Schade van hack bij Hof van Twente loopt in de miljoenen

De daders hebben voor zover bekend geen data, zoals persoonlijke gegevens, buitgemaakt. De cyberaanval had echter wel enorme gevolgen voor de dienstverlening van de gemeente, doordat data is vernietigd en gegijzeld. Aan het herstel van de gemeentelijke systemen wordt nog altijd gewerkt. Mogelijk is een deel van de gewiste data nog te redden, wist de getroffen gemeente begin deze maand te melden.

Viel te voorkomen

Uit nu vrijgegeven onderzoeksrapporten naar de hack komt naar voren dat deze ransomwareramp voorkomen had kunnen worden. Dit mede door een gemis bij een eerder uitgevoerde pentest. Volgens cyberspecialist NFIR en privacy-expert Brenno de Winter, die de hack hebben onderzocht, konden de cybercriminelen in de systemen komen door een tweetal fouten van de beheerders. Zo werd voor het beheerdersaccount 'testadmin' het gemakkelijk te raden wachtwoord Welkom2020 gebruikt en was de firewall opengezet voor al het verkeer van internet.

De cyberaanval werd op 1 december ontdekt toen informatie werd versleuteld en verwijderd en een bericht over losgeld in de printers verscheen. De printserver is na het afdrukken van de losgeldeis ook uitgeschakeld. Waarschijnlijk hadden de aanvallers al sinds 9 november toegang tot de systemen.

Geen MFA

Verder maakte de gemeente ook geen gebruik van een zogenoemde meerfactorauthenticatie. Dat is een extra beveiligingscheck - via bijvoorbeeld een sms - om naast een wachtwoord mee te kunnen inloggen. Ook was het netwerk van de gemeente zo ingericht dat vrijwel alle systemen toegang tot elkaar hadden, waardoor de criminelen overal bij konden.

De gemeente had eerder in het jaar de systemen nog wel laten testen op eventuele problemen en mogelijke dreigingen. Bij die pentest is onder meer een openstaande FTP-server niet ontdekt, of niet gemeld aan de gemeente. Ook is de bereikbaarheid van alle interne systemen via elk ander systeem niet gezien, of aangekaart. In de eindrapportage is als ernstigste tekortkoming één 'middelgroot risico' aangegeven. De andere tien bevindingen werden neergezet als 'laag risico' en 'informatief'.

Sporen goed gewist

De Volkskrant meldde begin december dat de criminelen 750.000 euro eisten om de bestanden weer vrij te geven. Er is nooit losgeld betaald. Het politieonderzoek heeft tot nog toe geen daders opgeleverd. Zij hebben hun digitale sporen goed weten te wissen, aldus security-expert Brenno de Winter vandaag in de persconferentie van de gemeente.