Beheer

Security
gemeenthuis Hof van Twente

Pentester Hof van Twente wijst terug naar gemeente

Pentest bevestigd, maar daarna “geen contact meer geweest”.

© gemeente Hof van Twente
11 maart 2021

Pentest bevestigd, maar daarna “geen contact meer geweest”.

IT-dienstverlener Sogeti reageert doorverwijzend op de verdenking dat het een pentest bij de gemeente Hof van Twente niet goed zou hebben uitgevoerd. Dat ransomwareslachtoffer heeft maanden vóór die geslaagde aanval een pentest laten uitvoeren door Sogeti. Daarin zou een IP-adres van de gemeente niet zijn meegenomen, luidt één van de constateringen in het forensisch onderzoeksrapport naar dit ingrijpende security-incident. Net via dat IP-adres zijn de gijzelnemers binnengekomen.

Het onderzoeksrapport naar de ransomware-aanval van december vorig jaar is afgelopen maandag ingediend bij de Hof van Twente. Het college van burgemeester en wethouders heeft het in handen, en gaat het nog delen met de gemeenteraad. Dat bestuursorgaan buigt zich komende maandag over het rapport, in een besloten vergadering. Daarna volgt volgens planning openbaarmaking.

Volgende week

AG Connect is getipt over elementen van dat rapport. Daarin wordt onder meer geconstateerd dat een eerder uitgevoerde pentest niet goed of niet volledig is geweest. Een IP-adres van de gemeente, wat wél in-scope van de pentest zou zijn, is niet meegenomen of niet gemeld in de eindrapportage over die penetratietest. Uitvoerder van die controle op de digitale beveiliging is IT-dienstverlener Sogeti.

De betreffende gemeente reageert op vragen van AG Connect met een doorverwijzing naar komende week. Dan staat er, op dinsdag, een persconferentie gepland over het cybersecurity-incident dat de Hof van Twente hard heeft geraakt. Ook forensisch onderzoeksbedrijf NFIR, dat het rapport heeft opgesteld, onthoudt zich nu van commentaar.

Veiligheidstest in mei

AG Connect heeft naast die twee betrokken partijen ook meteen contact opgenomen met het bedrijf dat in de NFIR-rapportage wordt genoemd als uitvoerder van de pentest. Dat is IT-dienstverlener Sogeti. De woordvoerster van dat bedrijf kon dinsdag niet gelijk antwoorden geven. Zij gaf toen aan dat er nog moet worden uitgezocht of en wat het bedrijf precies heeft gedaan voor de gemeente Hof van Twente.

Wel wist zij alvast te bevestigen dat er in mei vorig jaar op verzoek van de gemeente een veiligheidstest is uitgevoerd. Daarbij was er ook sprake van Red Teaming-actie, wat doet vermoeden dat die test meer was dan alleen een scan ‘van buitenaf’ op kwetsbaarheden. Het was dinsdag echter nog niet duidelijk of dat daadwerkelijk de pentest is waar in het NFIR-rapport van wordt gesproken.

Aanbeveling voor plan van aanpak

Nu meldt Sogeti in een reactie aan AG Connect dat de pentest van mei inderdaad datgene is waar in het NFIR-onderzoeksrapport van wordt gesproken. “Binnen overeengekomen periode heeft Sogeti destijds verslag gedaan van de bevindingen inclusief een aanbeveling voor een plan van aanpak”, luidt de officiële verklaring. “Daarna is er geen contact meer geweest tussen gemeente Hof van Twente en Sogeti over mogelijke vervolgstappen.”

De bal wordt hiermee weer bij de gemeente gelegd, die in december is getroffen door een succesvolle ransomware-aanval. Sogeti onthoudt zich nu van verder commentaar: “Gezien het overleg binnen de gemeente naar aanleiding van het onderzoeksrapport verwijzen wij je naar de gemeente voor verdere toelichting.” De IT-dienstverlener haalt hierbij zijn algemene beleid aan dat het geen uitspraken doet over klantsituaties zonder toestemming van klanten.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.