Gehackt Hof van Twente eist in rechtbank 4 miljoen euro van systeembeheerder

Vanwege de hack in de ICT-systemen van de gemeente Hof van Twente, wil de gemeente de schade verhalen op IT-bedrijf Switch IT Solutions uit Enschede. Het gaat om een bedrag van ongeveer vier miljoen euro, bleek vandaag in de rechtbank in Enschede. "Switch heeft een wanprestatie geleverd", stelde de advocaat van de gemeente. Maar volgens het IT-bedrijf heeft de gemeente zelf de rode loper uitgelegd voor de hackers.

"Hello, need data back? Contact us fast." Hackers legden twee jaar geleden alle systemen van de gemeente Hof van Twente plat. In ruil voor een bedrag van 750.000 euro wilden de hackers de systemen weer vrijgeven, maar de gemeente weigerde in zee te gaan met de criminelen.

Tot op de dag van vandaag is de gemeente bezig met het opnieuw opbouwen van alle gemeentelijke systemen. Dat heeft ruim 4,2 miljoen euro aan gemeenschapsgeld gekost, omgerekend zo'n 120 euro per inwoner.

Wanprestatie

De gemeente wil een schadevergoeding van Switch IT Solutions uit Enschede, dat de ICT-systemen beheerde. Advocaat Anne-Wil Duthler sprak vandaag in de rechtbank van 'een wanprestatie' van het IT-bedrijf. Volgens Duthler is het bedrijf de contractuele afspraken niet nagekomen.

Ze wees daarbij op het onafhankelijke onderzoek van vorig jaar. Daaruit bleek dat hackers vanaf oktober 2019 tienduizenden inlogpogingen per dag deden op de servers van de gemeente Hof van Twente. Een maand voor de fatale hack plaatsten ze er malware, een soort virus. "Het waren oorverdovende alarmbellen, maar Switch IT deed al die tijd niets. Elk feit had moeten leiden tot actie", zei advocaat Duthler.

De eerste succesvolle poging voor de hackers volgde op 9 november 2020. Daarna werden negentig virtuele servers weggegooid en alle back-ups vernietigd. Later die maand trok Switch, dat onderdeel is van het Zweedse bedrijf Dustin, volgens de gemeente wel aan de bel.

Welkom2020

Uit het onafhankelijk onderzoek bleek dat het de hackers ook niet echt moeilijk werd gemaakt: het wachtwoord van de beheerdersaccount van de servers was 'Welkom2020'. Switch IT wees er vandaag in de rechtbank op dat het een medewerker van de gemeente was die het wachtwoord destijds aanpaste - iets dat de gemeente ook niet ontkent.

De medewerker van de gemeente wijzigde bovendien een regel in de firewall. Vanaf dat moment kon iedereen op internet verbinding zoeken met de FTP-server voor bestandsuitwisseling van de gemeente. "Door het handelen van de gemeente hadden hackers toegang tot de systemen", zei de advocaat van Switch IT, Ronald Blom, in de rechtbank.

'Zelf verantwoordelijk'

Beide handelingen - zowel het wijzingen van het wachtwoord als het aanpassen van de firewall - zouden niet bij Switch zijn gemeld. "De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen", aldus het IT-bedrijf, dat stelt dat alle schuld voor de hack bij de gemeente zelf ligt.

De rechter zei vraagtekens te hebben bij het wachtwoordbeleid van de gemeente. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter. Volgens de gemeente had zij bij het wijzingen van het wachtwoord gewaarschuwd moeten worden door Switch. "Helemaal bij zo'n belangrijk account."

Halve fte

Tijdens de rechtszaak bleek dat de gemeente blind vertrouwde op de Enschedese IT-provider: ten tijde van de hack was er slechts een halve fte verantwoordelijk voor het systeembeheer van de gemeente. "De gemeente had niet de deskundigheid in huis", verdedigde advocaat Duthler.

Aan het einde van de zitting vroeg de rechter of beide partijen samen tot een schikking kunnen komen. Besloten is om de zaak vier weken aan te houden, waarin de gemeente en Switch mogelijk alsnog samen tot een overeenstemming komen. Lukt dat niet, dan behandelt de rechter de zaak op 27 december verder.