Hof van Twente eist schadevergoeding van 4 miljoen euro van IT-bedrijf Switch

De gemeente Hof van Twente eist een schadevergoeding van ruim 4 miljoen euro van systeembeheerder Switch voor het leveren van 'wanprestaties'. De gemeente werd twee jaar geleden getroffen door ransomware waardoor systemen onbruikbaar werden.

In de rechtbank in Enschede eist de gemeente dat IT-bedrijf Switch IT Solutions opdraait voor de geleden schade na de ransomwareaanval, meldt RTV Oost. Volgens de advocaat van de gemeente heeft het bedrijf een wanprestatie geleverd en is het contractuele afspraken niet nagekomen. De gemeente Hof van Twente werd in december 2020 doelwit van een ransomwarebende, die 750.000 euro losgeld eiste. De gemeente weigerde te betalen en volgens de gemeente is het de volledige IT-infrastructuur kwijtgeraakt.

Uit onderzoek blijkt dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente Hof van Twente, die niet werden opgemerkt door Switch. Ook zou het bedrijf niet opgemerkt hebben dat hackers malware plaatsten op de servers van de gemeente een maand voor de ransomwareaanval.

IT-bedrijf Switch zei in de rechtbank dat door het handelen van de gemeente de hackers toegang konden krijgen tot de server. De gemeente zou zelf te simpele wachtwoorden hebben ingesteld voor beheerdersaccounts en regels voor de firewall hebben aangepast.

De rechter heeft gevraagd aan de gemeente en Switch om tot een schikking te komen. Als dat niet binnen vier weken lukt, wordt de rechtszaak op 27 december voortgezet.

Door Robert Zomers

Redacteur

29-11-2022 • 19:19

191 Linkedin

Submitter: GEi

Reacties (191)

191
190
68
10
0
112
Wijzig sortering
Een van de weinig keren dat ik hoor dat een overheidsinstantie een IT bedrijf voor de rechter sleept. (of ik heb iets gemist)

Klinkt als heftige wanprestaties als het zo ver komt.

Maar hoewel het echt niet leuk is voor de betrokkenen, ben ik wel van mening dat IT bedrijven beter hun best moeten gaan doen voor klanten. Ik heb sterk het gevoel dat de urgentie (en vaak ook kennis van zaken) mist en eigen gewin voor gaat.

In een vorig leven heb ik voor gemeentes en provincies gewerkt waar anderen mij voorgingen, en man wat een slechte omgevingen. Gewoon geen kennis van NTFS rechtensystemen, Firewalls enz.
Maar ja, ik zal vast ook niet alles goed doen.

Hoe dan ook, ik zou blij zijn als alle bedrijven opgeschud worden en zich beter gaan inzetten vóórde klanten.
De gemeente is gehackt mede doordat een slimmerd van de gemeente "Welkom2020" op een beheerdersaccount had gezet en de FTP-server wijd open had gezet zonder het IT-bedrijf daarvan op de hoogte te stellen. De gemeente vindt dat voor "zo'n belangrijk account" een betere waarschuwing voor een veilig wachtwoord had moeten verschijnen. De gemeente zelf had een halve FTE aan automatisering besteed en liet verder alles over aan dit enkele bedrijf. Er was blijkbaar geen capaciteit om te verifiëren dat het bedrijf hun verzoeken goed afhandelde.

De enige manier om dit te voorkomen, is de beheerrechten wegnemen bij de gemeente zelf. Helaas is het effect daarvan waarschijnlijk dat ze een andere dienstverlener zoeken die wel moeilijke wachtwoorden afdwingt.

Persoonlijk vind ik dat de gemeente moet accepteren dat domme beslissingen op overheidsniveau consequenties hebben. Ik lees erg veel over hoe erg het allemaal is, maar erg weinig over bijscholing voor de mensen die zulke cruciale fouten hebben kunnen maken. Dit zal niet de eerste domme ambtenaar met beheerdersrechten zijn, dus laat ze dat advocatuurgeld lekker besteden aan een cursus voor hun medewerkers.

Ik weet niet welke beunhaas hier met het beheerdersaccount heeft lopen spelen, maar ik krijg het idee dat de gemeente die persoon een hand boven het hoofd wil houden door de dienstverlener aan te klagen zodat ze kunnen roepen "kijk, Persoon had niet beter kunnen weten, het is de schuld van het bedrijf!".
De gemeente is gehackt mede doordat een slimmerd van de gemeente "Welkom2020" op een beheerdersaccount had gezet en de FTP-server wijd open had gezet zonder het IT-bedrijf daarvan op de hoogte te stellen. De gemeente vindt dat voor "zo'n belangrijk account" een betere waarschuwing voor een veilig wachtwoord had moeten verschijnen.
Toon maar aan dat de IT partij de gemeente met klem heeft verzocht backup op tape EN immutable backups te maken, dat de gemeente naast zich neer heeft gelegd. Kunnen ze zeker niet?

Hiernaast, ik durf te wedden dat de FTP wellicht een rol heeft gespeelt, maar niet het meest belangrijk is geweest in dit schandaal. Ik geloof er niks van dat hackers hiertoe toegang kregen en daarna de hele omgeving konden versleutelen, daar is meer voor nodig! Wie weet komt het echte verhaal nog.
De gemeente zelf had een halve FTE aan automatisering besteed en liet verder alles over aan dit enkele bedrijf. Er was blijkbaar geen capaciteit om te verifiëren dat het bedrijf hun verzoeken goed afhandelde.
En dat is hun goedrecht! Als hun IT inhuur voldoet aan alle normeringen, mag je er toch vanuit gaan dat zij hun zaakjes op orde hebben?? Vele IT bedrijven hebben normeringen zoals de NEN 7510, ISO 9001, 27001, ISAE 3402, de BIO enz.

Natuurlijk blijken ze, puntje bij paaltje, dit tussen de mazen van de normering gehaald te hebben, wedden? De certificeringsinstanties kijken dan natuurlijk ook niet echt goed bij hun klanten, ze flessen de boel voor veel geld, want ja, ze moeten hun bestaandsrecht wel blijven verkopen he? En de bedrijven die dit afnemen vinden dit natuurlijk prima, want die hebben weer een certificaatje erbij voor de show. Ja, ik heb dit zien gebeuren (op kleine schaal).


Voor de duidelijkheid, Switch IT heeft dus inderdaad, zoals ik al verwachtte, ISO 9001:2015, 14001:2015, 27001 en NEN 7510. Niet echt verassend he? Wat een vreselijke wassen neus!

offtopic:
Die normeringen moeten verboden worden. Men gaat nu uit van valse veiligheid! Leuk die normen, maar als iedereen de boel flest heeft het nog weinig zin. Je kan natuurlijk de controlerende instanties aanpakken, maar dan moet je echt heel, heel goed gaan controleren. En zie dat niet goedkomen.
De IT-beheerder kan dat waarschijnlijk wel aantonen, als ze dat gedaan hebben. Ze hebben ook gewoon mailboxen met een postvak-UIT.

In het rapport over dit incident, geschreven door Brenno de Winter('s bedrijf), lees ik het volgende:
Twee fouten geven toegang. Op 15 oktober 2020 wordt het wacht-
woord van een beheerdersaccount aangepast naar Welkom2020. Dit is
makkelijk te raden. Op 29 oktober 2019 wordt een regel in de firewall
aangepast. Vanaf dat moment mag iedereen op internet verbinding zoe-
ken met een server voor bestandsuitwisseling (FTP-server). Op deze
machine draait een kwetsbare versie van het Remote Desktop Protocol
(RDP). Van af het moment dat dat is gedaan, worden er iedere dag tus-
sen de 50.000 en 100.000 inlogpogingen gedaan. De eerste succesvolle
poging blijkt op 9 november 2020 te zijn.
Ik denk dat we wel met zekerheid kunnen zeggen dat die FTP-server met de aanval te maken heeft gehad.

We zullen zien wat de rechter ervan vindt. Ik vind het behoorlijk brutaal om voor zoiets de dienstverlener aan te klagen. De dienstverlener had de server moeten patchen maar de gemeentemedewerker had de firewall niet uit moeten zetten. De pentest van dat jaar merkte de FTP-server ook niet op, dus als deze rechtszaak mislukt kan de gemeente daar nog aankloppen.

Die vage certificeringen kosten bakken met geld. Auditors zijn niet goedkoop. Ze worden behaald omdat de klanten ze vereisen, niet andersom. In veel van die normeringen zitten nog wel wat goede dingetjes waar meer bedrijven wat mee mogen doen (disaster recovery plan, inventaris van bedrijfsprocessen, incidentmeldingen loggen, ga maar door) maar de audit zelf is natuurlijk vooral vinkjes aftikken.
Ah, ik vindt sowieso dat ze het woord 'FTP' er uit zouden moeten laten, dit vertroebelt. Het gaat om een server met (een oude versie van) RDP waar men toegang toe kreeg. Dat verklaart een stuk meer!

Wat ik nog veel interessanter vindt is dit stuk uit dat rapport:
"NFIR concludeert dat de fouten van de beheerders hebben geleid tot toegang. De inrichting van de infrastructuur heeft de verdere aanval mogelijk gemaakt. Zo hadden vrijwel alle systemen toegang tot elkaar."

Ik heb maar twee quotes uit het artikel gelezen die een 'schuld' moeten betekenen, maar echt duidelijk wordt dit punt niet. Het lijkt een gevecht te gaan worden tussen simpel wachtwoord/openzetten van de server VS onveilige RDP/geen netwerksegementatie/geen MFA.

Zou mij niks verbazen dat ze beide 50/50 verantwoordelijk zijn en Switch hierom 50% zal schikken. Tijd zal het leren.

Bron is trouwens hier: https://www.hofvantwente.nl/fileadmin/files/hofvantwente/inwoners/actueel/Te-goed-van-vertrouwen.pdf
Wat ik alleen niet helemaal snap; als ik de ftp open zet voor het wereldwijde internet, dan is daarmee toch niet automatisch de RDP-poort ook open gezet? Er lijken wat technische details te ontbreken in het artikel.
Nee, het hele FTP-stuk zou eruit moeten. Dat lijk het doel van de server te zijn, met RDP als een beheerder ingang. Dit laatste is hetgeen wat misbruikt is.

Maar het FTP stuk is waar iedereen nu naar kijkt, wat onterecht is.
Er staat nergens dat de FTP open is gezet als je het tenminste hebt over het stuk van RTV Oost. Daar staat letterlijk dat iedereen op het internet contact kon zoeken met de FTP-server, niet dat het specifiek om de FTP service zou gaan.
Ga je vervolgens lezen in het rapport dat door je voorganger ook gelinked is kun je weer lezen dat er heel veel poorten open stonden op/naar de FTP server waardoor er veel meer mogelijk was dan FTP en RDP.
Er lijken wat technische details te ontbreken in het artikel.
Zoals ik heb begrepen heb, heeft men niet een 'port forward' regel gemaakt (dus enkel tcp 21) maar een 'host forward' regel. Alle poorten die dus beschikbaar waren, werden doorgezet naar een host.

