Pentester Hof van Twente wijst terug naar gemeente

Het onderzoeksrapport naar de ransomware-aanval van december vorig jaar is afgelopen maandag ingediend bij de Hof van Twente. Het college van burgemeester en wethouders heeft het in handen, en gaat het nog delen met de gemeenteraad. Dat bestuursorgaan buigt zich komende maandag over het rapport, in een besloten vergadering. Daarna volgt volgens planning openbaarmaking.

Volgende week

AG Connect is getipt over elementen van dat rapport. Daarin wordt onder meer geconstateerd dat een eerder uitgevoerde pentest niet goed of niet volledig is geweest. Een IP-adres van de gemeente, wat wél in-scope van de pentest zou zijn, is niet meegenomen of niet gemeld in de eindrapportage over die penetratietest. Uitvoerder van die controle op de digitale beveiliging is IT-dienstverlener Sogeti.

De betreffende gemeente reageert op vragen van AG Connect met een doorverwijzing naar komende week. Dan staat er, op dinsdag, een persconferentie gepland over het cybersecurity-incident dat de Hof van Twente hard heeft geraakt. Ook forensisch onderzoeksbedrijf NFIR, dat het rapport heeft opgesteld, onthoudt zich nu van commentaar.

Veiligheidstest in mei

AG Connect heeft naast die twee betrokken partijen ook meteen contact opgenomen met het bedrijf dat in de NFIR-rapportage wordt genoemd als uitvoerder van de pentest. Dat is IT-dienstverlener Sogeti. De woordvoerster van dat bedrijf kon dinsdag niet gelijk antwoorden geven. Zij gaf toen aan dat er nog moet worden uitgezocht of en wat het bedrijf precies heeft gedaan voor de gemeente Hof van Twente.

Wel wist zij alvast te bevestigen dat er in mei vorig jaar op verzoek van de gemeente een veiligheidstest is uitgevoerd. Daarbij was er ook sprake van Red Teaming-actie, wat doet vermoeden dat die test meer was dan alleen een scan ‘van buitenaf’ op kwetsbaarheden. Het was dinsdag echter nog niet duidelijk of dat daadwerkelijk de pentest is waar in het NFIR-rapport van wordt gesproken.

Aanbeveling voor plan van aanpak

Nu meldt Sogeti in een reactie aan AG Connect dat de pentest van mei inderdaad datgene is waar in het NFIR-onderzoeksrapport van wordt gesproken. “Binnen overeengekomen periode heeft Sogeti destijds verslag gedaan van de bevindingen inclusief een aanbeveling voor een plan van aanpak”, luidt de officiële verklaring. “Daarna is er geen contact meer geweest tussen gemeente Hof van Twente en Sogeti over mogelijke vervolgstappen.”

De bal wordt hiermee weer bij de gemeente gelegd, die in december is getroffen door een succesvolle ransomware-aanval. Sogeti onthoudt zich nu van verder commentaar: “Gezien het overleg binnen de gemeente naar aanleiding van het onderzoeksrapport verwijzen wij je naar de gemeente voor verdere toelichting.” De IT-dienstverlener haalt hierbij zijn algemene beleid aan dat het geen uitspraken doet over klantsituaties zonder toestemming van klanten.