De gemeente Hof van Twente kan de schade van de ransomware-aanval waar het eind 2020 door werd getroffen niet op de it-leverancier verhalen, zo heeft de rechtbank Overijssel geoordeeld. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd en de zorgplicht als ict-leverancier geschonden. De advocaat van de it-leverancier stelde tijdens de behandeling vorig jaar tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier.
De rechtbank is het daarmee eens. "De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."
Contract
Het voornaamste verwijt dat de gemeente de it-leverancier maakte is dat zij ondanks de tools die zij had signalen, die wezen op een cyberaanval (zoals de reset van een wachtwoord, de aanpassing van de firewall en de ongeautoriseerde inlogpogingen) en die zij ook in geval van functionele monitoring zou moeten hebben gezien, heeft gemist. Daarbij stelt de gemeente dat de contractuele verplichtingen van de it-leverancier er juist op waren gericht om signalen van risicovolle situaties te detecteren, zodat er tijdig zou kunnen worden ingegrepen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
Verder stelt de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
Wachtwoordbeleid
Security.NL meldde vorig jaar oktober dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter tijdens de behandeling vorig jaar. Ook in het vonnis wordt naar het wachtwoordbeleid gewezen.
"Het opstellen van het wachtwoordbeleid was de verantwoordelijkheid van de gemeente. De gemeente heeft niet onderbouwd op grond waarvan het afdwingen ervan en het monitoren van wijzigingen van ingestelde wachtwoorden, zeker waar het betreft een door de gemeente beheerd account, de verantwoordelijkheid was van [bedrijf 1]. Daar komt bij dat het gekozen wachtwoord ‘Welkom2020’ aan het wachtwoordbeleid van de gemeente voldeed, zodat een toets aan dat beleid niet tot een melding zou hebben geleid."
De rechter komt tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. "Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente", voegt de rechter toe.