Niet een heel vreemde fout gezien de soms rare en complexe firewall interfaces. Als je niet weet wat je doet dan is een fout zo gemaakt. En als het werkt, prima toch? :o
De firewall interface hoeft dan ook niet bepaald door een leek begrepen kunnen worden. Dat er een of andere ambtenaar zonder kennis denkt zelf wel even snel de firewall aan te passen ligt toch echt bij de gemeente dat ze dit toestaan. Waarschijnlijk hebben zij deze toegang ook gewoon afgedwongen bij het betreffende IT bedrijf.
Tja, meestal heeft zo'n gemeente maar 1 of 2 IT medewerkers. Dat hun dingen zelf doen is niet heel ongewoon. Ze hebben in ieder geval zeker geen specifieke medewerker voor firewall's. Kleine IT boeren zoals Switch verkopen ook alles wat los en vast zit (Sophos UTM, Watchguard, Fortigate, Sonicwall) meestal afhankelijk van wat de kickback op dat moment is. Dus zelfs als een Switch medewerker de wijziging had gemaakt, dan was het nog niet zeker dat ze wisten wat ze deden. Het is ook een van de zaken die mij frustreerde bij mijn oud werkgever. De enige reden waarom wij de firewall zaken uitvoerden was omdat de beheerders niet eens wisten hoe ze in moesten loggen op het apparaat (ook bij gemeenten).

Dat er een of andere ambtenaar zonder kennis denkt zelf wel even snel de firewall aan te passen ligt toch echt bij de gemeente dat ze dit toestaan.
Ja, volledig hun fout dan. Maar goed, hoe staat het allemaal op papier? Dat is nu de vraag die in de rechtszaal (hopelijk) beantwoord mag worden.

Waarschijnlijk hebben zij deze toegang ook gewoon afgedwongen bij het betreffende IT bedrijf.
Persoonlijk denk ik niet eens dat daar afspraken over gemaakt zijn. Zulke omgevingen hebben meestal een account op de firewall staan die gedeeld wordt met alle IT-ers.
In principe zou het delen van accounts natuurlijk helemaal niet mogen. Bij ons hebben alle beheerders en eventuele leveranciers een eigen account. Met op het account alleen de rechten die voor hun van toepassing zijn.

Het zou goed zijn als ook gemeentes en andere overheidsinstellingen gewoon het voorbeeld gaan volgen van de diverse onderwijsinstellingen en door de accountants ook op dit soort punten beoordeeld gaan worden. Het NBA kader voor het onderwijs heeft de organisatie duidelijk gemaakt waarom een goede informatiemanagement afdeling zo belangrijk is en dat het bestuur ook verantwoordelijk is voor bepaalde zaken. En dat ze er niet mee weg kunnen komen door te zeggen dat het een IT feestje is
In principe zou het delen van accounts natuurlijk helemaal niet mogen.
Begrijp me niet verkeerd, ik voer ook least-privilege door waar dat kan en gebruik named users. Maar ik weet heel goed hoe het er in de praktijk aan toe gaat. Het gaat meestal al mis bij de aankoop van het apparaat gezien er geen technici meekijkt en er eigenlijk geen inhoudelijke kennis is bij beide partijen. Vaak is het simpelweg een vinkjes wedstrijd.

Het zou goed zijn als ook gemeentes en andere overheidsinstellingen gewoon het voorbeeld gaan volgen van de diverse onderwijsinstellingen en door de accountants ook op dit soort punten beoordeeld gaan worden.
Haha, kijk in gemeenteland heeft met de BIO. Alle dingen die we hier benoemen zijn al vastgesteld en verplicht. Ook wordt hier door dure accountants op 'ge-audit'. Maar zoals je hier ook leest is dit een gigantische opstapeling van teleurstelling. Meestal weten de IT-ers nog iets van IT maar die auditeurs zijn gewoon stand-up commedy. Om @Urk te quoten:
Had laatst een auditor die vroeg of onze internet verbinding via glasvezel of via een API verloopt.
Toen ik vroeg of hij met API Application Programming Interface bedoelde bevestigde hij dat. |:(


Dus alle regelgeving is er wel, alle audits worden wel uitgevoerd, alles is theoretisch prima voor elkaar. En dan zie je de omgeving en die hangt erbij... Dat komt daarnaast ook vaak door de gebruikte software die soms wel decennia oud is.

Het onderwijs heeft veel 'geluk' in IT. Nieuwe software is goedkoop (SURF) en men wordt daarmee gedwongen om continue te vernieuwen. Er is in iedergeval incentive. En kijkende naar cloudsofware van Google of Microsoft, daar is het gewoon goed voor elkaar. MFA afdwingen is een fluitje van een cent.
En dan kom je in overheidsland, daar is nog steeds discussie of ze wel cloud moeten gebruiken. De meest frankenstein oplossingen worden gebouwd om maar om verantwoordelijkheid heen te werken. Ik zag een paar jaar geleden een Office 365 ProPlus uitrol waar alle online onderdelen wou uitschakelen. Lekker goedkope deal door inkoop afgesloten. Toen ik ze vertelde dat het een cloud product was (de offline variant heet gewoon office) en dat ze altijd moesten inloggen bij Microsoft, keek men mij aan alsof water brande.

En dat ze er niet mee weg kunnen komen door te zeggen dat het een IT feestje is
Wat ik uiteindelijk wil zeggen is dat de regelgeving er allemaal al is. Maar het is overheid en in hun hart en nieren zullen ze er alles aan doen om niemand ergens verantwoordelijk voor te laten zijn. Het gaat zelfs zo ver dat ambtenaren wettelijk toch totaal onschendbaar zijn. Hoeveel ambtenaren zijn vervolgt voor het toelagen schandaal?
Dat er een of andere ambtenaar zonder kennis denkt zelf wel even snel de firewall aan te passen ligt toch echt bij de gemeente dat ze dit toestaan. Waarschijnlijk hebben zij deze toegang ook gewoon afgedwongen bij het betreffende IT bedrijf.
In de eerste zin doe je een constatering (“dat ze dit toestaan”) die niet op de voor ons als buitenstaanders beschikbare informatie gebaseerd is. In de tweede zin doe je een aanname (“waarschijnlijk hebben zij deze toegang afgedwongen”) die eveneens niet onderbouwd is. In het Engels wordt die manier van redeneren jumping to conclusions genoemd.
Er is in de informatie vrij duidelijk te lezen dat eeen van een ambtenaren een host regel heeft ingesteld ipv een specifieke regel waardoor alle protocollen naar de server open stonden. En dat is in al die tijd ook niet opgevallen. Een professional zou dit nooit zomaar doen.

Zelfde als het wachtwoord Welkom2020 gebruiken voor je beheer accounts.

Dat klinkt toch echt als zonder enige verstand van zaken zelf dingen proberen uit te voeren. Bij ons krijg je geen beheer toegang totdat je over voldoende kennis beschikt. En dan nog zullen er van tijd tot tijd steekproeven gedaan worden op kritieke en extern exposed diensten
FTP is nu ook niet heel erg firewall vriendelijk.

Dit is vaak op te lossen icm een FTP Proxy of applicatie proxy achtige dingen.

En inderdaad, zoals je zelf aangeeft, dit loste waarschijnlijk het probleem wel op.
Nu je het zegt, daar heb ik decennia geleden inderdaad ook wel eens mee zitten troubleshooten.
TCP poort 20 moet ook open afhankelijk van de server, Active / passive FTP is ook problematisch, laat staan dat je eigenlijk met SSL certificaten aan de gang moet (SFTP/FTPS)

Nu ik er langer over denk, ze waren eigenlijk verplicht om SFTP op te zetten (dus SSH) en wie gebruikt er eigenlijk nog FTP in het jaar 2020? Het is een waardeloos protocol, uitgefaseerd door iedere browser en iedereen met enige ervaring kiest voor alternatieven als rsync.

Nu ben ik benieuwd wat ze wilden bereiken met een FTP server in het jaar 2020 :D
Wordt best nog wel eens gebruikt voor automatische data uitwisselingen tussen verschillende bedrijven/interfaces/applicaties.

Al gebruikt men daar steeds meer inderdaad SFTP voor, met SSH Keys natuurlijk en eventueel IP Whitelisting.
Het was volgens security.nl een (bestaande) FTP server (al dan niet met een open FTP poort naar buiten) waarbij de RDP poort is opengezet. De RDP versie was oud en kwetsbaar op deze server (reden onbekend)
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond.
verder nog interessant is
Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.
Dus de vraag is
- wie heeft de firewall open gezet in 2019, ik vermoed dezelfde persoon als bij punt 2, op in opdracht van die persoon
- wie heeft dat wachtwoord gereset in 2020 en daarna niet veranderd naar een sterk wachtwoord, en heeft nagelaten de juiste maatregelen (bv mfa) voor bescherming te nemen. (Dat was iemand van de gemeente dus)

Sec het niet updaten van de FTP server hoeft niet nalatig te zijn, misschien is er een goede reden voor bijvoorbeeld als de FTP software niet op een hogere versie windows kan draaien en heeft men dit met de opdrachtgever (gemeente afgestemd).

Afhankelijk van de verantwoordelijkheden van de externe partij volgens het contract, verwacht dat ze wel voor security monitoring verantwoordelijk zijn en had men deze aanvals pogingen moeten detecteren

Daarover staat deze quote in het zelfde artikel
"De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen", aldus de advocaat van de it-leverancier.
verder staat in een eerder artikel dat de gemeente in 2018 en 2019 als was gewaarschuwd voor het (slechte) wachtwoordbeleid
In 2019 constateert de accountant dat op een aantal punten vooruitgang is geboekt, maar dat er nog aandacht nodig is voor it-beheer en wachtwoordbeleid.
Zoals anderen al opmerken zonder de verantwoordelijkheden en afspraken tussen de partijen te weten valt er weinig over de schuld vraag te zeggen. Ik hoop dat ze alles goed hebben vastgelegd....

[Reactie gewijzigd door jeanj op 30 november 2022 13:11]

Maar laten we een belangrijke fuck-up ook niet vergeten, er waren blijkbaar nergens backups van. Ik weet de reden niet, maar blijkbaar was er nergens een cold-storage ofzo, anders hadden ze vrij snel weer up en running kunnen zijn, en was hun schade een fractie van nu, en had Switch IT dit kunnen oplossen en misschien zelfs ruim factureren.
Blijkbaar waren er wel backups maar niet extern en waren deze niet te gebruiken omdat ze/de bestanden versleuteld waren of beschadigd (oorzaak niet duidelijk)
Verder bleek dat er van de back-ups geen kopie was op een externe locatie. De back-ups zijn deels vernietigd en deels versleuteld. Ook de back-ups bij de leverancier die de hosting van een deel van de systemen uitvoerde.
Ja maar dat is toch al fout 1? Veel bedrijven hebben hun hele serverpark gespiegeld op een tweede locatie. Maar minstens wil je een offsite backup, desnoods eentje per maand...
Niet zonder meer, het is altijd een afweging tussen geld en risico.

Misschien had men de backups wel naar een eigen tweede locatie, geen idee, er is te weinig informatie om een goed oordeel te geven of het goed of fout was, en wie daar aan schuld had…. Ook is het de vraag waar de verantwoordelijkheid lag voor het backup vraagstuk.
Nou ja hoe dan ook is backup 101 toch wel dat je je afvraagt waarom je backups maakt. 1. Brand, 2. Explosies, overstromingen e.d., 3. Hack aanvallen.

