Door een samenloop van omstandigheden was de beveiliging van IT-systemen en servers bij de gemeente 'Hof van Twente' niet op orde. Audits die werden uitgevoerd door externe bedrijven leverden geen signalen op dat er iets mis was met de beveiliging. Een recente penetratietest (ethische hack test) zag een zwak wachtwoord over het hoofd, waardoor de daders het netwerk van de gemeenten konden binnendringen. Maar er waren meerdere beveiligingszaken die niet goed waren geregeld.
Dat blijkt uit onderzoek van het cybersecuritybedrijf NFIR en een duidingsrapportage van beveiligingsonderzoeker Brenno de Winter. De rapporten zijn dinsdag openbaar gemaakt door de gemeente Hof van Twente.
Computersystemen gemeente infiltreren
In december vorig jaar wordt de gemeente Hof van Twente getroffen door een cyberaanval. Hackers weten de computersystemen van de gemeente te infiltreren. Daarbij versleutelen en stelen ze privacygevoelige informatie, zowel de gemeente als haar inwoners. Het gaat om de financiële administratie van de gemeente en aanvragen voor jeugdzorg en omgevingsvergunningen. Ook vertrouwelijke informatie over werk, inkomen en schulden van burgers wordt buitgemaakt. Tot slot slaagden de aanvallers er in om de back-up systemen plat te leggen. De gemeente lag op dat moment volledig plat en kon niets voor haar burgers betekenen.
Twee tot twee-en-een-half jaar
Sindsdien doet de gemeente er alles aan om de dienstverlening weer op gang te brengen. Inmiddels kunnen burgers weer bij de gemeente terecht voor basale zaken, zoals het aanvragen van een nieuw paspoort of rijbewijs of om een verhuizing door te geven. Het herstellen van andere kritische processen neemt meer tijd in beslag. Burgemeester Ellen Nauta denkt dat haar organisatie nog zeker twee tot twee-en-een-half jaar nodig heeft om alle schade te herstellen.
Na de aanval gaf de burgemeester direct de opdracht om te onderzoeken hoe dit heeft kunnen gebeuren. Daarvoor schakelde ze het Nederlandse cybersecuritybedrijf NFIR in. Beveiligingsexpert Brenno de Winter schreef een duidingsrapportage, waarin hij meer over de achtergronden van deze zaak schrijft. Hij zegt onder meer dat een beveiligingsbedrijf ‘losse aanknopingspunten’ had gevonden, maar dat deze niet de volle omvang van de aanval in kaart brachten.
Digitaal forensisch onderzoek
Uit het digitaal forensisch onderzoek van NFIR wordt duidelijk dat het een en ander goed mis was met de beveiliging. Door middel van een brute force attack wisten de hackers de IT-systemen van de gemeente binnen te dringen. Door een aanpassing in de firewall kon overal vandaan een FTP-server worden bereikt. Op deze server draaide bovendien een kwetsbare versie van het Remote Desktop Protocol (RDP). Als deze verkeerd wordt geconfigureerd of beveiligd, is het voor cybercriminelen een fluitje van een cent om toegang te verkrijgen en cyberaanvallen uit te voeren.
Wachtwoord
Het standaardwachtwoord van de FTP-server was gewijzigd, wat een goede zaak is. Het gekozen wachtwoord voor de beheerdersaccount was echter allesbehalve sterk: deze luidde Welkom2020. Een penetratietest of pentest die vlak daarvoor was uitgevoerd, bracht dit euvel niet aan het licht. Op 9 november 2020 slaagden hackers erin om het wachtwoord te raden. Daarvoor voerden ze een brute force attack uit. Deze deed dagelijks tussen de 50.000 en 100.000 inlogpogingen.
Half november installeerden de daders meerdere malafide tools, waaronder 'Cobalt Strike'. Deze malware wordt gebruikt om ransomware-aanvallen uit te voeren. De software zocht actief contact met de moederserver, ook wel Command & Control (C&C) server genoemd. De systeembeheerders van de gemeente Hof van Twente hadden dit kunnen detecteren, maar is niet gebeurd. Er is geen specifieke malware gebruikt om de systemen van servers te versleutelen. Volgens NFIR is er software ingezet die ‘legitiem gebruikt wordt om harde schijven te versleutelen’. Om herhaalde toegang tot de systemen te krijgen, maakten de hackers een inlog aan met de rechten van een systeembeheerder.
Zoveel mogelijk losgeld
Het doel dat de aanvallers voor ogen hadden, was om zoveel mogelijk losgeld te verkrijgen. Huib Modderkolk van de Volkskrant slaagde erin om contact te leggen met de daders. Volgens de journalist eisten zij omgerekend bijna 800.000 euro aan bitcoin om de decryptor te overhandigen. De Winter vraagt zich in zijn duidingsrapportage af of ‘het fungeren als boodschapper’ een invloed op de prijs heeft gehad.
De vraag hoe een organisatie als de gemeente Hof van Twente getroffen heeft kunnen worden, is beantwoord door NFIR en Brenno de Winter. Hoewel duidelijk is dat de systeembeheerders van de gemeente steken hebben laten vallen, geldt dat ook voor externe bedrijven die de beveiliging onderzochten.
Eerdere audits en tests
“Eerdere audits en tests, op verzoek van de gemeente uitgevoerd door externe bedrijven en instellingen, gaven het gemeentebestuur geen signalen dat er iets serieus mis was met de beveiliging. Er was sprake van een relatie gebaseerd op onderling vertrouwen en daarbinnen rolsonduidelijkheid tussen de gemeente en de externe partij die het beheer en de beveiliging regelde. Deze samenloop van omstandigheden maakte dat de gemeente onbewust kwetsbaar bleek voor de aanval”, zo schrijft de gemeente Hof van Twente.
Aanbevelingen
Het cybersecuritybedrijf en Brenno de Winter hebben diverse aanbevelingen gedaan om herhaling in de toekomst te voorkomen. Ze stellen voor om in de toekomst ‘bredere beveiligingsonderzoeken’ te laten uitvoeren. Een pentest moet bijvoorbeeld niet alleen vertellen wat er niet goed is, maar ook hoe zo’n bevinding tot stand is gekomen. Raadsleden zouden ook vaker kritische vragen moeten stellen aan het college van B&W over de beveiliging ‘om het onderwerp levend te houden’. Verder adviseren de beveiligingsdeskundigen om ‘een groeiplan op beveiligingsgebied’ op te stellen en regelmatig te oefenen om voorbereid te zijn op toekomstige cyberincidenten.
Burgemeester Nauta
Burgemeester Nauta is de securityexperts dankbaar voor hun aanbevelingen, maar stelt dat voldoen aan deze eisen onvoldoende is. “Criminelen zijn altijd vindingrijker. Op papier dachten we voldoende beveiligd te zijn, maar de praktijk bleek anders. Dat is een stevige les voor ons, en naar ik hoop een wake-up call voor andere organisaties. Vertrouwen is de basis van waaruit wij als gemeente werken. Daarmee zijn we in veel van ons werk heel succesvol. Maar de keerzijde van vertrouwen blijkt hier. Dat is de les die we vandaag met iedereen delen.”