Ophef over pentest bij gemeente Hof van Twente

Het onderzoeksrapport van forensisch bedrijf NFIR is afgelopen maandagochtend ingediend bij het college. Een vroege versie is vrijdag al aangeboden, waarop vragen zijn gekomen ter verduidelijking, die NFIR afgelopen weekend heeft verwerkt. Het resulterende ‘1.0-rapport’ is maandag ingediend bij het college van burgemeester en wethouders. De gemeenteraad moet deze informatie nog ontvangen en bespreken.

Aantal onderzoeken

“Wij hebben een aantal onderzoeken laten doen naar de gang van zaken. Die zijn bijna klaar en moeten nog vastgesteld worden door B&W en dan naar de raad”, reageert reputatiemanager Derk Moor op vragen van AG Connect. Hij is communicatiestrateeg a.i. met betrekking tot de datahack bij de gemeente Hof van Twente. “Naar verwachting maken we de onderzoeken aan het begin of in de loop van volgende week bekend.”

Dat strookt met de berichtgeving van dagblad Tubantia dat meldt dat de gemeenteraad het rapport aanstaande maandag bespreekt, in een besloten vergadering. Daags daarna staat er een persconferentie gepland, zo is AG Connect ter ore gekomen. Uit het onderzoeksrapport komt een aantal serieuze misstanden naar voren. Deze betreffen de gemeente zelf, maar ook IT-dienstverlener Switch IT Solutions die serverbeheer voor Hof van Twente verzorgt.

De gemeente zou niet waakzaam genoeg zijn geweest wat betreft controle op die externe IT-dienstverlener. Tegelijkertijd had dat bedrijf de beheer en back-ups niet goed op orde, bevestigt het nog niet geopenbaarde onderzoeksrapport. Zo was er wel een offsite back-up, maar was die niet offline of ondergebracht in een gescheiden netwerk. Ook op het gebied van wachtwoorden was er sprake van ondermaatse beveiliging.

IP-adres gemist

Daarnaast zou er sprake zijn van een onvolledige pentest, of onvolledige rapportage daaruit. De pentest is vorig jaar uitgevoerd bij de gemeente. AG Connect heeft vragen uitgezet bij het bedrijf dat in de NFIR-rapportage wordt genoemd als uitvoerder van de pentest. De woordvoerster van die IT-dienstverlener laat weten dat er nog uitgezocht moet worden of en wat het bedrijf precies heeft gedaan voor de Hof van Twente.

Volgens het onderzoeksrapport zou er bij de pentest een bepaald IP-adres van de gemeente zijn gemist, terwijl dat wél in de scope van deze securitytest zat. Dat IP-adres is de ingang geweest voor de hackers die in december systemen van de gemeente te grazen hebben genomen.

Deel data te redden

Afgelopen vrijdag is bekend geworden dat een deel van de verloren gegane data valt te redden. De gijzelnemers hebben namelijk één backup van de gemeente versleuteld en een andere backup gewist. Die laatste is voor redding naar dataherstelbedrijf Ontrack gebracht, dat mogelijkheden ziet om de data weer terug te halen.

“Het gaat om de servers waar gegevens van burgerzaken, sociaal domein en de financiële administratie op staan”, meldde de gehackte gemeente vrijdag. “De gegevens op de onderzochte servers blijken niet zo diepgaand gewist als in eerste instantie werd verondersteld. Dit betekent dat er mogelijkheden zijn om die data weer terug te halen.” Eerst is nog nader onderzoek nodig om te bepalen in hoeverre deze data compleet en veilig zijn.