Voor geen van deze 3 situaties was hun huidige backup waarschijnlijk een oplossing, dus heb je denk ik niet goed nagedacht over je backups.
Ah, ik vindt sowieso dat ze het woord 'FTP' er uit zouden moeten laten, dit vertroebelt. Het gaat om een server met (een oude versie van) RDP waar men toegang toe kreeg. Dat verklaart een stuk meer!
Ik kreeg op de dag van de bekendmaking al een shodan link van een collega. Daarop stond de 'ftp' server van de gemeente. Zijn theorie is dat, iemand zonder verstand van firewall's, in plaats van enkel poort 21 (FTP) een volledige NAT regel heeft aangemaakt. Goedkope firewall hebben wel vaker een verwarrende interface waarbij je eenvoudig een gehele host kunt 'publiceren' aan het internet.

Shodan liet in ieder geval alles zien. De gehele host stond open en bloot aan internet (ftp, smb, rdp, etc).
De host is dan waarschijnlijk ook gewoon geautomatiseerd opgemerkt en continue bestookt met geautomatiseerde aanvallen en op alle poort neem ik aan.

Het probleem was hier niet een oude versie van RDP, er is verder geen exploit gebruikt. We praten hier gewoon over dommigheid en een opstapeling van simpele fouten (zoals iedere ramp eigenlijk tot stand komt).

Het 'mooie' van Windows is zijn leeftijd. Heel veel systemen zijn gewoon gemaakt in een tijd dat beveiliging niet belangrijk was. En de problemen daarvan zie je nu nog steeds. Neem het lokale administrator account. Dat kan niet 'gelocked' worden en men kon dus onbeperkt wachtwoorden gaan 'gokken'. Daarbij is RDP totaal niet beveiligt en liet shodan al de domeinnaam zien. Men kon dus onbeperkt wachtwoorden proberen zonder gevolgen. RPD heeft ook nog eens de leuke eigenschap dat het nergens foutieve inlogpogingen meld (ook niet in het Windows logboek) zonder extra configuratie. Switch had dit dus waarschijnlijk ook nergens kunnen zien.

Voor zover ik het had begrepen heeft Switch de firewall foutief aangepast en de volledige host aan het internet gepubliceerd en HvT het wachtwoord gereset.

Zou mij niks verbazen dat ze beide 50/50 verantwoordelijk zijn en Switch hierom 50% zal schikken. Tijd zal het leren.
Dit is volgens mij inderdaad het geval na alles wat ik gelezen heb. Maar ik denk niet dat het hier om gaat.
Gemeenten hebben een erg 'rotte' instelling. Ze besteden hun gehele IT uit en denken dat ze daarmee ook hun verantwoordelijkheid uitbesteden. Gelukkig is dat sinds de GPDR wel anders maar diezelfde domme gedachte hangt nog steeds rond. Als de overheid ergens allergisch voor is dan is het verantwoordelijkheid. Het is vanuit hun perspectief onmogelijk dat het hun schuld is (want, geen verantwoordelijkheid).. Dus je hebt best kans dat ze dit ten aller tijden willen uit procederen.

[Reactie gewijzigd door dycell op 30 november 2022 11:11]

Je hebt het verkeerd begrepen, een medewerker van de gemeente heeft de firewall aangepast en een simpel wachtwoord gekozen.
Uit het forensisch onderzoek wordt duidelijk dat een beheerder van de gemeente een aanpassing in de firewall heeft gemaakt. Hierdoor kon overal vandaan een zogenaamde FTP-server (server om bestanden uit te wisselen) worden bereikt. Op deze server draaide het Remote Desktop Protocol
om op in te loggen. Toen daarna het wachtwoord werd veranderd in een eenvoudig te raden wachtwoord, duurde het niet lang voor de aanvaller op
dit systeem inlogde.
Bron:
https://www.hofvantwente....e-goed-van-vertrouwen.pdf

[Reactie gewijzigd door ninjazx9r98 op 30 november 2022 11:02]

Aha, dank voor de correctie.
Het veranderd het verhaal verder niet maar enkel de dader.
Oh heerlijk deze reactie. _/-\o_ Gelukkig niet de enige die zo over bijv ISO27001 denkt. Heb het nu als IT beheerder bij 3 klanten meegemaakt en slaat echt werkelijk nergens op. Wat een wassen neus inderdaad.
Had laatst een auditor die vroeg of onze internet verbinding via glasvezel of via een API verloopt.
Toen ik vroeg of hij met API Application Programming Interface bedoelde bevestigde hij dat. |:(

ISO27001: Prima voor beleid en processen te beschrijven maar in mijn optiek absoluut geen IT audit.

[Reactie gewijzigd door Urk op 30 november 2022 02:10]

Een ISO 27001 certificering zegt inderdaad alleen maar dat je processen hebt beschreven. Het zegt niets over de inhoudelijke kwaliteit of dat je ze daadwerkelijk volgt. Zaken als een ISAE 3402 of ISAE 3000 type II een stuk verder. Hierin toetst een onafhankelijke auditor of de kwaliteit van de processen en of de processen ook daadwerkelijk worden uitgevoerd zoals beschreven, of de resultaten gemeten worden en of er opvolging aan rapportage gegeven wordt. Dat geeft een stuk meer zekerheid.
Dan is het hoog tijd dat 'we' alle 'papieren certificaten' de deur wijzen. Per direct afschaffen.
Er moet een goed en breed gedragen 'minimum' beveiliging certificering komen (a la BIO) met een strenge controlle hierop waarbij de controleren instanties óók relatief vaak gecontroleerd worden.

Voor de duidelijkheid, niet het 99 protocollen voldoen niet, dus we verzinnen er 1 bij. Nu hebben we 100 protocollen. Nee, ik bedoel eerste de oude allemaal ongeldig maken en daarna een nieuwe opstellen. Eentje waarvan bewezen kan en moet worden dat het helpt.

Overigens heb ik meermaals een ISO 27001 controlle meegemaakt waarin daadwerkelijk de uitvoering van werd gecontroleert. De truuk was om alles nét voldoende te doen voor de check, maar alles wat niet of niet goed beschreven is hoeft niet (goed) uitgevoerd te worden.
Het resultaat? Een mooi behaald certificaat, de klant denk dat alles in orde is maar praktisch is er niks veranderd. Oh ja, en het kost een bom duiten voor feitelijk nop.
Dat is het punt, het is niet 'feitelijk nop', het doet iets waar jij (als prakticus) niet geinteresseerd in bent, namelijk het administratief dekken van de feiten. ISO27001 dwingt je om een stukje papier te hebben dat (onder andere) je beveiliging beschrijft. Dat betekent nu dat er rechtszaken mogelijk zijn hierover, en dat is ook wat nu relevant gaat worden bij dit artikel: wie is er verantwoordelijk voor wat. Nu mag Switch IT hun hele documentenboel neerleggen, en kan een rechter bepalen wie (Switch of Hof van Twente) er met de firewall-regels mocht spelen. Ook zou daar ergens moeten staan wie de accounts beheert. Dat het technisch een rotzooi was, en er niks van die documenten klopt, prima. Daar gaan straks door de andere partij mooie rechtszaken over komen waarmee je iemand kunt dwingen zich aan de papieren werkelijkheid te conformeren.

Want volgens mij is dat ook jouw doel: een dichtgezet systeem, waarbij bekend is wie wat moet kunnen. Jij wilt het via een nieuwe normering doen (nummer 100 met mooie checks die ook weer omzeild kunnen worden omdat management er niet achter staat, want duur), ISO27001 doet het door de persoon die schade lijdt een juridische route te geven.
Dat hele ISO is een grote windhandel.
Toon maar aan dat de IT partij de gemeente met klem heeft verzocht backup op tape EN immutable backups te maken, dat de gemeente naast zich neer heeft gelegd. Kunnen ze zeker niet?
als ze dat niet kunnen, dan falen ze als IT bedrijf in hun communicatie naar de klant. Want de meeste klanten die geconfronteerd worden met een verklaring die ze moeten ondertekenen dat ze er mee akkoord gaan dat hun beveiliging niet voldoet of dat ze zelf actie moeten ondernemen op onderdeel X of Y krabben zich wel 2x achter de oren. Als het bedrijf Switch zo'n verklaring niet gevraagd heeft (of opgenomen heeft in de maandelijkse/kwartaal/halfjaarlijkse overleggen) dan hebben ze dus de plank flink mis geslagen.

Ik geloof er niks van dat hackers hiertoe toegang kregen en daarna de hele omgeving konden versleutelen
Dat ligt er aan: als het administrator account niet beperkt was tot de FTP server maar domein rechten had, heb je natuurlijk al een probleem. Geen idee hoe het ingericht is daar, maar het klinkt alsof er een domein account is aangemaakt.

Die normeringen moeten verboden worden. Men gaat nu uit van valse veiligheid!
Ik ben er ook geen fan van, dat voorop gesteld. Maar de normeringen geven bepaalde standaarden weer. En dat geeft toch iets meer zekerheid als Jan-de-Klusser die zegt "ik weet er alles van, geloof me maar op mijn blauwe ogen"...
Ik geloof er niks van dat hackers hiertoe toegang kregen en daarna de hele omgeving konden versleutelen
Dat ligt er aan: als het administrator account niet beperkt was tot de FTP server maar domein rechten had, heb je natuurlijk al een probleem. Geen idee hoe het ingericht is daar, maar het klinkt alsof er een domein account is aangemaakt.
Het is een fout (naar mijn mening) in de berichtgeving. Het gaat blijkbaar om RDP toegang op een server waar 'toevallig' ook FTP op draait. Dit veranderd de boel natuurlijk wel.
Die normeringen moeten verboden worden. Men gaat nu uit van valse veiligheid!
Ik ben er ook geen fan van, dat voorop gesteld. Maar de normeringen geven bepaalde standaarden weer. En dat geeft toch iets meer zekerheid als Jan-de-Klusser die zegt "ik weet er alles van, geloof me maar op mijn blauwe ogen"...
Nou, nee. Een certificaat zegt eigenlijk op dit moment dat je iemand flink hebt betaald om een paar letters en getallen op je website te kunnen plaatsen. Totaal niets meer dan dat.
Het stukje verwijtbaarheid waar je het hier over kan hebben is.

- Waarom is het uberhaupt mogelijk dat dat soort wachtwoorden mogelijk zijn.
- Er is malware geinstalleerd, waarom is dat niet opgevallen (voor een maand)
- Backups waren ook geinfecteerd (dood doener, als de backup infra gekoppeld is aan de reguliere infra)
-
- en veel meer van dit soort dingen.
Ik gok dat Switch die taken uitvoerde voor Hof van Twente, en daarin (waarschijnlijk aantoonbaar) gefaald heeft.

Maar, het blijft speculeren.....
Backups waren NIET geinfecteerd (volgens het Duidingsrapport), maar versleuteld!

Quote uit het rapport:
"De aanvaller is in staat gebleken om commando's uit te voeren, waardoor backups buiten het netwerk van de gemeente zijn vernietigd en de lokale backups zijn versleuteld."

Verder;
- Ik vindt verwijtbaar dat er geen MFA ingeregeld was.
- Ook het feit dat er geen immutable (of veel beter nog; tape) backups zijn is verwijtbaar!
- En de PEN-test had de open RDP verbinding moeten zien. Heeft de gemeente/Switch deze IPs niet doorgegeven, of is de PEN-test niet goed geweest?

