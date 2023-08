De gemeente Hof van Twente tekent beroep aan tegen de uitspraak dat het de schade van een grote ransomware-aanval die eind 2020 plaatsvond niet op de it-leverancier kan verhalen. De schade door de ransomware bedroeg vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld. Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen.

Volgens de rechtbank was de it-leverancier contractueel verplicht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. "Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."

Verder stelde de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar volgens de rechter is niet onderbouwd welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag of netwerkvoorzieningen en waarom als gevolg daarvan ook bij alleen functionele monitoring een melding zou moeten zijn gegenereerd.

De rechter kwam tot de conclusie dat de it-leverancier de zorgplicht niet heeft geschonden. De aanval was mogelijk door het aanpassen van een regel in de firewall, waardoor de RDP-poort voor iedereen op internet toegankelijk was, en het instellen van een zwak wachtwoord. Dit werd niet bij de it-leverancier gemeld. De gemeente blijft erbij dat de leverancier wel verantwoordelijk is en legt zich dan ook niet neer bij de uitspraak.

Hof van Twente gaat dan ook in beroep, zo meldt RTV Oost. Een woordvoerder van de gemeente wil geen verdere details geven, omdat de zaak onder de rechter is. Wanneer het hoger beroep dient is onbekend.