De Rode Pen over de hack “Niets aan de Hand”

17 maart 2021

Niets aan de hand

In het Financiële Dagblad staat voor de derde keer een artikel over het gehackte ICT-systeem van de gemeente Hof van Twente. Hoera, we halen de landelijke pers (maar liever niet zo). Begin december twee artikelen over de hack zelf, al een beetje ironisch. En nu een samenvattend artikel met de resultaten van een eerste onderzoek. Er zijn nu twee rapporten verschenen, een van het beveiligingsbedrijf NFIR en een van cyberexpert Brenno de Winter. De rapporten zijn door B&W openbaar gemaakt ter leringhe ende vermaeck van andere gemeenten, ‘die ervan kunnen leren’. Alsof er veel gemeenten zijn waar men zo naïef en slordig met zijn archieven omgaat, en alsof dat dus een beetje normaal was….Het is te hopen dat dat niet zo is.

Te goed van vertrouwen

Er zijn de nodige fouten, ‘slordigheden’, begaan door de gemeente. Slechte beveiliging; de server voor intern gebruik ‘zat’ ook op internet; er was naast een gammel wachtwoord ‘welkom 2020’ geen tweede’ slot’, bijvoorbeeld een code; er was geen aparte beveiligde back up, hoewel dat voorgeschreven was door de ‘Baseline Informatiebeveiliging Overheid’. Er werd ook niet nagegaan hoe vaak er werd ingelogd, of geprobeerd in te loggen, en of dat misschien verdacht was. Daardoor kon toegang tot het systeem onbeperkt ‘uitgeprobeerd’ worden.

‘Ach’, zo meldde een woordvoerder, ‘we zijn te goed van vertrouwen geweest’. Ik zou zeggen: na de nodige waarschuwingen verrekte slordig omgesprongen met privacygevoelige persoons- en bedrijfsgegevens. Zodanig dat er dagenlang geen rijbewijzen en paspoorten konden worden uitgereikt en de basis- informatie pleitte was, en niemand meer wist wat er voor informatie ‘op straat lag’ en hoe gevoelig die was.
Er bleek incompetent gereageerd vanaf het begin van de ‘storing’; te lang bleef men volhouden dat het een ‘storing’ was; er werd niet gecheckt of er ook sprake was van gijzelsoftware. In plaats van meteen alarm te slaan werd de aard van de ‘storing’ onder de pet gehouden totdat het niet anders meer kon. En daarmee ging cruciale tijd voor onderzoek en oplossingen verloren.

Geen idee

Er werd door de gemeenten niet zo snel als mogelijk een gespecialiseerd (forensisch) onderzoeksbureau ingeschakeld; op de vraag of er sprake was van gijzelsoftware werd aanvankelijk sussend gereageerd; er zou geen sprake zijn van verdwenen of gejatte privacygevoelige gegevens’, maar onduidelijk bleef wat men daarvoor voor concrete aanwijzingen had. Men had ook geen idee wat de mogelijke schade was voor bedrijven die in het gemeentebestand zaten, bijvoorbeeld met aanvragen voor vergunningen of andere gevoelige gegevens. Kortom: men zei maar wat om de zaak te sussen. “Hof van Twente, gaat u rustig slapen, net als wij”, was ongeveer de boodschap vanuit het gemeentehuis.

Het valt te hopen dat men niet alleen met de twee rapporten ‘andere gemeenten wil waarschuwen’, maar dat de gemeente Hof van Twente zelf door een wakker geworden college van Burgemeester en Wethouders wat alerter met de spullen, en de belangen van burgers, omgaat.
De Rode Pen

Bekijk ook

1 mei viering
18 april 2024

1 mei viering

In memoriam Els Blaak
06 maart 2024

In memoriam Els Blaak

Gelukkig en sociaal 2024
23 december 2023

Gelukkig en sociaal 2024

Meer berichten