Ik mag aannemen dat Switch de gemeente heeft laten tekenen voor gezien dat ze een aanbeveling hebben genegeerd. Zo niet, dan is dat mijn inziens verwijtbaar van Switch! De gemeente hoort deze aanbevelingen te hebben gekregen en gedocumenteerd deze wel- of niet over te nemen.
Hoe kan Switch weten dat dit password gebruikt is ?
Dump van al je wachtwoord hashes maken en vergelijken met hashes van veel voorkomende simpele wachtwoorden.
Heb je zo een lijst met makkelijke wachtwoorden/accounts

[Reactie gewijzigd door Meneerik op 29 november 2022 21:08]

Ik mag toch wel hopen dat er een Salt wordt toegevoegd, juist om dit soort vergelijkingen te voorkomen.
check voor de grap maar eens of de AD dit doet ;)
Moet je wel eerst aanzetten dat je het mág exporteren!

Quote:
You do not have to be a member of the Domain Admins, Enterprise Admins or the Administrators group, but you need the “Replicating Directory Changes All” permission on Domain level.
eens. Maar de vraag was " Hoe kan Switch weten dat dit password gebruikt is ?"

op reguliere basis een dump maken en vergelijken met makkelijke/veelvoorkomende/gelekte wachtwoorden.

Het is natuurlijk vrij reactief werken, maar het had een hoop ellende kunnen voorkomen
Dit doet geen enkele IT dienstverlener, is wat van de pot gerukt. Daar bestaat een optie voor in Azure. Die doet dat automatisch.
die optie zorgt er alleen voor dat je hem niet kan instellen. wanneer er al een makkelijk wachtwoord is, gaat die vlieger niet op.

en er zijn zat organisaties die dit gewoon niet aan hebben staan, en waarbij nog vrolijk een Welkom01! of een Zomer2022! kan als wachtwoord.
Een Salt in Windows? Je weet dat men hier over Windows praat?
Als het goed is niet. Een goed wachtwoord is iets waar medewerkers doorgaans zelf verantwoordelijk voor zijn, zo is het in elk geval wel bij mij geregeld.

Ik kan niet zo 1-2-3 zien wat er in het contract tussen Switch en de gemeente staat; als daarin staat dat Switch een onraadbaar wachtwoord garandeert voor de gemeente, ligt de schuld zeker bij hen. Als ze die garantie geven, zijn ze waarschijnlijk ook aan het liegen of staat er een voetnoot van jewelste bij, want de eindgebruiker is eigenlijk altijd de zwakste schakel.

Ik weet niet of de dienstverlening heel lang zou hebben geduurd als Switch een alfanumeriek wachtwoord van langer dan 10 tekens zou hebben vereist. Misschien dat ze een speciaal teken hadden moeten toevoegen (Welkom2020!) of niet meer dan twee cijfers achter elkaar (20Welkom20) of wachtwoordveranderingen ieder seizoen (Herfst2020), maar een policy is hier duidelijk gewoon niet de oplossing voor. Wellicht dat gedwongen 2FA de oplossing had geboden, maar de exacte manier waarop men is binnengedrongen kan ik niet vinden dus dat is lastig te zeggen.

[Reactie gewijzigd door GertMenkel op 29 november 2022 20:24]

als daarin staat dat Switch een onraadbaar wachtwoord garandeert voor de gemeente,
Geen enkel bedrijf heeft dat in de contracten staan.
Je hebt als gemeente echt wel in de aanbesteding staan dat men moet voldoen aan standaard BIO regelgeving en basis beveilig regels. Dat is een gemeente namelijk verplicht. Dat men het in de praktijk voert is natuurlijk een ander verhaal.
Je kunt wel aan service account of High privileged accounts aparte wachtwoord policies mee geven.

Dit staat ook meestal in andere documenten, zoals het security beleid bijvoorbeeld.
Dat kan, moet de klant het wel willen.

Dat er vaak iets in de papieren staat is fijn, maar het gaat erom wat er hier in de papieren staat.
Als je deze argumenten doortrekt zou ik zeggen dat je uiteindelijk IT het beste door het rijk kan laten organiseren. Strak en professioneel vanuit een ministerie met grote partijen waarbij het totaal goedkoper is dan alle kleine partijen voor zichzelf te laten beslissen. Krijg je ook geen halve FTE mannetjes die het ff beter weten met hun 'ik heb in 2003 wel eens een websiteje opgezet' kennis. En je kunt altijd alsnog compartimenten maken. Lijkt mij.
Ik ben bang dat je dan een hele IT-afdeling krijgt van mensen die er op hun pensioen wachten en mensen die weten dat ze buiten de overheid geen baan kunnen krijgen. Centralisering hoeft geen probleem te zijn (tenzij mensen net als Sanderink doordraaien) maar de overheid is door de bureaucratie die het vereist vooral goed in omgevingen creëren waar de meeste goede IT'ers niet lang in willen werken.

Er is een balans tussen "helemaal uitbesteed" en "alles in-house" en veel aspecten van de overheid doen dit bijzonder goed. De meeste diensten van de overheid draaien eigenlijk het hele jaar door zonder problemen, met eens in de paar jaar wat downtime en af en toe een storing (doordat het Nederlandse volk een hele maand krijgt voor de belastingen te doen en dat dan per se allemaal op eerste en laatste dag van de maand moet doen).

Vooral de kleine, onafhankelijke overheidjes zoals gemeentes zijn hier slecht in. Daar mag vanuit de centrale overheid wel wat meer sturing in komen.
Diezelfde argumenten kun je ook gebruiken om externe It bedrijven het beheer te laten doen. Hier ging het mis (we weten overigens niet of dat aan die partij lag of de gemeente) maar vaak brengen externe beheerders juist de professionaliteit en best practices die zo'n gemeente niet in huis heeft. Geen argument om dat door het rijk te laten doen IMHO.
Mijn punt was juist dat een externe partij het moet regelen, maar in opdracht van het rijk met een landelijk beleid. Niet vanuit de gemeente met een lokaal beleid.
Ik ben het eens dat de gemeentes niet allemaal apart hun automatisering moeten inkopen maar dat dit op landelijk niveau geregeld moet worden. En daarbij moet het landelijk een overheidsinstantie zijn met genoeg eigen kennis van zaken die indien nodig kennis bij commerciële partijen inkoopt. Ook zal van alle op maat gemaakte software voor de overheid de broncode en het copyright bij de overheid moeten komen liggen. Zo kan de overheid of een andere externe partij hiermee zelf verder borduren.
Persoonlijk vind ik dat de gemeente moet accepteren dat domme beslissingen op overheidsniveau consequenties hebben.
Het hebben van gevolgen sluit toch niet uit dat er meer partijen verantwoordelijkheid hebben? Zeker als het om een combinatie van factoren gaat valt niet zomaar te stellen alsof een vam de betrokkenen dan maar geen verantwoordelijkheid heeft.

Meestal huren organisaties niet zomaar een ander in. Bijvoorbeeld om risico te beperken van eigen tekortkomingen, zoals via het herkennen en stoppen van brute force aanvallen en tegen gaan van ongewenst verkeer. Vergeet niet dat een bedrijf dat deze risico's zou beperken daar waarschijnlijk flink voor betaald krijgt. Dan mag op zijn minst duidelijk zijn hoe dat bij kennelijke gebreken van het bedrijf dat in schadevergoeding is te vertalen.
Dan mag op zijn minst duidelijk zijn hoe dat bij kennelijke gebreken van het bedrijf dat in schadevergoeding is te vertalen.
Zeker, maar in dit geval heeft een medewerker van de gemeente dus de firewall uitgezet van FTP/RDP-server en het wachtwoord van "testadmin" naar "Welkom2020" veranderd. Een hele reeks domme fouten, maar uiteindelijk is de hack zelf het gevolg geweest van wijzigingen die de gemeente achter hun dienstverlener om zijn gemaakt.
Je verwacht dat een bedrijf alleen maar rook hoeft op te merken als de oorzaak en tijdstip vooraf aangekondigd is?
Er was blijkbaar geen capaciteit om te verifiëren dat het bedrijf hun verzoeken goed afhandelde.
Dit is de omgekeerde wereld natuurlijk.

Maar afgezien daarvan is *hoe* het gebeurd is vanuit juridisch perspectief niet zo bijzonder interessant. De vraag is vooral wie contractueel de verantwoordelijkheid voor aspecten van de dienstverlening draagt en onder welke voorwaarden.

Vergelijk het met een inbraak in een pand. Op een dag is er ingebroken en zijn alle laptops weg. Het blijkt dat een medewerker van de huurder vergeten is om een raam dicht te doen.

De vraag is dan: wat staat er in het contract over de beveiliging. Is dit de verantwoordelijkheid van de verhuurder en hebben zij een beveiliger die 's avonds alle ramen hoort te controleren. Of is het de eigen verantwoordelijkheid van de huurder?

Natuurlijk wordt het "hoe" dan iets belangrijker (in de zin: is er voldaan aan de voorwaarden gesteld in het contract), maar de juridische vraag blijft een verantwoordelijkheidsvraag, geen 'technische'.

Zonder de inhoud van het contract te kennen is het lastig om te zeggen welke partij hier het gelijk heeft.

[Reactie gewijzigd door Keypunchie op 30 november 2022 11:45]

Dat is het verhaal van Switch, die dekken zich in, het is nu natuurlijk de vraag of dat werkelijk zo is gelopen, zou kunnen, zou ook een poging tot defense kunnen zijn van Switch. Ik heb bij twee klanten met Switch te maken gehad en van de toko in Sittard was ik er heilig van overtuigd dat dat allemaal prutsers waren. Verschrikkelijk. Overal is natuurlijk wel wat aan te merken, maar dit liep echt de spuigaten uit.
Kom organisaties tegen die in zee gaan met een IT-bedrijf omdat het goedkoop is. Basale vragen kan dat IT-bedrijf niet of moeilijk beantwoorden. "Firewall? We gebruiken NAT meneer!"
Als ik dan zeg dat dat geen firewall is krijg ik te horen dat er geen geld is voor een firewall. Eh?
Die bedrijven zullen er vast zijn, maar ik verwacht niet dat een gemeente in zee zal gaan met zulke organisaties - die kiezen toch wel de beter aangeschreven uit.
Mijn eigen ervaring met gemeentes (of überhaupt overheid) is dat ze zeker niet altijd kijken naar welke partij beter aangeschreven staat. Die ervaring strekt tot het punt van het presenteren van een aanbod binnen een aanbesteding, waarbij de heren tijdens de presentatie met hun telefoon liepen te spelen en geen aandacht hadden. Zij hadden de keuze al gemaakt, ondanks dat wij beter aangeschreven waren en een beter aanbod hadden als de concurrent. Waarom denk je dat overheidsprojecten al jaren naar de standaard clubs als Capgemini, CGI (voormalig Logica) en Centric gaan? Zeker niet omdat ze beter aangeschreven staan, dan wel voorheen goede resultaten geboekt hebben.

Zonder feiten weten we nu niets, maar mogelijk dat de gemeente in deze casus voor de goedkoopste optie gekozen heeft en daar achteraf spijt van heeft. We zullen zien waar dit ship gaat stranden.
(Semi-)overheid moet dit via aanbestedingen doen, waarbij een offerte gescoord wordt op een aantal aspecten. Eén daarvan is kosten, dus als je laag in de kosten zit heb je al meer kans.

Het stomme is dat hier best doorheen te prikken valt, maar door het achterlijke aanbesteden kan het zijn dat je een partij moet kiezen die op papier top is, maar waarvan je weet dat het zaakje stinkt.

