De Gemeente Hof van Twente werd vorig jaar het doelwit van een schadelijke hack, waarbij nu blijkt dat de gemeente zelf verantwoordelijk is. Het gebruikte wachtwoord, ‘Welkom2020’, was extreem zwak en gemakkelijk te raden. Dit gaf criminelen toegang tot het computersysteem en resulteerde in een gijzeling van de gemeente. Met een losgeldeis van vijftig bitcoin, destijds ongeveer 750 duizend euro, trachtten de criminelen hun doel te bereiken. De gemeente weigerde echter te betalen, wat uiteindelijk resulteerde in meer dan vier miljoen euro aan schade door vernietiging van systemen en het versleutelen of stelen van data.
Gemeente zelf verantwoordelijk
Het forensisch onderzoeksbureau NFIR concludeerde dat de hack plaatsvond vanwege het zwakke wachtwoord. Daarnaast had dezelfde systeembeheerder de firewall verkeerd geconfigureerd, waardoor een open poort naar buiten ontstond. Een extern ICT-bedrijf had de gemeente geadviseerd om de beveiliging te verbeteren, maar deze waardevolle adviezen werden genegeerd. Hoewel de gemeente aanvankelijk Switch IT Solutions verantwoordelijk hield voor de slechte beveiliging, oordeelde de rechter dat de gemeente zelf verantwoordelijk was vanwege hun lakse houding.
Switch IT Solutions was contractueel enkel verantwoordelijk gesteld voor het functioneren van servers, opslag en netwerkvoorzieningen, niet voor security-monitoring. Desondanks hebben ze adviezen gegeven om de beveiliging te verbeteren, zoals het vervangen van de anti-virus-software en het isoleren van de backup-server. Helaas negeerde de gemeente deze adviezen, evenals waarschuwingen van hun accountant en de voorganger van Switch, Previder.
CISO voldeed niet aan vereisten
De gemeente had onvoldoende aandacht besteed aan IT- en informatiebeveiliging. Slechts een halve fte was verantwoordelijk voor het systeembeheer, terwijl de persoon die zichzelf chief information security officer noemde, nauwelijks tijd aan zijn taken besteedde. De rechtbank oordeelde dat de gemeente in feite de zorgplicht van Switch had verwaarloosd.
Het is nog onbekend of de gemeente in hoger beroep gaat tegen het vonnis. Leer van dit voorval en neem maatregelen om de beveiliging van jouw organisatie te waarborgen, voordat het te laat is.
Bescherm jouw organisatie tegen hacks en datalekken
Krijg grip op de informatieveiligheid van jouw organisatie tijdens de opleiding Grip op Informatieveiligheid. Maak van jouw organisatie een digitaal weerbare organisatie, met een veilige informatieketen bestand tegen dreigingen van buitenaf! Na afloop:
- Kan je een uitvoerbaar en controleerbaar informatieveiligheidsbeleid maken
- Overzie en waarborg je alle interne en externe informatieprocessen
- Ben je voorbereid op aankomende wetgeving & toekomstige dreigingen en trends
5 dagen – start 10 nov. – meer informatie >>