Burgemeester Hof van Twente wil betere IT-vragen kunnen stellen

De burgemeester gaat in het interview in op de hack bij haar gemeente. Hof van Twente is in december vorig jaar slachtoffer geworden van een hack waardoor systemen ontoegankelijk werden gemaakt. De gemeente ging niet in op de losgeldeis van de aanvallers en besloot de systemen eigenhandig weer op te bouwen.

Welkom2020

De hack werd onderzocht en uit rapporten die twee weken geleden bekend werden, bleek dat de hack eigenlijk best te voorkomen was. Dit niet alleen theoretisch zoals heel veel hacks zijn te voorkomen met voldoende beveiligingsmaatregelen en IT-budget. In de rapporten over de ransomware-infectie bij Hof van Twente wordt gesproken over een reeks van missers, inclusief basale securityfouten.

Zo bleek de IT-dienstverlener die de servers en backups van de gemeente beheert zijn zaken niet goed op orde te hebben. Ook heeft een pentest maanden voor de aanval een FTP-server met testaccount gemist. En ook de cyberbeveiliging van de gemeente liet te wensen over, voor het beheerdersaccount 'testadmin' werd bijvoorbeeld het wachtwoord Welkom2020 gebruikt. Dat an sich niet bepaald veilige wachtwoord was toen wel in overeenstemming met het securitybeleid bij de gemeente.

Nauta zegt dat de gemeente kennelijk leefde in een fantasiewereld. “Bij de gemeentelijke financiën is alles geregeld. Een accountant, een auditor, noem maar op. Controle op controle. Voor ICT hebben we veel minder, in elk geval niets betrouwbaars. We hebben tweefactorauthenticatie ingevoerd op sommige systemen en we werkten met beveiligde mail. We hebben een penetratietest laten uitvoeren, ik heb audits laten houden, maar er waren geen signalen.”

Schijnzekerheid

De audits en penetratietest gaven schijnzekerheid. “We waren te goed van vertrouwen. Die les moeten we met z’n allen uit deze cyberaanval trekken.” Volgens haar is het niet erg om afhankelijk te zijn voor je ICT, maar moet je als gemeenten wel de juiste vragen kunnen stellen zodat je niet op het verkeerde been wordt gezet.

Ze denkt daarom aan een intensievere samenwerking tussen gemeenten en veiligheidsregio’s. “Als gemeenten gezamenlijk kunnen we veel meer dan we denken. Grote gemeenten zouden kleine gemeenten kunnen helpen. Ik heb drie fte’s voor systeembeheer, maar ICT is wel onze core business, hè? We zitten op een bulk data waar je beroerd van wordt. Daar móet iets tegenover staan. Dat is digitale veiligheid.”

Lees het volledige interview met burgemeester Ellen Nauta op de website van Binnenlands Bestuur.