[Reactie gewijzigd door Sito op 30 november 2022 07:21]

Bij de aanbestedingen waaraan ik heb meegewerkt is het aan de partij die de aanbesteding doet de taak om de eisen goed op te stellen. Het probleem is dan wel gelijk dat je iemand nodig hebt die ook daadwerkelijk de juiste kennis heeft om die eisen op te stellen.
Door je eisen goed op te stellen kan je 90% van het rotte fruit eruit filteren; daarnaast kan de aanbesteder zelf bepalen (waarschijnlijk tot op zekere hoogte) hoeveel gewicht ze geven aan de kosten.
Bij dit soort kleine gemeenten werken vaak maar een paar IT-ers die alles moeten doen. De rest is inhuur (ook vaak gezien bij grote gemeenten maar die hebben meer budget).

Het probleem is dan wel gelijk dat je iemand nodig hebt die ook daadwerkelijk de juiste kennis heeft om die eisen op te stellen.
Het uiteindelijke probleem is dan weer dat deze taak ook uitbesteed wordt of simpelweg uitgevoerd door inkoop (meerdere keren gezien).

Al met al zouden deze kleine gemeenten niet met deze taak belast moeten worden. Het is vrijwel onmogelijk om voldoende kennis hiervoor in huis te hebben. Je ziet dat zelfs al terug in kleine IT club zoals Switch. Die hebben geen verstand van de laatste firewall technologie, verkoop smeert wat aan en de monteur mag ter plaatse uitzoeken hoe ze het gaan plaatsen. En dan mag je je hand dichtknijpen dat die monteur eerder een firewall heeft uitgeleverd.
Dit klopt niet helemaal.
Er kunnen verschillende beoordelingsmethodieken worden gebruikt om een aanbesteding te beoordelen. Prijs is vaak wel een onderdeel, maar deze hoeft niet doorslaggevend te zijn. Er kunnen ook minima voor een prijs worden gehanteerd juist om te voorkomen dat een partij met een extreem lage prijs, maar slecht scorend op andere criteria toch als winnaar uit de bus komt.
"Beter aangeschreven" is helaas erg lastig te formuleren op een wijze die voldoet aan de (Europese) aanbestedingswet.

Ze kunnen misschien certificeringen (ISO/NEN/etc.) in de vereisten gebruiken om beginnende bedrijfjes eruit te filteren, maar als je een paar gladde praters hebt, kun je je daar als bedrijf best goed doorheen wurmen zonder de bedoelde lessen uit de vereisten te leren.
Dat zou best kunnen, maar de reactie waar ik op reageerde had het over bedrijven die niet eens wisten wat een firewall was. Dat is zó iets basaals dat zelfs een gemeente niet met zo'n bedrijfje in zee zal gaan. Uiteindelijk zijn het niet Jan en Piet van de afdeling Wonen die beslissen; er zitten wel wat mensen met kennis van zaken bij om te adviseren en die zullen niet adviseren om met een bedrijfje in zee te gaan dat een firewall niet kent. Net zoals dat de wethouder van Wonen voor een gemeentelijk woningproject niet in zee zal gaan met een bouwbedrijf dat niet weet wat een voordeur is…

Dus in die zin beter aangeschreven: een bedrijf dat de basale zaken kent en wat certificeringen heeft. Zoals je al zegt is dat geen garantie, maar de kans op succes (in dit geval goede beveiliging) is daardoor wel groter.
Ik kom (grote) financiele partijen die installaties achterlaten met portals op HTTP. (geen certificaten dus)

Vele (wederom grote) IT partijen die software wegzetten en op eigen houtje de Windows firewall uitzetten omdat dit makkelijker/beter is. Echt... Ik zou ze wat aan kunnen doen!

Ja, onkunde kom echt veel te veel voor.
Zooooooo herkenbaar. In mijn tijd dat ik bij Atos werkte en bij een grote klant zat ging mijn stand-by telefoon ook een aantal keren er week af. Niet omdat er issues waren maar omdat er een Deens softwareontwikkelbedrijf iets op een systeem ging installeren en testen en inderdaad de Windows firewall uit ging zetten.

En je moest het vooral niet wagen om dat ding weer aan te zetten. Gelukkig mocht ik wel per piepje een uurtje schrijven. Leuk voor de centen. :P
Het probleem is dat een bedrijf/gemeente een "dienstverlener" inschakelt. Nee verkopen als een klant iets wil is soms vrij lastig (zeker bij eigenwijze klanten). Als er een minimum (wettelijk) kader zou zijn waar je op terug kan vallen zonder zelf de zwarte piet toegespeeld te krijgen zou nee verkopen tegen slechte ideeën eenvoudiger zijn. Het zal echter niet meevallen zo'n set aan richtlijnen op te stellen omdat grotere organisaties soms tegengesteld werken waardoor 2 zaken die an sich geen probleem opleveren in combinatie ineens een gat opleveren.
Een van de weinig keren dat ik hoor dat een overheidsinstantie een IT bedrijf voor de rechter sleept. (of ik heb iets gemist)

Klinkt als heftige wanprestaties als het zo ver komt.
Of een bestuurlijke "Cover your ass" strategie, waarbij een leverancier een schop nakrijgt. Zonder inhoudelijke argumenten kan het beide kanten op, en wanprestatie is best moeilijk aan te tonen.
Hangt af van wat er (contractueel) afgesproken is. Indien ze daar niets in geregeld hebben zal de rechter kijken naar wat redelijk handelen zou zijn. Maar de vraag is dan wat onder de term redelijk valt.
of nog: procederen doen we met de centen van de burger. Het bedrijf zelf mag die cente gewoon zelf ophoesten...
Ik denk dat je het erger maakt dan het is. Bedrijven gaan altijd voor eigen gewin, maar *meestal* niet ten koste van de klant. Als zij de boel hadden kunnen upsellen met extra monitoring etc. hadden ze dat er gewoon bij verkocht. Als de klant zeurt dat het goedkoper moet, dan worden zulke dingen niet mee-geoffreerd.
Ach het gebeurt dat er "monitoring" belooft wordt zonder verder te specificeren wat het dan *exact* inhoudt.
Onderschat ambtenaren niet in anderen de schuld te geven van hun eigen falen.
Duizenden inlogpogingen 'missen' - geen idee of je ze dat kan verwijten. De malware niet opmerken is eveneens moeilijk te verwijten. Dat is wel iets dat je specifiek moet aanvragen (controle bestanden).

Vraag me sterk af of er nou gegevens verloren zijn. 'Volledige IT infrastructuur' klinkt toch wel alsof ze geen back-ups hadden liggen. Dat is de grootste fout lijkt mij.
Er staat in een onderzoeksdocument dat ze wel backups hadden, maar alleen on-prem. En deze waren verwijderd en\of versleuteld. Dat vindt ik persoonlijk wel een grote fout, nog even in het midden laten van wie.
Het komt inderdaad niet vaak voor. De enige casus waar ik aan kon denken was die van de SVB.

Wat mij niet helemaal duidelijk is, wat voor rol heeft Switch als beheerder? Misschien naïef van mij, maar moesten zij ook de rol van SOC op zich nemen om de organisatie te monitoren? Of is dat standaard beheer? :?
Wel een goeie ja. Niet vergelijkbaar, maar toch wel een beetje.

Nee, er is inderdaad veel onduidelijk. Zelfs het onderzoeksdocument zegt hier volgens mij weinig over.

Maar ik ken bedrijven die dit soort contracten hebben. Je hebt dan vaak grofweg 3 soorten contracten. 1) alles in beheer, inrichten, beheren en monitoren. 2) Inrichten en beheren, maar monitoren wordt er dan uit gelaten wegens kosten. En 3) Alleen projecten/op afroep/strippenkaart.

Een SOC(/SIEM) zie je nog heel erg weinig in(kleine) gemeente-land. Het is dan ook echt héél duur.

Ik weet wel dat KPN een SOC/SIEM heeft/had, maar dat was echt heel slecht. Dit klonk heel stoer, maar ging feitelijk over een paar simpele eventjes of pingetjes en dat was het. Zeer basaal, dusdanig dat het letterlijk weggegooid geld was.
Beveiliging van IT werkt net als beveiliging van je huis. Een meter dikke muren van gewapend beton en zonder deuren en ramen geeft redelijke garanties, maar daar kun je niet in wonen en het is niet niet kostenefficient.
De keuze wordt dus altijd om een balans te vinden tussen hoeveel ongemak je wil ondervinden van de beveiliging, hoeveel je eraan uit wil geven en de inschatting hoe graag inbrekers binnen willen komen.

Voor de IT werkt dat niet anders. Een PC zonder netwerk, zonder usb poorten, zonder CD/DVD/Floppy is het veiligst, maar die kun je geen functie geven.

In mijn ogen is een FTP in LAN/domein de ontwerpfout waar het mis ging. Die behoort buiten het domein in het DMZ te staan. En dan nog zo'n knullig wachtwoord erbij ook....
Eigenlijk is een toegang van buitenaf zonder MFA stap ook niet acceptabel. Soms is dat niet te voorkomen, maar dan maak een firewall regel aan zodat allen vanaf een bekend adres ingelogd kan worden.

Detectie van inlogpogingen met alarmering kom je maar zelden tegen. Vaak is er een lockout policy, waarbij een account gelockt wordt. Maar die staat dan vaak weer uit voor admins om een DOS-attack tegen te gaan.
'Uit onderzoek blijkt dat er tienduizenden inlogpogingen werden gedaan op de servers van de gemeente Hof van Twente, die niet werden opgemerkt door Switch.'

Je kunt de gemeente een boel verwijten, maar dit ligt toch echt wel bij Switch. Overigens zou ik toch als IT bedrijf een aantal voorwaarden stellen wil men een veilige omgeving hebben. Als de gemeente dat in dit geval niet had gewild, hadden ze de opdracht moeten geven om het minder veilig te maken. Want je zou moeten verwachten van Switch dat zij de kennis hebben
Dat ligt helemaal aan de afspraken die ze met elkaar hebben gemaakt, daar kunnen wij alleen over gissen. Als Switch totaal verantwoordelijk is voor de gehele IT-omgeving zijn ze wellicht nalatig maar misschien hebben ze alleen consultancy geleverd en ligt het daadwerkelijke beheer bij de gemeente zelf. En misschien was monitoring ook wel buiten scope voor Switch.

Het hangt er dus helemaal vanaf wat contractueel is afgesproken en waar de verantwoordelijkheden lagen.
Ja, dit kan wel eens een slepende zaak worden. Of 't wordt snel geschikt.
Eens. Om eerlijk te zijn, lokt het artikel ook wel controversie uit. De waarheid is, we kunnen hier niets over zeggen totdat duidelijk is wie verantwoordelijkheid draagt voor wat.
Ja, maar het is niet zo simpel als "wat er is afgesproken" in dit geval. Omdat het gegevens betreft die onder de AVG vallen heb je ook verwachtingen over het "goed omgaan met vertrouwelijke gegevens" wat ook wel implicaties kan hebben als je als leverancier geen actief tegengas geeft over onveilige zaken neem ik aan. In de meeste verwerkersovereenkomsten wordt dit punt ook specifiek benoemd.

Het wordt een interessante rechtzaak, dat zeker, als is het alleen maar omdat zowel ICT bedrijven als Gemeentes altijd hun snor proberen te drukken als het om aansprakelijkheid gaat.

