Cyberaanval komt gemeente Hof van Twente duur te staan.

Cyberaanval komt gemeente Hof van Twente duur te staan.

Op 25 februari 2025 heeft het gerechtshof Arnhem-Leeuwarden geoordeeld dat de vorderingen van de gemeente Hof van Twente jegens de externe ICT-dienstverleners niet toewijsbaar zijn. Dit komt doordat de externe dienstverleners niet tekortgeschoten zijn in hun contractuele verplichtingen of onzorgvuldig hebben gehandeld na een cyberaanval.

Casus

De gemeente Hof van Twente heeft in 2018 een overeenkomst gesloten met Switch IT Solutions. Switch deed het systeembeheer en aanverwante ICT-beheersdienstverlening van de gemeente. Daarnaast hebben de gemeente en Switch nog een overeenkomst gesloten die betrekking heeft op de door Switch te verzorgen diensten. Switch houdt de servers, opslagsystemen, netwerkvoorzieningen en systeemsoftware beschikbaar.

Switch heeft in de periode van 2018 tot en met 2020 meerdere voorstellen gedaan om het ICT-systeem van de gemeente veiliger te maken. De gemeente wilde een aantal servers weer in eigen beheer hebben, zodat zij ad-hoc aanpassingen konden doen. Switch gaf aan dat hier wel risico’s aanzitten. Daarnaast had de gemeente twijfels bij de Multi Factor Authentication door de gevolgen die dit met zich meebrengt.

Op 1 december 2020 heeft er een cyberaanval plaatsgevonden bij de gemeente Hof van Twente wat de gemeente ongeveer € 4,2 miljoen heeft gekost. De bedrijfsvoering en dienstverlening van Hof van Twente heeft twee weken voor een groot deel stil heeft gelegen. Ook had Hof van Twente geen toegang meer tot de gegevens van haar inwoners.

Mogelijk kregen de hackers op 9 november 2020 al toegang tot een server via het account “testadmin”. Vervolgens heeft het NFIR (Cyber Security Experts) een forensisch onderzoek gedaan naar de cyberaanval. Door middel van een ‘brute-force aanval’ hebben de hackers toegang verkregen. Hierbij hebben de hackers miljoenen inlogpogingen gedaan waarbij combinaties van gebruikersnamen en wachtwoorden worden geprobeerd. Het wachtcyber securitywoord van het account “testadmin” was gewijzigd naar “Welkom2020”. Waarschijnlijk hebben de hackers dit wachtwoord geraden, volgens NFIR.

Na het onderzoek heeft de advocaat van Hof van Twente in een brief naar Switch geschreven dat Switch toerekenbaar tekort is geschoten in de nakoming van haar verplichtingen uit de overeenkomst. De verwijten van Hof van Twente komen op het volgende neer:

  1. Switch had de vele pogingen om in te loggen kunnen voorkomen door de firewall goed in te stellen en te beheren. Ze hadden de mogelijkheid om op afstand in te loggen automatisch moeten uitschakelen na korte tijd.
  2. Switch had de vele pogingen om in te loggen moeten opmerken, zodat de cyberaanvallers gestopt konden worden.
  3. Switch had ervoor moeten zorgen dat de back-up veilig was ingesteld.
  4. Switch had een extra kopie van de back-upgegevens op een andere plek moeten bewaren, zodat deze buiten bereik van hackers bleven en de schade beperkt was gebleven.

Switch heeft tijdens de zitting toegelicht en als verweer gevoerd dat zij de firewall op basis van het principe van “whitelisting” heeft ingericht. Switch heeft benadrukt dat een medewerker van Hof van Twente zelf aanpassingen heeft gemaakt in de firewall, waardoor een server toegankelijk werd vanaf elk IP-adres vanaf het internet. Daarnaast heeft Switch met de bestaande back-up oplossing voldaan aan de door de Hof van Twente gestelde eisen.

Oordeel

Het hof oordeelde dat Switch volgens de overeenkomst met de gemeente niet meer tot taak had om te letten op beveiligingsrisico’s of beveiligingsincidenten, zoals een cyberaanval. Daarnaast had Hof van Twente een account in eigen beheer om externe leveranciers toegang te geven tot haar netwerk. Er waren tussen Hof van Twente en Switch nog geen duidelijk afspraken gemaakt over de verantwoordelijkheid van dit beheer. Wat wel vast staat is dat Hof van Twente geen gebruik maakte van de door Switch aangeleverde beveiligingstools en geen gebruik maakte van de Multi Factor Authenticator. Daarnaast had Hof van Twente een eenvoudig te raden wachtwoord, namelijk “Welkom2020” waar het Hof van Twente zelf verantwoordelijk voor was.

Kortom, Switch heeft geen contractuele verplichtingen of zorgplicht geschonden. Het Hof wees daarom  de vorderingen van de gemeente af.

Tips

  • Maak duidelijke afspraken met externe ICT-dienstverleners over verantwoordelijkheden en beveiligingstaken. Controleer ook wat er volgens de overeenkomsten de taken zijn van de externe ICT-dienstverlener. Zo kun je voorkomen dat je zelf aansprakelijk bent voor de schade van bijvoorbeeld een cyberaanval.
  • Controleer je wachtwoorden en verander deze regelmatig. Door een brute-force aanval kunnen hackers een makkelijk wachtwoord snel kraken.

Heb je  vragen over dit artikel? Neem dan contact op met de Raadgevers via service@deraadgevers.nl.

 

Bron: ECLI:NL:GHARL:2025:1046

Start typing and press Enter to search