Hof van Twente in beroep tegen uitspraak over schade ransomware-aanval
De gemeente Hof van Twente tekent beroep aan tegen de uitspraak dat het de schade van een grote ransomware-aanval die eind 2020 plaatsvond niet op de it-leverancier kan verhalen. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.
Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."
Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.
De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.
Hof van Twente gaat dan ook in beroep, zo meldt RTV Oost. Een woordvoerder van de gemeente wil geen verdere details geven, omdat de zaak onder de rechter is. Wanneer het hoger beroep dient is onbekend.
Jammer dan, moet je maar niet aan de systemen komen.
TheYOSH
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .
Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .
Heel mensen spelen in loterijen met een veel kleinere winstkans.
Jammer dan, moet je maar niet aan de systemen komen.
TheYOSH
Sinds dat Hilversumse bedrijf (O'Cliance) ligt het niet altijd ZO zwart wit en is de zorgplicht voor leveranciers verder opgerekt dan velen verwacht hadden.
Ik verwacht het niet meteen hier (waarschijnlijk wordt van de gemeente meer eigen deskundigheid verwacht dan van een administratiekantoor) , maar die zaak in Hilversum leek ook zo simpel als jij het stelt , en daar viel de beslissing in het voordeel van de klant .
Het is al lang duidelijk hoe incompetent je als gemeente bent gebleken daar doet een uitspraakje (mogelijk) in jouw voordeel niks meer aan af.
Het gaat niet om de competentie, maar om de centen . Er is tig miljoen schade, en als de leverancier _wel_ aansprakelijk is, moet die schade door hen betaald worden . Nu ligt de schade bij de gemeente, wegens 'eigen schuld' .
Ook al is de kans op gelijk krijgen behoorlijk klein - het is een gok met kans op grote winst .
Heel mensen spelen in loterijen met een veel kleinere winstkans.
In een loterij is het echt een winstkans... Hier is het meer een (kleine) kans op geen verlies...
De gemeente heeft er bewust voor gekozen een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding. Bij de aanvang van de overeenkomst heeft [bedrijf 1] gewezen op de risico’s hiervan. Ook in het voorstel voor back-up hardening wordt nu juist gewaarschuwd voor een hack zoals die bij de gemeente daadwerkelijk heeft plaatsgevonden. De accountant van de gemeente heeft vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en cyberaanvallen. Desalniettemin heeft de gemeente volhardt in haar keuzes.
[bedrijf 1] heeft (vanuit haar adviesrol) voorstellen op het gebied van back-up hardening (met de optie van een back-up bij [bedrijf 1], die niet benaderbaar zou zijn via de internetverbinding van de gemeente) en anti-virus maatregelen gedaan, maar daar is de gemeente niet op ingegaan, kennelijk uit kostenoverwegingen. In zoverre heeft de gemeente de invulling van de zorgplicht door [bedrijf 1] in feite verhinderd.
De cyberaanval is (mede) mogelijk gemaakt door twee onzorgvuldigheden aan de zijde van de gemeente: i) een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet, en ii) een medewerker van de gemeente heeft een zwak nieuw wachtwoord ingesteld. Beiden hebben daarvan geen melding gemaakt bij [bedrijf 1]. Het zwakke wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente.
Gelet op het vorenstaande is de rechtbank van oordeel dat, voor zover er buiten de op basis van de Europese aanbesteding gesloten overeenkomst nog een aparte zorgplicht via artikel 6:162 BW kan gelden, [bedrijf 1] die zorgplicht niet geschonden heeft.
Ik ken natuurlijk niet alle details maar ik zie hier weinig ruimte dat de gemeente alsnog gelijk krijgt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.