[Reactie gewijzigd door BCC op 30 november 2022 09:12]

Op mijn server zie ik 3509 inlogpogingen over de afgelopen 2½ dagen in de logs staan (grep sshd /var/log/auth.log | grep 'Connection' | wc -l). Met 42108 pogingen per maand zou je toch verwachten dat mijn server onderhand wel geransomwared zou zijn... ware het niet dat ik niet mijn wachtwoord op Welkom2020 heb staan zoals de medewerker van de gemeente deed zonder hun systeembeheerders op de hoogte te brengen.

Als het bedrijf via RDP services aanbood, zit je al snel op een server (met eventuele security-services) die over het internet bereikbaar is, of dat nou OpenVPN, RDP, Citrix of wat anders is. Je kunt IP-whitelisting of port knocking toepassen, maar dat levert meer problemen op dan het op oplost, helemaal als je ook nog moet gaan thuiswerken.

"Inlogpogingen" zegt echt helemaal niks. Een veilig systeem kan duizend inlogpogingen per seconde aan zonder problemen. Natuurlijk wil je dingen als rate limiting en andere zaken toepassen, maar aangezien de gemeentemedewerker de FTP-server aan het internet heeft gehangen zonder kennisgeving aan de beheerder kun je lastig bepalen of die er wel of niet was.
Nooit van Fail2ban gehoord?
Ja, staat aan, maar die doet pas een IP block na drie pogingen en aan het eind van de maand verlopen de bans weer.

Op zich niet nodig natuurlijk, aangezien mijn wachtwoord niet echt brute-forcebaar is binnen een decennium. Ik heb het er vooral op gezet om de loggrootte tegen te houden. Ik zie ze nog niet eens de goede username raden, dus voor de inlogpogingen ben ik niet zo bang eigenlijk.
Toch vind ik het professioneel gezien not-done om ook maar enige pogingen toe te laten. Security is een attitude.
Pogingen moet je altijd toelaten, anders kom je er zelf niet in :) .

Security draait ook om beschilbaarheid en attack surface. Hoe meer firewallregels je toevoegt, hoe moeilijker het is om verdachte regels tegen te komen. Ik heb fail2ban een tijdje afgesteld gehad op "maand ban voor 1 fout" maar ik zat constant mijn eigen toegang te ontzeggen, helemaal over mobiele netwerken waar vage timeouts voor problemen zorgde waardoor ik constant van IP moest wisselen om mijn sessies nog te kunnen bouwen. Ook een keer een client gehad waar ik nog een oud wachtwoord in had opgeslagen, de server accepteerde alleen pubkeys maar de client heeft toch twee keer geprobeerd met een wachtwoord en ik moest via het hosterpaneel inloggen om mijn eigen IP uit de blacklist te halen...

Een wachtwoord als HK8ZrdKob5VUIWCcilCu4AFPxFk0kuDH ga je niet raden met brute force, zelfs als ik per ongeluk mijn key-only-vereiste uitzet. De enige manier om binnen te komen is een exploit/0day (en daar kan ik weinig tegen doen) of door een gelekt wachtwoord (1 poging nodig).

Ik heb liever zo min mogelijk software op mijn server draaien. Makkelijk te begrijpen, minder om te exploiten, en ook nog eens goedkoper omdat je minder hardware nodig hebt om hetzelfde te bereiken.

Als ik de IT van een gemeente zou moeten beheren, zou ik een VPN met 2FA vereisen voordat je ook maar een poging kan doen om bij een belangrijk component te komen. En daar waarschijnlijk weer een 2FA loginprompt achter, Yubikeys zijn toch niet zo duur. Het is maar net hoe moeilijk ik het van het contract mag maken.
Ja, security is een attitude. Waarbij in mijn beleving de eerste attitude is bewustwording van risico. Met de hedendaagse technieken en kennis zou een fail2ban o.i.d. in principe niet nodig hoeven te zijn; sterker nog: het geeft sommige mensen een schijngevoel van veiligheid. "Want er wordt toch op pogingen gecontroleerd".

Van mij mag er elke dag iemand mijn (fysieke) voordeur controleren: die zit dicht. Daarvoor hoef ik geen camera op te hangen of een valhek te plaatsen. Want ik doe mijn voordeur op slot met een goede sleutel.

Pas wanneer je twijfels over je sleutels/slot hebt geeft een camera of valhek je een extra gevoel van veiligheid. Maar het haalt dus ook de intentie om goed over je sleutel/slot na te denken weg.

En ja, ik heb ook geofilters staan op mijn inlog/VPN mogelijkheden. Maar ik ben het met @GertMenkel eens: het zorgt net zo vaak voor problemen - en daarvoor hoef je tegenwoordig nog niet eens in het buitenland te zijn met alle IP reeksen die verhandeld worden tussen landen.
We hoeven het niet eens met elkaar te zijn of wel :)
Voordeuren die gecontroleerd worden levert toch echt wel een reactie op hoop ik...
Hoe wil je dat doen dan?
De systemen air gappen is dan ongeveer het enige wat overblijft.
Hoezo je kan toch in ieder geval firewallen en daarbij vpnen. Dan blijft er weinig aan pogingen over. Pogingen op een dichte firewall blijven bestaan, drops/rejects, eens. Wat je/ik echter niet wil is pogingen op een actieve socket naar buiten. En dan stoer roepen, mijn wachtwoord is zo moeilijk laat ze het maar raden in 10k jaar. Dat is gewoon onprofessioneel.
Nee ok, RDP / VPN / Whatever naar buiten open gooien is op z'n minst slordig.

Maar iets (zoals je VPN server zelf) zul je toch moeten toelaten.
Zeker. VPN laat je alleen connecten met 2fa en eventueel firewall, en daarbij op zijn minst aantal logins limiteren met firewall regel tot gevolg. Liefst daarbij dus ook verdere firewalling, maar dat blijft lastig met thuiswerken en regelmatig wijzigende IP adressen etc. Echter ongebreideld maar pogingen laten bestaan zoals hier wordt gezegd kan echt niet. Alleen al voor je eigen professionele security geloofwaardigheid.
Fail2Ban werkt volgens mij met CSF; en er is gewoon een limiet aan hoeveel IP bans je op kunt werpen. Uiteindelijk gaat dat ten koste van je performance. Ik heb een server onderuit zien gaan omdat de IP block list gewoon zo gigantisch groot was (50k bans) dat bij iedere bezoeker een query gedaan moet worden of het gebanned is ofniet.

Op een zakelijke omgeving moet men werken met een hardware firewall, dat is 100x beter, en gewoon een stricte policy hanteren met wie er wel of niet in mag. Maar als er overduidelijk een bruteforce aan de hand was dan moet dat gewoon opgepakt zijn of worden. Dit is enorm nalatig gewoon.
F2b maakt gewoon na 3x foutief ww een firewall regel.
Tip: disable op sshd alle users behalve de username die je gebruikt. En disable password authenticatie. Gebruik keyfiles.
En dan heb je een klant die ssh toegang eist en ook krijgt van de (service)manager bij de beherende partij inclusief gebruik van keyfile(s). Ze hebben nu eenmaal zoveel kennis daar, ze beloven er netjes mee om te gaan, het is een bedrag van XXXX euro's, dat betekent minder tickets/werk voor ons enz. Dat gaat heel lang goed tot iemand bij de klant besluit om de sshd_config aan te passen of een extra bestand te plaatsen in sshd_config.d
Blijk je toch 'ineens' weer een config te hebben die passwords toestaat en mogelijk ook root toegang direct via ssh.
Ik ben al een tijdje over op key-only (met een SSH CA en root weer uit), maar dat voorkomt niet dat bots ermee verbinden en inlogpogingen achterlaten.

Heb een tijdje TOTP op mijn SSH-server gehad, maar dat was me toch te irritant...
Ik ben het helemaal met je eens. Ik werk ook voor een IT dienstverlener en per klant worden afspraken gemaakt over functionaliteit, veiligheid en eigen beheer.
De kleine klanten moeten we voor zichzelf beschermen en hebben heel weinig te zeggen (al hoewel je ze vervolgens allemaal Post-it kaartjes met wachtwoorden op de schermen ziet hangen)

Maar we hebben ook grote complexe klanten met eigen beheerders, waar weer hele andere afspraken zijn gemaakt.
Hier zijn wij vaak vooral verantwoordelijk voor incidenten waar hun eigen IT’ers niet uitkomen, de infrastructuur en backups.
Maar veel intern beleid bepalen ze vervolgens zelf.
Op zich zijn die post-its nog niet eens zo erg als het sterke wachtwoorden zijn.
Beter een sterk wachtwoord dat ze moeten opschrijven (en je dus fysieke toegang nodig hebt), dan makkelijke wachtwoorden die ze kunnen onthouden.
Fysieke toegang zegt weinig tot niets tenzij het een bijzondere afdeling is. Een foto is zo gemaakt en dat kan een schoonmaker of bewaker zijn die buiten kantooruren toegang hebben, een collega van een andere afdeling die even binnen loopt tijdens een koffie/lunch pauze, een service monteur voor wat dan ook, enz enz.
Een sterk wachtwoord is met dank aan een smartphone net zo makkelijk te "onthouden" als een makkelijk wachtwoord.
Als het dan toch een post-it "moet" zijn schrijf dan op z'n minst op de achterkant.
Klopt, dingen als password managers of smartcards zijn stukken beter.
Maar als de keuze is tussen een post-it met een moeilijk wachtwoord en een makkelijk wachtwoord wat ze kunnen onthouden, geef mij die post-it dan maar.

Dat reduceert tenminste de attack-surface naar mensen die fysiek daar kunnen komen i.p.v. elke hackbot op de planeet.
"Je kunt de gemeente een boel verwijten, maar dit ligt toch echt wel bij Switch."
"Overigens zou ik toch als IT bedrijf een aantal voorwaarden stellen wil men een veilige omgeving hebben. Als de gemeente dat in dit geval niet had gewild, hadden ze de opdracht moeten geven om het minder veilig te maken. Want je zou moeten verwachten van Switch dat zij de kennis hebben"
En daarom heb jij geen IT-bedrijf :+ Zo werkt het niet.

Je weet helemaal niet wat er is afgesproken, en als je het bronartikel leest zie je dat de zaak een stuk genuanceerder ligt dan dat je nu stellig beweert. De gemeente lijkt zich gewoon voor de bühne groot te houden, terwijl Switch aangeeft dat de gemeente dit zelf in de hand heeft gewerkt.
Precies, daarom heb ik geen IT-bedrijf. Ik weet niet wat er wel en niet is afgesproken. Maar ik kan mij zomaar voorstellen dat als Switch wel meer dan alleen de consultancy heeft gedaan, dat een rechter wel Switch verantwoordelijk houdt omdat ze wel een zorgplicht hebben. Juist omdat ze geacht worden meer kennis te hebben dan de opdrachtgever. Maar goed dat gaan we zien, ALS de rechter een uitspraak doet, zullen we het zien. ben benieuwd.
Ok, maar dat zeggen ze natuurlijk sowieso, anders schieten ze zichzelf juridisch in de voet. Ik houd me vooralsnog lekker aan de eerste zin in jouw tweede alinea.
.. of was het een gevalletje 'de goedkoopste bieder wint'? Welk budget was er voorzien voor een passende beschermingsstrategie? Of was net dat het punt waar géén centen voor waren?

beetje kort door de bocht uitspraak dat je hier doet...
Hoezo kort door de bocht?
Ik zeg toch dat het afhangt van de afspraken. Is natuurlijk wel des gemeentes om voor een dubbeltje op de eerste rang te willen zitten. Maar uiteindelijk weer je dat ook niet
Strenge voorwaarden maakt je pakket duurder en lastiger in het gebruik, daar houden veel klanten niet zo van.

