale herstelkosten à 4,2 miljoen euro - geëist als schadevergoeding. Eerst leek er nog sprake van 'slechts' 1,6 miljoen, maar dat was het maximale bedrag volgens boeteclausule in het contract tussen deze klant en deze leverancier.

De gemeente wil daar flink voorbij gaan, omdat er volgens die claimende partij sprake is van "een ernstige fout", aldus de aanklacht. Een fout die dus geheel bij Switch IT wordt neergelegd, maar die leverancier spreekt tegen dat het de verantwoordelijke of de schuldige is. De klant heeft zelf namelijk ernstige missers begaan, zoals het instellen van 'Welkom2020' als wachtwoord voor een beheerdersaccount op servers.

Eigen schuld?

In de rechtbank heeft Switch IT er op gewezen dat dat zwakke wachtwoord voor dat krachtige account is ingesteld door een medewerker van de gemeente. Diezelfde persoon zou ook een regel in de firewall hebben ingesteld, waardoor de FTP-server - bedoeld voor bestandsuitwisseling tussen IT-bedrijf en gemeente - open stond voor iedereen vanaf internet.

Bovendien zouden deze twee handelingen van de gemeente niet bij de leverancier zijn gemeld. Dus, zo luidt de verdediging, heeft de klant zichzelf kwetsbaar gemaakt. Verder was Hof van Twente volgens Switch IT zelf verantwoordelijk voor de rechten van beheerders én voor de beveiliging van de IT-systemen. Concluderend: de schuld ligt bij de gemeente, aldus de IT-leverancier.

'Mijn neefje'

De tweede etappe in het vuurwerk dat nu wordt afgestoken, is gelijk na de eerste zitting voor de rechtbank begonnen. De rechter heeft toen bepaald dat de klagende gemeente en de ontkennende leveranciers er zelf uit moeten zien te komen. Dus naar de onderhandelingstafel, om te zien of er een schikking valt te treffen.

Maar eerst heeft de magistraat nog wel kritische kanttekeningen geplaatst bij het wachtwoordbeleid van de gemeente. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", schrijft RTV Oost op uit de mond van de rechter. De gemeente werpt hierbij echter tegen dat de IT-dienstverlener had moeten waarschuwen voor het aangemaakte zwakke wachtwoord. Zeker bij zo'n belangrijk account, met vergaande toegang.

Blind vertrouwen

In deze eerste zitting is gebleken wat eerder al meermaals naar boven is gekomen: de klant vertrouwde blind op de leverancier. Dit niet alleen vanuit vertrouwen, maar ook vanuit eigen gebrek aan kennis, kunde en capaciteit. Zo was er ten tijde van de hack een halve fte (full-time equivalent) aangesteld voor het systeembeheer van de gemeente.

Naast capaciteit speelt dus ook kennis en kunde. Te weinig bij de klant en te veel verwacht bij de leverancier? Begin vorig jaar heeft de burgemeester van Hof van Twente al gezegd dat de gehackte gemeente te goed van vertrouwen was. En dat IT-gebruikende organisaties meer kennis nodig hebben om betere IT-vragen te kunnen stellen.

Kort voor deze 'bekennende' uitspraken van de bestuursvrouw waren er al tekenen van kennisgebrek en onkunde. Maar dat wel bij beide partijen in dit conflict. Het onderzoeksrapport van forensisch bedrijf NFIR, dat door Hof van Twente in de arm is genomen, stipte een aantal serieuze misstanden aan.

Zo was de gemeente niet waakzaam genoeg wat betreft controle op de externe IT-dienstverlener. Daar staat tegenover dat Switch IT het beheer en de back-ups niet goed op orde had. Zo was de offsite back-up van de gemeente geen offline back-up en was het niet ondergebracht in een gescheiden netwerk. En dan was er ook nog sprake van ondermaatse beveiliging op het gebied van wachtwoorden.

Pentest en plan van aanpak

Deze opstapeling van securitymissers is ook niet aan het licht gekomen bij een pentest die Hof van Twente in 2020, het jaar van de hack, heeft laten uitvoeren. Deze pentest is in mei, dus maanden vóór de geslaagde gijzelingsaanval, uitgevoerd door IT-bedrijf Sogeti. Daarbij is volgens het NFIR-onderzoek ná de hack een IP-adres van de gemeente niet meegenomen, of niet opgenomen in de rapportage van deze securitycontrole. Net via dat IP-adres zijn de gijzelnemers binnengekomen.

Sogeti heeft na het uitvoeren van de pentest verslag gedaan bij de gemeente en daarbij aanbeveling gedaan voor een plan van aanpak. Het IT-bedrijf weet niet wat er vervolgens wel of niet gedaan is door de gemeente, of dienst IT-dienstverlener. “Daarna is er geen contact meer geweest tussen gemeente Hof van Twente en Sogeti over mogelijke vervolgstappen”, vertelde de woordvoerster van dit IT-bedrijf toen aan AG Connect.

De vraag is dan ook nog wie er verantwoordelijk is voor het nemen van aangeraden vervolgstappen. En wie er controleert of die stappen wel en goed zijn genomen? Nu, iets meer dan twee jaar na de succesvolle cyberaanval, gaat dit uitgevochten worden. Of geschikt, als de over en weer verwijtende partijen toch nader tot elkaar kunnen komen.

Na de kerst verder

De derde etappe in deze vuurwerkshow gaat net na de kerst beginnen. Voor het schikkingstraject heeft de rechter namelijk een deadline gesteld: 27 december. Op die datum gaat de rechtszaak verder als gemeente en IT-dienstverlener er niet uit zijn gekomen. Dan valt er nieuw vuurwerk te verwachten. Vuurwerk afgevuurd door de juristen van beide partijen, maar ook door wat de rechter zegt, vraagt en uiteindelijk oordeelt.

Maar ook als er op (of voor) 27 december toch overeenstemming wordt bereikt door Hof van Twente en Switch IT, kunnen er nog knallers komen. Want wat en hoe zal een eventuele schikking behelzen? En wat betekent dat dan voor toekomstige, min of meer vergelijkbare situaties? Waarbij een klant wordt gehackt, gegijzeld, gewist. En waarbij een leverancier wel of niet verantwoordelijk wordt gehouden, of zelfs aansprakelijk gesteld.

Klant, kunde, kennis, kansen

Heel veel bedrijven, organisaties en overheidsinstanties zijn immers erg, heel erg of volledig afhankelijk van hun IT-leveranciers. En heel veel IT-dienstverleners hebben klanten die zelf dingen wel of juist niet doen en dat met weinig of geen IT-kennis. En vergeet cybercriminelen niet, die heel veel kansen zien en grijpen, met impact die in de tonnen of miljoenen kan lopen. Hoe dan ook geen natte vuurpijl.

Het maakt misschien niet eens zoveel uit of Hof van Twente en Switch IT tot een schikking komen of een gerechtelijke uitspraak in het voordeel van één van beide partijen. De klant en de leverancier zijn er in forensische onderzoeksrapporten al niet bepaald fraai uitgekomen. En hoge kosten voor herstel zijn al gemaakt. En reputaties zijn al aangetast. Twee verliezers dus. Eigenlijk al voordat de eerste etappe begon.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.