Hof van Twente kan schade ransomware-aanval niet op it-leverancier verhalen
De gemeente Hof van Twente kan de schade van de ransomware-aanval waar het eind 2020 door werd getroffen niet op de it-leverancier verhalen, zo heeft de rechtbank Overijssel geoordeeld. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd en de zorgplicht als ict-leverancier geschonden. De advocaat van de it-leverancier stelde tijdens de behandeling vorig jaar tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier.
De rechtbank is het daarmee eens. "De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."
Contract
Het voornaamste verwijt dat de gemeente de it-leverancier maakte is dat zij ondanks de tools die zij had signalen, die wezen op een cyberaanval (zoals de reset van een wachtwoord, de aanpassing van de firewall en de ongeautoriseerde inlogpogingen) en die zij ook in geval van functionele monitoring zou moeten hebben gezien, heeft gemist. Daarbij stelt de gemeente dat de contractuele verplichtingen van de it-leverancier er juist op waren gericht om signalen van risicovolle situaties te detecteren, zodat er tijdig zou kunnen worden ingegrepen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
Verder stelt de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
Wachtwoordbeleid
Security.NL meldde vorig jaar oktober dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter tijdens de behandeling vorig jaar. Ook in het vonnis wordt naar het wachtwoordbeleid gewezen.
"Het opstellen van het wachtwoordbeleid was de verantwoordelijkheid van de gemeente. De gemeente heeft niet onderbouwd op grond waarvan het afdwingen ervan en het monitoren van wijzigingen van ingestelde wachtwoorden, zeker waar het betreft een door de gemeente beheerd account, de verantwoordelijkheid was van [bedrijf 1]. Daar komt bij dat het gekozen wachtwoord ‘Welkom2020’ aan het wachtwoordbeleid van de gemeente voldeed, zodat een toets aan dat beleid niet tot een melding zou hebben geleid."
De rechter komt tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. "Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente", voegt de rechter toe.
Geen port/vulnarability scanner
Geen 2FA
Geen periodieke config verificatie
Geen bruteforce detectie of ratelimiting
Geen goede netwerk segmentatie
En wel gebruik van onveilige protocollen FTP/RDP
Ik hoop dat andere gemeenten hiervan leren en niet zo onvolwassen met de data van haar burgers zal omspringen. Aangezien er meer van dit soort gemeentelijke voorbeelden zijn ben ik in afwachting wanneer de volgende gemeente ten prooi zal vallen aan de eigen ijdelheid en het gebrek aan middelen dat men spendeert aan security vraagstukken.
Want de gemeente Hof van Twente begon een beetje als een amerikaan te klinken die de hond in de magnetron stopte om hem te drogen...
Goed dat die amerikaanse bullshit niet verder ging.
"Hof van Twente"
en
"De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."
Goed dat die amerikaanse bullshit niet verder ging.
Dat begrip ontbreekt op de vloer te vaak.
Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.
Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.
Nee, alarminstallatie installeren. En dan niet aanzetten als je weg gaat, maar wel de achterdeur van het slot laten. (of op een kier open late staan?)
Of het contract was wel toereikend, maar de aanvullende security zaken zijn niet in beheer van de gemeente geïmplementeerd en op werking gecontroleerd. Geen of ontoereikende preventie, derectie/monitoring en opvolging.
Als leverancier zou je daar vanuit je vakmanschap op moeten wijzen. Wellicht was dat gebeurd, dat is niet helemaal uit dit vonnis te halen.
Maar laat het een les zijn voor zowel klant als leverancier - wees heel duidelijk over welke verantwoordelijk door wie wordt gedragen (klant, leverancier, gezamenlijk) en benoem daar informatiebeveiliging expliciet in.
Hopenlijk leren gemeenten en andere organisaties hiervan bij nieuwe aanbestedingen.
Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.
Het is geen strafrecht - (en zelfs als het dat was) - het is geen misdrijf om incompetent te zijn.
En zolang er geen opzet in het spel is , is de werkgever degene die schade lijdt , en mag die niet verhalen op werknemers. (dat is civiel en arbeidsrecht)
Met voldoende dossieropbouw kan een werkgever uiteindelijk alleen die mensen ontslaan, en zelfs met dit nivo kan dat nog moeite kosten - dan moeten ze verbetertrajecten gehad (of geweigerd) hebben, of dit soort broddelwerk expliciteit tegen instructies in toch gedaan hebben, dat soort dingen.
