De aanval met gijzelsoftware bij de gemeente Hof van Twente was het gevolg van een zwak wachtwoord. Dat de criminelen er vervolgens in slaagden een groot deel van de gemeente plat te leggen, kwam door eerder gemaakte fouten bij de inrichting van de systemen.

Dinsdag presenteerde de gemeente verschillende onderzoeksrapporten over wat betrokkenen zelf ‘een crisis’ noemen. Die crisis begon op 1 december vorig jaar, toen bleek dat Hof van Twente getroffen was door ransomware. De aanvallers versleutelden bestanden, waardoor de gemeente er zelf niet meer bij kon. De dienstverlening aan burgers viel stil.

De hackers lieten een boodschap achter, die ook uit verschillende printers op het gemeentehuis rolde: wil je je bestanden terug, neem dan contact op via dit mailadres. Via de Volkskrant lekte uit dat de aanvallers 750.000 euro in bitcoin eisten in ruil voor de sleutel. Een opvallend hoog bedrag vergeleken met andere bekende gevallen van ransomware.

Het wachtwoord werd veranderd in Welkom2020

De specialisten die in opdracht van de gemeente onderzoek deden, komen tot de conclusie dat de aanval voorkomen had kunnen worden. Zo wijst het cybersecuritybedrijf NFIR op een server van de gemeente, die sinds oktober 2019 toegankelijk was via internet. Sindsdien werden miljoenen pogingen gedaan om via deze poort binnen te komen. Vreemd is dat niet, zegt Arwi van der Sluijs van NFIR. “Elk netwerk heeft hiermee te maken. Poorten worden gescand door het hackersgilde, maar bijvoorbeeld ook door valide dienstverleners.”

Je moet de poort daarom goed beveiligen. Dat deed Hof van Twente niet. Monitoring of er iemand binnenkwam – vergelijk het met een inbraakalarm – ontbrak. Bovendien werd in oktober vorig jaar het wachtwoord voor toegang veranderd in het voor de hand liggende ‘Welkom2020'. Drie weken later waren de aanvallers binnen, waarschijnlijk door het wachtwoord te raden.

Eenmaal binnen konden ze via die ene server toegang krijgen tot bijna alle gemeentelijke systemen. Er waren onvoldoende tussenschotten geplaatst om dat te voorkomen. Uit het technische onderzoek van NFIR blijkt dat 89 van de 124 servers van de gemeente werden gewist en dat de aanvallers er vijf versleutelden. Tot overmaat van ramp zat daar ook een back-upserver tussen.

Volgens Ellen Nauta, burgemeester van Hof van Twente, kwam de digitale aanval voor de gemeente als donderslag bij heldere hemel. “Het is duidelijk geworden dat we kwetsbaar waren en dat niet in de gaten hadden.”

Uit testen van de systeem kwam niets verontrustends

Opvallend is dat er in opdracht van de gemeente wel testen waren gedaan om de beveiliging van de systemen te controleren, maar dat daar niets verontrustends uitkwam. “Het plaatje dat werd geschetst bleek niet in overeenstemming met de werkelijkheid”, zegt Brenno de Winter, die als beveiligingsdeskundige werd ingehuurd door de gemeente. Toch wijst hij ook op het belang van voldoende kennis bij bestuurders om dergelijke technische rapportages op waarde te kunnen schatten. Volgens De Winter toont de crisis bij Hof van Twente aan dat het hoog tijd is om voldoende ICT-expertise de bestuurskamers binnen te halen.

Wie er achter de ransomware zit, is niet bekend. De politie doet nog onderzoek. De gemeente besloot geen losgeld te betalen, omdat “belastinggeld niet bedoeld is om criminelen mee te betalen”. In plaats daarvan werd het hele systeem opnieuw opgebouwd. Hoeveel de digitale aanval de gemeente uiteindelijk gaat kosten, kan de burgemeester nog niet zeggen. Volgens haar loopt het in de miljoenen.

Lees ook:

Meevaller voor de gemeente Hof van Twente: een deel van de gestolen gegevens is toch gevonden

Toen hackers begin december de IT-systemen van de gemeente Hof van Twente platlegden, dacht de gemeente een groot deel van de administratie voorgoed kwijt te zijn. Toch is een deel van de gewiste bestanden nu teruggevonden.