En waarom zou de fout van het niet goed opmerken van de log-in pogingen bij Switch liggen? Is er contractueel overeen gekomen dat Switch actieve monitoring uitvoert? Uit de artikelen blijkt dat de pogingen keurig werden gelogd maar niemand die er wat mee deed, als dit niet overeen is gekomen waarom zou je daar als Switch actief naar kijken?
Mits er geen afspraken zijn over de te leveren beveiliging heeft de gemeente geen enkel waardig argument. Beheer uitbesteden wil niet zeggen dat beveiliging de hoogste prioriteit heeft. Een slecht beveiligd netwerk is over het algemeen eenvoudiger en goedkoper te beheren.

Je zal goede afspraken moeten maken over welke beveiliging ingezet gaat worden en dit ook onafhankelijk controleren.

Achteraf zeggen dat iets "een wanprestatie" is lijkt me vreemd, een ransomware aanval kan iedereen treffen. Je kan hooguit de kans en impact verkleinen.

[Reactie gewijzigd door Sharkys op 29 november 2022 19:39]

Natuurlijk hoeft beveiliging niet de hoogste prioriteit te hebben, maar ik verwacht van een it-bedrijf dat ze wel onderscheid maken tussen Koos' kleding- en fourniturenwinkel en een gemeente. Bij laatstgenoemde hoor je als bedrijf redelijk te handelen door beveiliging op een hoger niveau te zetten. Het is niet alsof ze niet weten welk soort gegevens (in dit geval onder meer zeer gevoelige privégegevens) er beveiligd worden…
Dat hangt er helemaal van af wat is afgesproken in het contract. De gemeente kan natuurlijk ook gekozen hebben voor een goedkoop contract met beperkte beloftes.
Maar dan zouden ze toch geen rechtszaak starten als ze weten dat ze toch bot gaan vangen i.v.m. contractuele afspraken?
Het alternatief is erkennen dat je als gemeente foutief hebt gehandeld, niet iets waar ambtenaren/politici bekend om staan.
Ze hadden ook gewoon de boel kunnen sussen door niks te zeggen, iets waar ambtenaren/politici ook bekend om staan. ;)

Maar dan nog, áls de rechter het bedrijf gelijk geeft, dan is het gezichtsverlies voor de gemeente wel een pak erger.
Ze hadden ook gewoon de boel kunnen sussen door niks te zeggen, iets waar ambtenaren/politici ook bekend om staan. ;)
Tenzij journalisten en anderen nog vervelende vragen aan het stellen waren. Nu hebben ze daar een antwoord op.
Maar dan nog, áls de rechter het bedrijf gelijk geeft, dan is het gezichtsverlies voor de gemeente wel een pak erger.
Dat is maar de vraag, want we zien dat de interesse van zowel het publiek als journalisten steeds verder afneemt, dus het slechte nieuws uitstellen is vaak een goede strategie.

Daarnaast is een verlies bij de rechter ook goed te spinnen bij de meeste journalisten, want de gemiddelde journalist gelooft al dat bedrijven slecht zijn en heel vaak onterecht hun zin krijgen.
Als de jurist toch al op de payrol staat en iemand gezichtsverlies wil voorkomen zie ik dat wel gebeuren (wil niet suggeren dat dit nu ook aan de hand is, maar heb het vaker zien gebeuren).
Wellicht, maar het gezichtsverlies is natuurlijk wel enorm als de rechter de gemeente in het ongelijk stelt. Ik mag aannemen dat de gemeente dat ook niet wil…
Als de verantwoordelijke persoon dan al een leuke andere baan heeft maakt dat niet meer uit. En zowieso: tegen de tijd dat de uitspraak komt is men bestuurlijk allang vergeten waar het om ging.
Niet als de media het tegen die tijd nog even breed uitlicht…
@TheVivaldi

Zoals ondertussen wellicht bekend van het toeslagenschandaal en andere onrechtmatige handelingen van de overheid die goedgekeurd zijn door de rechters, is de rechtspraak systematisch bevoordeeld, waarbij de overheid tegenover gewone burgers allerlei onrechtmatige zaken kan doen en alsnog gelijk krijgt. Dus kan de jurist of de beslisser (want een jurist geeft alleen advies en iemand kan besluiten om een rechtszaak te starten tegen het advies van hun jurist in) een behoorlijk verwrongen beeld hebben gekregen van wat de wet nu eigenlijk echt zegt.

Het is meestal zo dat mensen die boven de wet staan een nogal verwrongen beeld krijgen van de verantwoordelijkheden die ze volgens de wet zouden moeten hebben.

Daarnaast kan er ook gewoon sprake zijn van een politiek spel, waar de persoon die verantwoordelijk is voor het contract niet wil toegeven dat ze een fout gemaakt hebben en daarom een rechtszaak start, zodat de gemeente de schuld kan geven aan het bedrijf. Als deze persoon slim is, vertrekt die voordat de zaak is afgehandeld.

En zo kan ik nog meer redenen bedenken.

Uiteindelijk zou volgens jouw redenering elke rechtszaak moeten eindigen met het in het gelijk stellen van de persoon die de rechtszaak begon, maar dat is natuurlijk niet zo.
Gewone burgers? Wat hebben die hier mee te maken? Ze klagen een *bedrijf* aan. Daar is de rechtspraak toch wel wat anders in.
In principe zijn het dezelfde juristen en beslissers bij de gemeente, dus mijn punt is dat als ze gewend zijn hun zin te krijgen bij de rechter wanneer ze de wet overtreden tegenover een burger, ze net zo goed kunnen denken dat ze hier ook gelijk krijgen, terwijl ze eigenlijk geen poot hebben om op te staan.
Dat kan wel zo zijn, maar de imagoschade voor de gemeente is natuurlijk wel enorm als ze verliezen; dat lijkt me toch ook een enorme klap voor ze.
Zolang er contractueel niets is vastgelegd, zal de rechter rekening houden met zoals jij zegt "redelijk handelen". Zou het normaal moeten zijn dat een IT bedrijf de beveiliging by default tot een bepaald niveau inricht, dan wel onderscheid maakt tussen de lokale kleding zaak en een gemeente? Zoals je ook aangeeft het IT bedrijf weet niet welke gegevens wel/niet beveiligd dienen te worden, maar ligt de verantwoordelijkheid voor die kennisdeling bij de gemeente of bij het IT bedrijf? Kan dus misschien nog wel een grijs gebied zijn waarover gevochten gaat worden.

Daarentegen, als het een degelijk IT bedrijf met ervaring is zouden ze contractueel vastgelegd hebben wat ze wel of niet doen en welke SLA er geldt.
Je moet inrichten waar de klant om vraagt.
Daarnaast kun je de klant adviseren om op bepaalde punten te verbeteren, al dan niet tegen meer kosten.

Je gaat als IT provider niet zomaar van alles neerzetten als de klant hier niet om gevraagd heeft of misschien wel niet wilt.

Je kunt ze wel adviseren....
Het ligt genuanceerder dan dat. Inrichten waar de klant om vraagt eindigt met de goedkoopste oplossingen die onvoldoende veiligheid bieden, de gemiddelde klant heeft geen flauw benul wat wel en niet verstandig is. Als IT-leverancier heb je een zorgplicht en dien je je klant te wijzen op veiligheidsrisico's, als de klant nadrukkelijk zegt dat hij iets niet wil (noem maar iets, bijvoorbeeld MFA) en het gaat mis, dan nog is de leverancier al dan niet gedeeltelijk verantwoordelijk.
Klopt, dat advies kan je als extra's of additioneel aanbieden en daar goede gesprekken over voeren dat hij dit echt nodig heeft.

Maar als de klant hierom niet vraagt, betekend eigenlijk dat de klant, niet voldoende kennis had om de aanbesteding uit te schrijven.
Je zult nog steeds moeten aanbieden waar de klant om vraagt, en inderdaad de rest als optie/extra aanbieden, en de klant dit zeker zeer nadrukkelijk adviseren. En dit vastleggen.
Achteraf zeggen dat iets "een wanprestatie" is lijkt me vreemd, een ransomware aanval kan iedereen treffen.
Als je tienduizenden inlogpogingen nog geen eens opmerkt, laat staan blokkeert, dan heb je gewoon gefaald.

En er zullen vast ook dingen in contract worden vastgelegd, maar er zijn ook zaken die je gewoon moet kunnen verwachten als je professional ergens voor betaald, en je hoeft niet in het contract vast te leggen hoeveel inlogpogingen mogen...
Als je systeembeheerder bent dan kun je je dat misschien moeilijk voorstellen. Zakelijk is het maar net wat je met de klant afspreekt. Alleen als de gemeente er vanuit *mocht* gaan, omdat het bijvoorbeeld dubbelzinnig in een overeenkomst staat genoemd, zal de rechter meegaan in die redenatie. Of als je een auto koopt bij de dealer ofzo, en je moet achteraf nog bijbetalen voor de velgen en banden terwijl dat niet kenbaar is gemaakt. Maar niet als jij een paar servers aanbiedt die de klant zelf mag inrichten.

Als ik het volgende lees: "Switch heeft een wanprestatie geleverd", stelde de advocaat van de gemeente. Maar volgens het IT-bedrijf heeft de gemeente zelf de rode loper uitgelegd voor de hackers.. Dan denk ik niet dat er iets is afgesproken over monitoring oid :)
Blockeren is afhankelijk van het beleid wat de klant wilt hebben.
tienduizenden inlogpogingen moet je wel met bepaalde software gaan monitoren, maar ook op reageren. Dat betekend dat er zoals bij de IT partner als de klant dus procedures en afspraken aanwezig zijn.

Je kunt dit soort dingen niet "zomaar" doen, hoe goed en leuk dit ook klinkt. Het is niet alleen maar een stukje techniek neerzetten.
En als de klant hier niet standaard om heeft gevraagd, kun je dit hooguit extra adviseren tegen een meer prijs.

Dit zijn gewoon afspraken die je eventueel in een SLA of security beleid afspreekt. Dit ga je niet "zelf" even verzinnen, zonder approval vanuit de klant.
And als in eens een hoge pief niet meer kan inloggen omdat hij 6 keer zijn wachtwoord verkeerd heeft ingevoerd en hij niet meer kan werken, zonder afspraken heb je een pittige discussie.
Toch is dat doorgedrukt bij mijn vorige klant.
Op de externe soap-calls staat een behoorlijke strenge brute-force bescherming en ja een gemeente had zichzelf al een keer buitengesloten.
Die uitzetten was niet onderhandelbaar, net als het afdwingen van 2FA.
Er zijn ook voldoende mogelijkheden.

Maar het is niet zo gemakkelijk als dat altijd geroepen wordt.

SOAP calls worden meestal niet door gebruikers gedaan, of icm een UserID/PWD. Wat het beveiligen al een stuk gemakkelijker maakt.

Ik heb laatst ook MFA geactiveerd, maar de nodige discussies gehad, van shared functional accounts t/m geen zakelijke telefoon beschikbaar.
“Als je tienduizenden inlogpogingen nog geen eens opmerkt, laat staan blokkeert, dan heb je gewoon gefaald.”