In indirecte zin _zijn_ die beheerders veroordeeld : de schade wordt gelegd (/blijft liggen) bij de werkgever van deze beheerders - de gemeente, en wordt gesteld dat de schade direct te wijten is aan dit klungelwerk.
Hier ging het de rechtszaak over de vraag of de externe partij (ook) verantwoordelijk was om dit geklungel te voorkomen cq de gevolgen van dit geklungel - en de externe partij had geen contract waarin ze daar (ook) op moesten letten, dus blijft die verantwoordelijkheid liggen bij de werkgever van deze beheerders.
Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.
Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.
Mocht je je opmerking serieus bedoeld hebben: nee, zo gaat een rechter het echt niet beoordelen, die gaat een wachtwoord niet behandelen alsof die een boodschap bevat. Het gaat erom dat het wachtwoord zwak was, naast de andere fouten die gemaakt zijn.
Zelfs als de verdachten gepakt worden, zullen ze niet veroordeeld worden. De hack was in 2020, dus met de kreet "welkom", kregen ze eigenlijk een open uitnodiging om binnen te komen. En als je gasten uitnodigt bij je thuis kun je ze niet meer van een inbraak betichten.
Dat soort lulverhalen - een 'welkom' banner is geen vrijbrief om een te hacken, laat staan af te persen .
Nog minder een "geheim" password, hoe simpel ook.
De definitie in de wet computercriminaliteit is vrij simpel .
Ook een deurmat met "Welkom" geeft inbrekers of insluipers geen immuniteit .
Mocht je je opmerking serieus bedoeld hebben: nee, zo gaat een rechter het echt niet beoordelen, die gaat een wachtwoord niet behandelen alsof die een boodschap bevat. Het gaat erom dat het wachtwoord zwak was, naast de andere fouten die gemaakt zijn.
Voor de strafrechtelijke verantwoordelijkheid van de daders maakt het niet uit hoe simpel het wachtwoord was, evenmin als een inbreker korting krijgt wanneer er een gamma slot op de deur zat.
Voor civiele aansprakelijkheid van de organisaties maakt het wel (wat) uit - het wordt gezien als een verwijtbare fout, en de vraag was alleen welke organisatie (niet - welke werknemer persoonlijk) verantwoordelijk voor het maken cq niet opmerken van die fout.
Meeste vind ik wel hoor.
Wow! Top beheerders zeg. Jammer dat de rechtbank ze niet heeft veroordeeld. Dat is het zelfde als een alarminstallatie installeren maar de stroom vergeten aan te sluiten. Sjesus wat een nivo.
Lijkt er inderdaad op dat ze opzettelijk schade willen toebrengen. Volgens mij expres een wachtwoord gekozen uit een lijst die veel geprobeerd worden
Toe maar: een spatie en een punt. Het wordt al een beetje sterker. :-)
Nog een decennia en ze zijn bij de tijd.
"Hof van Twente"
en
"De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen."
Heel mooi verwoord en prachtige metaforen.
- Maarten
Ze hebben nu een ijzersterk wachtwoord. Welkom2018.
Dat verwachten de hackers nooit,,
Gelukkig, want Switch wil graag dat je geen omkijken meer hebt (naar 2020???) volgens hun website:
Een stabiele IT-omgeving is essentieel voor de continuïteit van uw bedrijfsprocessen. U moet er blindelings op kunnen vertrouwen, 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En u wilt er geen omkijken naar hebben. Switch zorgt voor een betrouwbare en veilige IT-omgeving, ook na de oplevering van een project. Beheer en support kunt u volledig aan ons overlaten. Zo kunt u zich helemaal concentreren op uw corebusiness.
Gelukkig, want Switch wil graag dat je geen omkijken meer hebt (naar 2020???) volgens hun website:
Een stabiele IT-omgeving is essentieel voor de continuïteit van uw bedrijfsprocessen. U moet er blindelings op kunnen vertrouwen, 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En u wilt er geen omkijken naar hebben. Switch zorgt voor een betrouwbare en veilige IT-omgeving, ook na de oplevering van een project. Beheer en support kunt u volledig aan ons overlaten. Zo kunt u zich helemaal concentreren op uw corebusiness.
Dat hangt ook van de klant af. Wat heeft die overgedragen, en hoeveel heeft met geïnvesteerd? Als je een oude gare omgeving erft of de klant wil niet investeren, dan wordt het heel lastig.
Indeed.. Maar vergeet niet dat de mensen in dehoge ivoren toren en die een filmpje maken geen verstand hebben van dit soort zaken. Security is blijkbaar geen chef-sache terwijl het wel zo zou moeten zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.