Beheer

Security
Hof van Twente

Gemeente Hof van Twente wil schade aanval verhalen op ICT-leverancier

'Leverancier leverde wanprestatie.'

© gemeente Hof van Twente
30 november 2022

'Leverancier leverde wanprestatie.'

De gemeente Hof van Twente wil de schade van een aanval in 2020 verhalen op IT-bedrijf Switch IT Solutions uit Enschede. Volgens de gemeente leverde de IT-leverancier een wanprestatie. Het IT-bedrijf stelt daarentegen dat de gemeente fouten heeft gemaakt.

Gemeente Hof van Twente meldde op 4 december 2020 dat aanvallers waren binnengedrongen in hun systemen. De servers werden vervolgens ontoegankelijk gemaakt. In september dit jaar liet de gemeente weten dat het bijna klaar was met de herstelwerkzaamheden van de systemen. De schade is ondertussen uitgekomen op 4,2 miljoen euro. 

Nu heeft de gemeente dus IT-bedrijf Switch IT Solutions voor de rechter gesleept, in een poging de schade op hen te verhalen, meldt RTV Oost. Switch IT is een IT-consultancybedrijf, dat onder meer diensten rondom security levert. Maar volgens de advocaat van Hof van Twente is het bedrijf contractuele afspraken niet nagekomen. Hackers zouden bijvoorbeeld vanaf oktober 2019 al tienduizenden inlogpogingen per dag gedaan hebben op de servers van de gemeente en een maand voor de aanval werd malware geplaatst. Switch IT miste die signalen echter. "Elk feit had moeten leiden tot actie", aldus de advocaat.

Op 9 november volgde een succesvolle aanval en pas later die maand trok Switch IT aan de bel.

Wachtwoord: Welkom2020

In maart 2021 bleek uit een rapport dat de ransomware-aanval inderdaad te voorkomen was. Zo had de IT-dienstverlener die de servers en backups van de gemeente beheert, zijn zaken niet goed op orde. Daarnaast waren er fouten gemaakt door de dienstverlener die in mei 2020 een pentest uitvoerde, waarin geen grote beveiligingsproblemen zijn geconstateerd. Dat terwijl de FTP-server waarlangs de criminelen zijn binnengekomen wel is meegenomen in de pentest.

Maar uit die rapportage bleek ook dat de gemeente zelf steken heeft laten vallen. Het wachtwoord van het beheerdersaccount van de servers was namelijk 'Welkom2020'. De aanvallers wisten dat wachtwoord met een bruteforce-aanval te raden en te wijzigen, waarna ze eind november een verkenning van het interne netwerk hebben ondernomen. 

Switch IT stelde in de rechtbank verder dat een medewerker van de gemeente bovendien een regel in de firewall wijzigde, waardoor iedereen op internet verbinding kon zoeken met de FTP-server voor bestandsuitwisseling van de gemeente. Daardoor hadden de aanvallers toegang tot de systemen, stelt de advocaat van Switch IT. Beide handelingen zouden niet bij Switch gemeld zijn. En volgens de leverancier was de gemeente zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen.

Rechter vraagt om schikking

Ook de rechter vindt dat de gemeente het wijzigen van zijn wachtwoord had moeten melden bij Switch. De rechter heeft dan ook gevraagd of beide partijen tot een schikking kunnen komen. Lukt dat niet binnen vier weken, dan wordt de zaak op 27 december verder behandeld. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.