Hof van Twente te goed van vertrouwen
Leveranciers en audits waarschuwden onvoldoende
De aanval met ransomware die cybercriminelen eind vorig jaar uitvoerden op de gemeente Hof van Twente demonstreert hoe kwetsbaar kleine gemeenten zijn. Als op het gemeentehuis niet duidelijk is hoe systemen werken, leveranciers en beveiligingsonderzoeken niet de juiste signalen geven en de externe beheerder zaken op zijn beloop laat, kan het ondanks nodige maatregelen heel erg misgaan.
De geplaagde gemeente gaf gisteren volledige opening van zaken. Burgemeester Ellen Nauta lichtte onderzoeksrapporten van forensisch onderzoeker NFIR en cyberdeskundige Brenno de Winter toe die voor vele betrokkenen pijnlijk zullen zijn. Ook de gemeente zelf kwam met een rapport van bevindingen. Hof van Twente dacht dat de zaakjes prima op orde waren. Ze vertrouwde op haar leveranciers, audits en stuurinformatie. Ten onrechte, blijkt nu.
Uit de rapportages komt naar voren dat bij de gemeente ernstige fouten zijn gemaakt. De eigen systeembeheerder van de gemeente veranderde medio oktober 2020 het wachtwoord van een beheerdersaccount in het makkelijk te raden ‘Welkom2020’. Een jaar eerder had hij de firewall foutief aangepast waardoor de poort naar buiten open kwam te staan.
De ftp-server voor bestandsuitwisseling was voor iedereen toegankelijk. Hackers deden dagelijks 50.000 tot 100.000 inlogpogingen. Na enkele dagen hadden ze beet. Omdat het ontbrak aan meerlaagse beveiliging betekende het raden van het wachtwoord ook daadwerkelijke toegang.
Het ontbrak ook aan afscherming met een vpn, waardoor iedereen naar het gemeentelijke netwerk kon gaan. Tot overmaat van ramp bleek het mogelijk de backups te vernietigen. De gebrekkige inrichting van de infrastructuur maakte de verdere aanval mogelijk waarbij zowat de hele gemeente platging.
Forensisch onderzoeker NFIR ontdekte dat vrijwel alle systemen toegang tot elkaar hadden. Van netwerksegmentatie was geen sprake. Ook de monitoring faalde. De signalen waren zo zwak dat niet tijdig actie werd ondernomen. De aanvaller had alle tijd om backups buiten het netwerk van de gemeente te vernietigen en lokale backups te versleutelen.