Dat is toch wat altijd gebeurt als je een server voor buiten beschikbaar maakt?

Toen we nog Exchange servers gebruikte zag je ook duizenden pogingen vanuit heel de wereld. Maar wat doe je er aan? Je kan accounts laten locken, maar dan is de gebruiker john@contoso.com elke uur gelocked.

Van wat ik begrijp heeft de IT’er van de gemeente een zeer zwak wachtwoord gebruikt. Dat is gewoon nalatigheid, vooral van een IT’er mag je verwachten dat hij geen Welkom2020 gebruikt als wachtwoord. Nergens niet.
Als ik een auto koop staat ook niet in het koop contract dat de auto kan rijden. Dat lijkt mij een volkomen te verwachten onderdeel van wat je koopt. Als je in deze tijd als it leverancier nog echt iets durft op te leveren zonder beveiliging, omdat de klant er niet om vroeg, verdien je gewoon een faillissement.
Dus je moet eigenlijk duurder zijn dan je concurent die wel exact levert waarom gevraagd is?
Dit kan je wel als optie aanbieden bijvoorbeeld, de klant heeft dan een keuze om dit wel of niet te doen.
Nee, beveiliging is geen optie of extra, dat hoort standaard te zijn ingebouwd. En de verplichting van een it leverancier is dat om de klant duidelijk te maken.
Nee, zo werkt het niet in aanbestedingen. Je kunt het wel optioneel aanbieden als het niet in de aanbesteding vermeld is.

beveiliging is trouwens ook best complex, SOC, SIEM, EDR, Threat-hunting, IPS, IPD, netwerk isolatie/segmenteren als je dit allemaal er "gewoon" bij wilt doen, dan kun je het contract wel vergeten je bent veel te duur geworden.

En de klant moet hier ook volwassen genoeg voor zijn in dit intern aan te kunnen en uit te leggen aan hun gebruikers.

Wat zeker soms een probleem is bij klanten. Ik heb heel wat security adviezen genegeerd zien worden, omdat de gebruikers dit niet willen of aankunnen.

Beveiliging kan ook bij een andere partij liggen, vaak genoeg mee gemaakt, dat dit een ander contract is bij een andere leverancier die hier weer verantwoordelijk voor is.

Ofwel het is vaak veel complexer dan je hier even bedenkt, standaard bestaat niet.
Ik geef de klant een installatie die voldoet aan de wet, en aan wat de klant besteld. Waarom zou ik meer leveren en mijzelf daarmee duurder maken dan de concurrent?
Ga eens mee in je eigen auto analogie en kijk hoeveel veiligheidsmaatregelen er optioneel zijn als je een auto koopt. De basis / wettelijk verplicht ( gordel, airbag, verlichting).. is er uiteraard.

Voor de rest is alles wat proactief is ongeveer het eerste wat uitgekleed wordt door een klant waneer het contract voorstel te duur is, dat heb ik genoeg meegemaakt, bij grote en kleine bedrijven
IT-bedrijf Switch zei in de rechtbank dat door het handelen van de gemeente de hackers toegang konden krijgen tot de server. De gemeente zou zelf te simpele wachtwoorden hebben ingesteld voor beheerdersaccounts en regels voor de firewall hebben aangepast.
Waarom hebben ze de mogelijkheid om makkelijke wachtwoorden in te stellen? Waarom zijn er geen policy's voor? Waarom hebben sommige zoveel rechten?
het wachtwoord voldoet perfect aan een standaard goed wachtwoord policy van X tekens, 1 hoofdletter 1 Cijfer.

Net zoals Welkom123
De BIO (Baseline Informatiebeveiliging Overheid) dicteert een wachtwoord van minimaal 8 tekens welke complex is van samenstelling. Dat laatste is natuurlijk subjectief, maar 1 hoofdletter en 1 cijfer maken een wachtwoord nog niet complex, het kan wel. Echter de beheerder die dit wachtwoord heeft ingesteld had zelf moeten weten dat dit niet complex genoeg is.

Echter worden er op meerdere punten hier fouten gemaakt en had een complexer wachtwoord hier mogelijk niet veel geholpen: een FTP server aan internet met enkel username/credentials. Geen lockout policy. Blijkbaar slechte (of geen) zonering omdat ze daarna toch in staat zijn geweest verder het netwerk in te komen. Geen juiste toegangscontrole op de firewall.
Klopt er zijn hier vele fouten gemaakt. Het was niet 1 enkel foutje wat dit probleem heeft veroorzaakt.
Bio klinkt alsof het gaat over overheidsbeleid bij kippenboeren. Wie verzint deze afkortingen...
Heb je mij gehackt ofzo? Dat is mijn wachtwoord. :)
Waarom zou een systeembeheerder niet zoveel rechten hebben?
Geen idee welke contractuele verplichtingen hier aanwezig waren. Was hier sprake dat Switch "actieve monitoring" van de veiligheid zou doen? Als je dan vervolgens tienduizenden inlogpogingen en malware over het hoofd ziet, dan ben je gewoon in gebreke. Tevens kan je de klant toch niet kwalijk namen te simpele wachtwoorden in te stellen, dat had je als IT dienstverlener zo kunnen dichttimmeren met de juiste policies.
Ligt toch ook aan het FTP pakket? Ik ken genoeg pakketten die helemaal geen beleid hebben.
FTP als (hoofd)rol van deze server, niet de manier waarop ze binnen zijn gekomen. Men is binnen gekomen via RDP maar de aanpassing op de firewall heeft er voor gezorgd dat vele poorten en daarmee ook mogelijkheden open stonden.
https://www.hofvantwente....e-goed-van-vertrouwen.pdf
Op basis van open bronnen onderzoek stelt het beveiligingsbedrijf vast dat
er veel poorten op de FTP-server open stonden. Dat betekent dat er veel
verschillende soorten software een verbinding konden maken met de betref-
fende server.
Ah, dus RDP stond open voor de rest van de wereld? Klassieke fout...
Die wanprestatie gaan ze waarschijnlijk niet heel hard krijgen, dan heb je toch wat hardere afspraken voor nodig.
Dit soort situaties heb ik al vaker gezien, dat de klant de leverancier verantwoordelijk stelt terwijl aan de kant van de klant dingen gedaan zijn die not-done zijn waardoor je er geen grip meer op heeft.

Ik denk niet dat Switcht dit setteld, maar wellicht is er nog andere informatie die niet openbaar is.
Het is heel vervelend dat een gemeente slachtoffer is geworden van een ransomware aanval, dat voorop. De inrichting van een veilige omgeving is wel een gezamenlijke verantwoordelijkheid van de overheid (richtlijnen BIO, zie b.v. https://beheer.informatie...oduct/wachtwoordbeleid-2/ voor richtlijnen wachtwoordbeleid. En daar kan je nog steeds alle kanten mee op.), IT-afdeling of -leverancier (duiding richtlijnen en implementatie) en de gemeente/klant zelf. (Controle, toetsen, audit)

In deze keten draag je als klant de verantwoordelijkheid dat je je best hebt gedaan om de richtlijnen te vertalen naar een werkbare en veilige omgeving die schaduw IT voorkomt, hackers buiten de deur houdt en je gebruikers tevreden. Veiligheid en gebruikersvriendelijkheid zijn hierin twee vijanden en bij veel werkomgevingen vinden veel gebruikers van de diensten wachtwoorden, mfa en veiligheid sowieso vervelend. Je hebt daarbij ook nog te maken met allerlei leveranciers die pakketten aanbieden en implementeren die uit onze geboortejaren komen en kosten die naar beneden en marges die naar boven moeten.

De een of de ander aanvallen is altijd gebaseerd op aannames als je het hele verhaal niet kent en dan nog zit er dermate veel ruimte in de richtlijnen, regels en wetten dat je nooit echt een “winnaar” kan aanwijzen in dit soort situaties. Er zijn alleen maar verliezers.

Laten we ook allemaal kijken hoe je elkaar meeneemt in een veiligere wereld waarin we zorgen dat misbruikers de verliezers gaan zijn.
Ik citeer even uit het RTV Oost artikel:
"De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen"
Dit betekend dus dat de fout prima bij ze intern had kunnen liggen en dat de ICT partij hier niks mee van doen had. Gezien het algemeen bekend is dat makkelijke wachtwoorden zoals de 'Welkom2020', makkelijk geraden worden.

Daarbij is het logisch dat er een wachtwoordbeleid aanwezig is voor de meeste klanten. Gezien bovenstaande citaat, lijkt mij dit een contract waar de ICT beheerder niet expliciet alleen rechten heeft.
Vervolgens kan er aangegeven worden door de ICT partij 'wij willen graag dat jullie een wachtwoordbeleid aannemen van minimaal 12 karakters die aan de complexiteitseisen voldoen' (standaard ADDC spul). Als daar door de klant met een 'nee' op word gereageerd, dan kun je als ICT partij erg weinig doen.

Dus ja, de vingers kunnen wel gewezen worden, maar vanuit mijn oogpunt als professionele ICTer, is dit gewoon slecht afgebakend bij de klant, in dit geval 'Hof van Twente'.
Ik vraag me af of dit voor de schijn is of niet. Zeker als je in het bronartikel van rtvoost leest dat de gemeente voor heel veel zelf verantwoordelijk was. Het lijkt mij dat als ze Switch aansprakelijk willen stellen voor geleden schade, dat ze ook hard moeten kunnen maken dat ze met Switch hebben afgesproken dat er bijv. uitgebreide monitoring of pentests werden gedaan. Of Switch moet hele gekke garanties hebben gegeven. Klinkt mij meer als een overheidsinstantie die iemand maar vooral niet zichzelf de schuld wil geven. Ben benieuwd wat de rechter erover gaat zeggen :) Dan krijgen we ook meer inzicht in de afspraken die zijn gemaakt. Maar als ik het zo inschat acht ik de kans dat ze gelijk krijgen behoorlijk klein.

[Reactie gewijzigd door Saven op 29 november 2022 20:20]

Dit is dus ook een mooi voorbeeld waarom je “layered security” hebt/moet hebben. Je wil op elk niveau en elke plek je security goed hebben. Niet alleen je voordeur beveiligen en dan denken dat je veilig bent…

Een simpel wachtwoord is niet handig, firewall openzetten ook niet. Maar daarna is er dus nog veel meer mis gegaan. Dus je kan dat bedrijf dus zeker wel dingen verwijten vind ik.

[Reactie gewijzigd door bove027 op 29 november 2022 23:33]

Voor de gemiddelde IT infrastructuur is heuristische detectie het belangrijkst, ga er maar van uit dat het een zootje is en dat dat de komende tien jaar niet verandert en werk daar omheen.

Minimum trust. Toegang tot intranet alleen met apparatuur van het bedrijf wat verder niet het internet opkan behalve via iets als Cloudflare isolated browser. Alle delen van intranet opgesplitst in minimale VLAN's. Etc, etc. Dat gaat allemaal toch nooit gebeuren.
Er is zeker veel meer mis gegaan, maar de vraag is op de IT leverancier hier allemaal verantwoordelijk voor is.
“layered security” klinkt mooi, maar is technisch ook complex om neer te zeggen of om naar toe te migreren.
Daar moet zowel de IT leverancier als de organisatie zelf voor gereed en volwassen genoeg voor te zijn.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee