Gemeente Hof van Twente vangt bot in hoger beroep cyberaanvalzaak

De gemeente Hof van Twente kan de schade van een ransomwareaanval in 2020 niet verhalen op IT-bedrijf Switch. Dat heeft het gerechtshof Arnhem-Leeuwarden in hoger beroep bepaald. De totale schade omvat vier miljoen euro.

De rechter oordeelt dat de gemeente geen gelijk heeft, omdat niet is gebleken dat Switch zijn 'contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld', leest de uitspraak. Het hof wijst naar een eerdere uitspraak van de rechtbank Overijssel en zegt dat de gemeente uiteindelijk zelf verantwoordelijk was.

Zo heeft de gemeente de Remote Desktop Protocol-poort naar het internet opengezet, het makkelijk te raden wachtwoord 'Welkom2020' ingesteld, en geen tweestapsverificatie geactiveerd. Verder wijst het hof erop dat de gemeente zelf verantwoordelijk wilde blijven voor haar wachtwoordbeleid. "Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministratoraccount en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd."

Naast de claim dat Switch zijn zorgplicht niet was nagekomen, zei Hof van Twente dat het bedrijf ook tekort was geschoten in het maken van back-ups. Bij de ransomwareaanval was de gemeente namelijk haar volledige IT-infrastructuur kwijtgeraakt. De leverancier verweerde echter dat het drie back-ups had gemaakt, waarvan één off-site verbleef. Omdat de gemeente hier verder niet op inging en geen extra bewijs aanleverde, achtte het hof de bewering als niet bewezen. Switch hoeft niet op te draaien voor de schade die de ransomwareaanval heeft aangericht en de gemeente moet de proceskosten van 24.000 euro betalen.

In december 2020 kreeg een ransomwarebende via een bruteforceaanval toegang tot de systemen van gemeente Hof van Twente. Deze werden geïnfecteerd met ransomware en onbruikbaar gemaakt. De groep eiste vervolgens 750.000 euro losgeld, dat de gemeente weigerde te betalen. Hof van Twente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente en dat deze niet werden opgemerkt door Switch. Rechtbank Overijssel oordeelde echter in 2023 dat het IT-bedrijf zijn zorgplicht was nagekomen en dat de gemeente verantwoordelijk was.

Door Loïs Franx

Redacteur

Feedback • 25-02-2025 16:06
154 • submitter: r.kruisselbrink

25-02-2025 • 16:06

154

Submitter: r.kruisselbrink

Lees meer

Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken
Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken Nieuws van 17 april 2025
Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente
Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente Nieuws van 12 mei 2023
Hof van Twente eist schadevergoeding van 4 miljoen euro van IT-bedrijf Switch
Hof van Twente eist schadevergoeding van 4 miljoen euro van IT-bedrijf Switch Nieuws van 29 november 2022
Pentest miste zwak wachtwoord bij ransomwareaanval op gemeente Hof van Twente
Pentest miste zwak wachtwoord bij ransomwareaanval op gemeente Hof van Twente Nieuws van 16 maart 2021
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht brute-force Nederland Ransomware Rechtspraak Rechtszaak

Reacties (154)

-Moderatie-faq
154
152
92
5
0
46
Wijzig sortering

Sorteer op:

Weergave:
wildhagen
25 februari 2025 16:12
Zo heeft de gemeente de Remote Desktop Protocol-poort naar het internet opengezet, het makkelijk te raden wachtwoord 'Welkom2020' ingesteld, en geen tweestapsverificatie geactiveerd. Verder wijst het hof erop dat de gemeente zelf verantwoordelijk wilde blijven voor haar wachtwoordbeleid. "Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministratoraccount en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd."
Dat openzetten van RDP naar buiten toe, was dit een beslissing van Switch, of was dit ook op nadrukkelijk verzoek van de gemeente zelf? Want dit zou toch wel een hele grote Red Flag moeten zijn, RDP zet je nooit direct open naar buiten (los van VPN's etc).

En over een wachtwoord als Welkom2020 zullen we maar niet eens beginnen. Dat kon in 1999 al niet meer, anno 2020 is dit echt iets waar je je als IT-afdeling voor moet schamen imho.

Als dit allemaal besluiten zijn van de gemeente zelf, en dus niet van Switch, kan ik me heel goed voorstellen dat de rechter dan de claim richting die laatste afwijst. Dan heeft de gemeente hier toch enorm lopen blunderen.

Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien met dit erin opgenomen...
gorgi_19 @wildhagen25 februari 2025 16:15
Dat openzetten van RDP naar buiten toe, was dit een beslissing van Switch, of was dit ook op nadrukkelijk verzoek van de gemeente zelf?
Als je de uitspraak leest, wilde de gemeente ook zelf een stuk beheren. Sterker, de uitspraak zegt onder 5.17:
Dat de door een medewerker van de gemeente opengezette RDP-poort open is blijven staan, is dan ook niet te wijten aan een configuratiefout van Switch.
Het zijn niet eens besluiten van Switch, of verzoeken van de gemeente. Het blijken handelingen van medewerkers van de gemeente zelf te zijn geweest. Medewerkers van de gemeente hebben zelf fouten gemaakt, en hoopten onder het mom van 'zorgplicht' en beheerscontract deze verantwoordelijkheid bij Switch neer te leggen.
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien met dit erin opgenomen...
Dat accepteerden ze blijkbaar ook niet. Onder 5.18 staat:
Switch bij haar inschrijving uitdrukkelijk heeft vermeld dat zij de performance monitoring wel, maar de security monitoring niet op zich nam.
Performance en beschikbaarheid wel, security was uitgesloten. De gemeente probeerde nog onder het mom van performance en beschikbaarheid dat ze ook de securitylogs moesten meenemen, maar dat is door het hof van tafel geveegd:
De redenering dat Switch dit toch had moeten doen omdat beschikbaarheid ook een veiligheidsaspect heeft, gaat zoals hiervoor is overwogen ook niet op.

[Reactie gewijzigd door gorgi_19 op 25 februari 2025 16:19]

sumac @gorgi_1925 februari 2025 16:43
Medewerkers van de gemeente hebben zelf fouten gemaakt, en hoopten onder het mom van 'zorgplicht' en beheerscontract deze verantwoordelijkheid bij Switch neer te leggen.
Als ik dit zo lees dan zit het als volgt:

1) De betreffende IT-manager vond het erg belangrijk dat hijzelf van huis uit in kon loggen en wilde daarvoor niet bv een vpn opzetten. Het was belangrijk dat het wachtwoord eenvoudig te onthouden was en makkelijk in te typen.

2) Na dit fiasco wilde hij z'n eigen hachje redden.

Deze man hoort met direct ontslag gestuurd te worden, als dat al niet gedaan is.
MartineEekhof @sumac25 februari 2025 17:43
Reken daar niet op. Ik heb deze soap vanaf het begin gevolgd en alles wat de betreffende gemeente heeft geprobeerd is de verantwoordelijkheid op het IT bedrijf af te schuiven. Naar mijn weten is er ook geen verantwoording afgelegd door het toenmalige college, integendeel.
firest0rm @MartineEekhof26 februari 2025 01:11
Dat snap ik dus echt niet. Hoe kan een overheidsorgaan dit niet inzien? De IT manager heeft toch ook een baas? In dit soort gevallen dient er een onafhankelijk onderzoek uitgevoerd te worden die de pijn punten aan moet kaarten.

In dit geval is het overduidelijk dat de IT manager bij die gemeente echt zwaar ondermaats handelde.
brankestein @firest0rm27 februari 2025 00:17
Degene die de IT-manager heeft aangenomen had in ieder geval duidelijk niet de benodigde kennis om deze persoon op waarde te schatten bij diens sollicitatie.

Soms is het inderdaad verbazingwekkend hoe erg men willens en wetens tekort kan schieten op dit gebied. (en ik ben vanuit overheden en ziekenhuis echt best wat IT-insecurity gewend afgelopen 10 jaar).

Geen idee waarom er in zulke situaties inderdaad geen verplichte onderzoeken en onder-toezicht-plaatsing plaatsvindt. Want er wordt wel veel gesproken over angst en dreiging voor overheden en kritieke infrastructuur, maar echt toezicht erop lijkt er maar heel weinig te zijn.
Skywalker27 @MartineEekhof25 februari 2025 18:40
CISO daar in tegen was wel erg snel weg. Handdoek in de ring gegooid zeg maar. Maar ja niet echt een CISO maar weer een manager die het er bij moest doen.

[Reactie gewijzigd door Skywalker27 op 25 februari 2025 18:41]

lDDQD @Skywalker2725 februari 2025 19:12
CISO zijn in overheidsland staat gelijk aan 'gewone' ISO in de private sector :')
Houtenklaas @sumac25 februari 2025 18:03
Dat hij gemakkelijk wilde inloggen is tot daar aan toe, maar ik kan eigenlijk geen slechtere manier bedenken dan deze. Dat die gemeente hier zoveel gemeenschapsgeld aan heeft besteed om een onmogelijk gelijk te halen is te schandalig voor woorden. Net als @MartineEekhof heb ik dit circus gevolgd, de gemeente heeft werkelijk nergens een eigen verantwoording genomen. 4 Miljoen schade die - aanname - via de WOZ weer bij de burger wordt teruggehaald. Je zou je als gemeente werkelijk he-le-maal kapot moeten schamen. En dan ook nog eens de kosten opdrijven door een kansloos hoger beroep.

[Reactie gewijzigd door Houtenklaas op 25 februari 2025 18:43]

ArremeR @Houtenklaas25 februari 2025 21:10
Je wilt als inwonende burger van deze gemeente helemaal niet te maken hebben, de imcompetentie beperkt zich niet alleen tot het beheer van IT. Zero-accountability is sowieso in het publiek- en private bestel iets waar we als maatschappij allang wat aan hadden moeten doen.

Hoe groter de kloof, en daarmee eigenlijk corruptie, hoe groter de (extremere) oproepen tot doxxing, geweld en oproepen tot het terugbrengen van guilotines tegen (gemeentelijke) bestuurders en ultrarijken.
GameNympho @Houtenklaas26 februari 2025 00:02
Het gaat nog zelfs verder, er zijn wetten toen aangenomen om dit soort besluiten van ambtenaren, niet juridisch te vervolgen, daar moeten we gewoon van af van dat soort beschermende wetten.
Men verwacht van ons dat we de verantwoording dragen van ons eigen handelen, dan gelijke monniken, gelijke kappen.
Tozz @GameNympho26 februari 2025 09:26
Dat is niet zo raar. Jij bent ook niet juridisch verantwoordelijk of aansprakelijk voor de fouten die je op je werk maakt. Enige uitzondering is wanneer je dat moedwillig en doelbewust doet. Incompetentie valt daar niet onder
MrCuddles @Tozz26 februari 2025 10:26
Wie stel je dan verantwoordelijk voor incompetentie? Want dat lijkt hier het geval te wezen.
Tozz @MrCuddles28 februari 2025 10:01
De leidinggevende. Exact dit is waarom je dingen hebt als ISO certificeringen enzo. Dat dwingt organisaties om na te denken over informatiebeveiliging. Een van de onderdelen is bijvoorbeeld dat de directie zijn goedkeuring geeft voor de implementatie.
Lodd @Tozz26 februari 2025 16:24
Daar zit wel een nuance in hoor. Ik ben even de juridische term kwijt, maar als je zo incompetent bent dat je echt beter had moeten weten, echt heel erg laks, dan kan je in extreme gevallen wel persoonlijk aansprakelijk worden volgens mij.

Maar in de praktijk lastig te bewijzen. Bekijk het eens aan de andere kant. Mogelijk is deze persoon ooit eens "vrijwillig aangewezen" om IT-werk "er even bij te doen" en vervolgens door de werkgever nooit goed opgeleid en ontwikkeld. Dat soort praktijken zie ik wel vaker, ook buiten het IT-vak.
Tozz @Lodd28 februari 2025 10:07
In "extreme gevallen" kan het ja. Maar dat gaat je in deze zaak niet lukken. Een rechter zal namelijk terecht stellen dat er voldoende waarschuwingen uitgegaan zijn naar de organisatie (oa. door deze MSP) en dat de verantwoordelijkheid daarom niet bij 1 persoon ligt. De organisatie heeft bewust danwel onbewust niets met de waarschuwingen gedaan. Er is dus een probleem met bewustwording binnen de organisatie of afdeling. En dat is een verantwoordelijkheid van de werkgever.

Op het moment dat ik ICT'er ben bij de gemeente en jij bent mijn werkgever.. En jij krijgt van de MSP een mailtje met "Joh, dit is echt onveilig wat we nu gevraagd worden te doen" dan kun jij vanaf dat moment mij niet meer prive aansprakelijk stellen als jij geen actie hebt ondernomen.
GameNympho @Tozz26 februari 2025 12:49
Laat ik het netjes stellen, hoe wil je die ambtenaren op non actief krijgen als blijkt dat men stronteigenwijs is en niet wil luisteren en doorgaat met eigenwijs gedrag?
Want ik kan m er een gal uitgooien over vriendjes politiek en elkaar beschermen/doofpot/struisvogel technieken :F
Dit soort figuren horen helemaal niet op die positie te zitten.
Laat ze het maar zelf betalen ipv de belastingbetaler en hun gelach snel laten verdwijnen.
Aldy @GameNympho26 februari 2025 13:29
Ik begrijp de gemeente sowieso niet. Losgeld € 750.000,00. Nee, we betalen niet, maar we lossen het zelf op voor € 4.000.000,00. En Switch draait daar voor op??
Die vier miljoen, proceskosten en juridische kosten en de inwoners van Hof van Twente mogen daarvoor opdraaien.
Het is bekend dat ambtenaren in het uitoefenen van hun wettelijke taken niet verantwoordelijk kunnen worden gesteld, maar valt dit onder wettelijke taken? Daarnaast heb je ook nog politiek verantwoordelijke personen; één of meer wethouders en de burgemeester, die dit allemaal heeft laten gebeuren. En met dat gebeuren bedoel ik niet de fout bij de ambtenaar, maar de (af)gang naar de rechter(s).
firest0rm @GameNympho27 februari 2025 00:51
Het klinkt hard, maar NL is een van de meest corrupte landen toch echt, wat een farce.
Klinkt niet hard maar feitelijk onjuist. Nederland valt wat dat betreft onder het kopje minst corrupte landen in de wereld.

Al die andere onzin die je post heeft ook niks te maken met dit onderwerp.
Wat heeft Rutte hier in godsnaam mee te maken?
Aldy @GameNympho26 februari 2025 13:46
Een paar jaar geleden is de wethouder van onze (toen nog) kleine gemeente vergeten het contract met de reiniging te verlengen en dat heeft een half miljoen gekost. We hadden een potje onvoorzien en die werd daarvoor ingezet. Gelukkig maar dat we dat potje hadden en we kunnen daarom weer over tot de orde van de dag. Door dat potje heeft er niemand verder vragen gesteld en de wethouder kon blijven zitten. Ik heb me er dood aan geërgerd. Vertrouwen in de politiek? Mwah.

Edit: woordje stond op verkeerde plaats in de zin.

[Reactie gewijzigd door Aldy op 26 februari 2025 14:39]

kujinshi @Houtenklaas26 februari 2025 12:11
Niemand is nergens ooit financieel verantwoordelijk. Want je werkt bij een bedrijf, en gemeente kan je ook daaronder scharen. Welkom in de bedrijfswereld zou ik zeggen.

Je kan de ambtenaar ontslaan maar hij vindt een volgende baan en gaat verder. Uiteindelijk is de burgemeester verantwoordelijk, maar zelfs al zou je die ontslaan, die man/vrouw vindt weer een volgende baan, zonder boete te betalen. En zo werkt het bij bedrijven ook. Bij iets goeds, dikke bonussen naar leidinggevenden. Maar bij blunders is het ergste wat ze kan overkomen ontslag. En dan vindt men wel weer een volgende baan want het leven gaat verder. Verantwoordelijkheid is echt niks waard, zowel bij bedrijf als een gemeente.

En alle kosten in een gemeente gaan altijd naar de burgers. Risico wat altijd zal blijven bestaan. Niemand wil blunders maken, maar controle is beter.
Houtenklaas @kujinshi26 februari 2025 16:04
Dan heb ik nieuws voor je, dat kan wel degelijk, punt is wel dat dit aantoonbaar moet zijn.
sumac @wildhagen25 februari 2025 18:08
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien met dit erin opgenomen...
Switch zal een standaardcontact hebben met daarin allerlei paragrafen over veiligheid. Wil je dat zij 100% verantwoordelijk zijn voor de veiligheid, dan moet je aan hun eisen voldoen, en dan zal zo'n wachtwoord niet kunnen, die poort ook niet, en dan is er vast wel een oplossing met een VPN.

Als je dat allemaal niet wilt, dan moet je daarvoor tekenen, specifiek per paragraaf zodat je 100% bewust bent van het feit dat je iets stoms gaat doen. Dat zal heel expliciet besproken zijn, in emails vastgelegd, en zodanig contractueel opgeschreven zijn dat de gemeente hier echt niet omheen kon.

Ik vind het wel mooi dat ze ook nog 24.000 euro proceskosten moeten betalen. Verdiende loon!
GeleFles @sumac25 februari 2025 20:53
De gemiddelde MSP contracten waren in die tijd echt niet zo waterdicht als dat je ze nu ziet.
Dat is ook waarom Hof van Twente zo lang heeft door lopen zagen en er een lang proces van heeft gemaakt.
Zulke MSP klussen worden allemaal vanuit aanbestedingen opgebouwd, waarbij (even heel kort door de bocht) een verkoper een mooi verhaal verzint en pas na het winnen van de aanbesteding een echt technisch plan gemaakt word.
Vaak worden er dan al snel wat shortcuts genomen om ervoor te zorgen dat ze niet uit de kosten lopen.
In de uiteindelijke contracten kunnen bepaalde onderdelen en verantwoordelijkheden dan wat vaag gehouden worden, zodat er nog wat speling overblijft voor de MSP.
En dat zorgt achteraf dan weer voor een hoop getouwtrek als er echt iets in de soep loopt.
Na dit soort grote ransomware issues hebben veel MSPs de contracten nog eens goed doorgenomen om dit soort ellende te voorkomen.
Ondanks dat Switch het proces niet verloren heeft, heeft dit ze alsnog ontzettend veel geld gekost.
kdekker @wildhagen25 februari 2025 17:09
Wellicht een beetje pleiten-voor-de-duivel: een RDP poort naar internet open zetten is een grotere attack vector dan via VPN, maar beide zijn attach vectoren en beide 'luisteren' doorgaans op een default port. Zowel RDP (server) als VPNs kunnen zero-days hebben.

Ik pleit niet voor exposen van RDP poorten, maar als de server erachter in een DMZ zit met goed gescheiden netwerken en geen essentiele info op de betrokken server, dan is het niet hoeven te gebruiken van een VPN een klein gemak. Slecht argument, ik weet het, maar je hebt niet altijd een eigen laptop met VPN software erop bij je c.q. het is soms handig om vanuit een extern (doorgaans klanten systeem) even te kunnen spieken in de info op de RDP server. Alles bij elkaar: het gaat om te afweging RDP-openzetten en het (on)gemak van een VPN. Als die afweging goed gemaakt wordt, dan is het risico uiteraard voor degene die besluit om RDP aan internet te hangen. Maar RDP aan internet is fout, is mogelijk net te kort door de bocht (het zou mijn keuze niet zijn).
Houtenklaas @kdekker25 februari 2025 17:59
Slecht argument, ik weet het, maar je hebt niet altijd een eigen laptop met VPN software erop bij je c.q. het is soms handig om vanuit een extern (doorgaans klanten systeem) even te kunnen spieken in de info op de RDP server.
Het is niet eens een slecht argument, maar het slechtst denkbare argument. Nee, nee en nog eens nee. Zonder eigen laptop, VPN en minstens 2FA moet het onmogelijk zijn om binnen te komen. Een VPN is geen ongemak, het biedt een eerste vorm van veilige toegang. Het gaat erom zoveel mogelijk drempels op te werpen die het liefst gescheiden zijn van elkaar. Met RDP zit je gelijk in je OS. Met een VPN zit je op een - hopelijk gecompartimenteerd - netwerksegment en verder nergens.
kdekker @Houtenklaas25 februari 2025 18:15
2FA op een Windows systeem dat niet aan een domeincontroller is niet mogelijk. Het is jammer dat Microsoft dit alleen voor de cloud biedt (vziw). Dat is ook een reden dat een vpn met 2fa de voorkeur heeft. De keuze is echter niet aan mij.
Houtenklaas @kdekker25 februari 2025 18:36
Hopelijk heb je dan al drie of vier drempels gehad voordat je bij die server terecht komt:
  • Remote toegang met mobiele data middels private APN en dus bekend IP nummer
  • VPN met 2FA alleen vanaf bekende IP nummers
  • Gebruik maken van een opstapserver
  • En dan pas bij je applicatie, als die belangrijk genoeg is ook met 2FA
En dan nog heb je de optie dat je PC/Laptop/Mobiel gehackt kan worden, maar je maakt het in ieder geval flink lastiger
firest0rm @Houtenklaas26 februari 2025 01:21
IP whitelisting is mijn inziens wel een extreme maatregel. De VPN dienst is er juist om er voor te zorgen dat men flexibel kan zijn in zijn werk omgeving zolang ze maar hun werk laptop gebruiken.

Ben zelf van mening dat een installatie en afdwingen van het juiste certificaat dit probleem al afvangt om connectie te mogen maken met de VPN dienst. Verder helpt Geofencing/ ip blacklisting ook al redelijk.
Niemand uit Rusland of China hoeft verbinding te maken met die diensten dus die ip adressen reeks kunnen wel standaard geblokkeerd worden. En natuurlijk een 2FA Token.

[Reactie gewijzigd door firest0rm op 26 februari 2025 01:22]

kdekker @Houtenklaas25 februari 2025 19:54
Dat klopt, maar in onwerkbaar als je in het veld rondloopt. Dan is je IP niet fixed. En zoals ik ook al zei, RDP heeft geen 2FA. En je applicatie is een systeem. Die ook geen 2FA heeft, zonder extra tools (zoals VPN).

Als je RDP aan het internet hangt, heb je geen drie of vier drempels. Dat punt is terecht (en daar liet ik volgens mij al duidelijk van merken dat ik me daar bewust van ben, maar dat ik op die keuzes geen invloed heb; ik ben gebruiker, niet beheerder). Persoonlijk vind ik 3 of 4 drempels vanuit security oogpunt wellicht te verdedigen, maar vanuit simpele bruikbaarheid niet. Bij vorige werkgevers was het gewoon een VPN client met 2FA en dan zit je op het interne netwerk (met gewoon user+password). Dat is maar 2 drempels. Schiet je niet door met 3 of 4 drempels? Zoals ik al zei: de RDS server zit in een DMZ, de rest zit fysiek gescheiden.
Houtenklaas @kdekker25 februari 2025 21:53
't Is uiteraard waar je risicoprofiel zit. Dataverkeer van een mobiele telefoon kan bij je werkgever worden afgeleverd in een besloten VPN, los van het internet. Gewoon een standaard "Private APN" feature die je bij elke Telco kunt afnemen als bedrijf. Kost een paar knaken, maar daar heb je een risico inschatting voor gedaan vooraf. Als je risico-inschatting aangeeft dat één drempel niet genoeg is, dan handel je daarnaar. En als jouw bedrijfsvoering aangeeft dat er meer drempels nodig zijn, dan gaat simpele bruikbaarheid het afleggen tegen security maatregelen als het goed is.

Doorschieten met 3 of 4 drempels zal vast het geval zijn voor een doorsnee MKB bedrijf. Om maar een uiterste te noemen die ik kan bedenken, hoe zouden ze dat bijvoorbeeld bij de MIVD doen. Daar hebben ze vast geen RDP openstaan op een Windows server. En echt meer dan één drempel hebben. En segmentering hebben toegepast in het netwerk. En dingen als "Zero Trust" tot op het bot hebben doorgevoerd.

Er is niets onwerkbaar als je securiity serieus neemt. Het wordt pas eng als die security maatregelen achterwege blijven vanwege gebruiksgemak. Dat is exact wat er bij deze gemeente gebeurd is.
kujinshi @Houtenklaas26 februari 2025 12:17
Vanuit gebruiker is alles boven 1 drempel al wel slecht werkbaar. Een keer bij aanvang dag 2 drempels over, prima maar dan moet het stoppen.

Bij ICTers kan ik me wel voorstellen dat je bij belangrijke handelingen wel een 5x per dag door 2-3 drempels heen moet. Want dat is hun taak, netwerk en bestanden beveiliging.
TheMak @Houtenklaas26 februari 2025 06:54
Hoe beheer je als afministrator al die drempels? Doe je dat lokaal? Je wilt jezelf niet buitensluiten.
gorgi_19 @kdekker25 februari 2025 19:28
Het account wat de IT leverancier gebruikte had een sterk wachtwoord en mfa aan staan, volgens de uitspraak.
Het account met hetzelfde rechtenniveau dat de gemeente gebruikte, had geen sterk wachtwoord, en geen mfa aan staan, volgens de uitspraak.

[Reactie gewijzigd door gorgi_19 op 25 februari 2025 19:40]

dasiro @gorgi_1925 februari 2025 21:38
Verder wijst het hof erop dat de gemeente zelf verantwoordelijk wilde blijven voor haar wachtwoordbeleid. "Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministratoraccount en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd.
sterk of zwak wachtwoord hangt af van die policy, maar om dan te zeggen "je had een domain admin en je kón het zelf" is wel wat kort door de bocht, al pleit ik de gemeente zeker niet vrij. Dit is altijd een moeilijke wisselwerking met externe partijen die in hun implementatie niet voldoende rekening houden met de gebruiksvriendelijkheid van wat ze opleveren, waarbij ze zich dan terugtrekken en de klant met de problemen blijft zitten.
KoeKk @kdekker25 februari 2025 18:50
2FA is zeker wel mogelijk op een standalone systeem (ongeacht of het windows of linux is). O.A. met Duo is dit te configureren.
The Zep Man
@kdekker25 februari 2025 17:13
Ik pleit niet voor exposen van RDP poorten, maar als de server erachter in een DMZ zit met goed gescheiden netwerken en geen essentiele info op de betrokken server, dan is het niet hoeven te gebruiken van een VPN een klein gemak.
VPN of direct RDP zijn niet de enige opties. Verder is RDP met het OS verweven. Dat openzetten naar het internet is vragen om problemen en onverantwoord.
Alles bij elkaar: het gaat om te afweging RDP-openzetten en het (on)gemak van een VPN.
Waarom zet je dan niet bijvoorbeeld een Guacamole server op met WAF, OIDC en MFA (of een commercieel equivalent)? Dat past ook beter bij de use case die je later omschrijft.

[Reactie gewijzigd door The Zep Man op 25 februari 2025 19:06]

Blokker_1999
@The Zep Man25 februari 2025 18:43
Het verbaasd me trouwens regelmatig als ik zie hoeveel commerciele producten Guacamole ook weer gebruiken om dat soort van functionaliteit aan te bieden.

En inderdaad, zo een web based systeem ertussen zorgt voor een mooie scheiding, kan je ook weer vrij goed beveiligen en kan je verder netjes verder isoleren door er nog eens een reverse proxy voor te zetten waar je zonder aanmelden al niet voorbijkomt.
kdekker @The Zep Man25 februari 2025 19:55
Dat is een terecht punt. Zoals eigenlijk alles van Windows sterk met het OS verweven zit. Wat niet perse wil zeggen dat Windows (veel) onveiliger is dan Linux, maar waarschijnlijk wel veel meer gebruikt (in aantallen servers en gebruikers).

Je genoemde zaken is wel (deels) cloud spul, waar niet iedereen op zit te wachten.

[Reactie gewijzigd door kdekker op 25 februari 2025 21:35]

TheVivaldi @kdekker25 februari 2025 17:33
Maar dan nog zul je er wel een veiliger wachtwoord op moeten zetten dan Welkom2020.
kdekker @TheVivaldi25 februari 2025 18:12
Uiteraard.
Blokker_1999
@TheVivaldi25 februari 2025 18:40
2025HeetJeWelkom
kujinshi @TheVivaldi26 februari 2025 12:18
welkom123 is beter.
Tintel
@kdekker25 februari 2025 17:39
De vraag is nu: hebben we het over 'een' RDP protocol of over het ingebouwde RDP protocol van Windows?
Van dat ingebouwde RDP protocol is toch allang bekend dat dit een onveilig protocol is?

Je kan het beste beveiligsbedrijf inhuren maar als je de achterdeur gewoon open laat staan en vervolgens je kostbaarheden ook niet in een kluis stopt [dus account met toegang tot nackups...], dan vraag je om ellende....
Tozz @Tintel26 februari 2025 09:30
Er is niets onveilig aan rdp. Het protocol is prima. Maar wanneer het open staat met een simpel wachtwoord...
Tintel
@Tozz26 februari 2025 10:16
Ik noem dan ook niet 'rdp' in het algemeen maar specifiek de variant die het OS aanbiedt en die had (heeft?) echt wel security issues. Dus mijn formulering was wellicht niet goed. Ik was bekend met security issues omtrent het in het OS aanwezige RDP systeem maar weet niet of dat inmiddels weer helemaal okay is. Gevalletje: er wordt voor gewaarschuwd dus gebruik je het niet meer (en gebruik je een ander systeem).
Tozz @Tintel28 februari 2025 10:08
Ik begrijp niet waar je naar toe wil. Maar stellen dat een RDP smaak een gapend gat is dat niet wordt gepatched lijkt me een gedurfde uitspraak.
Tintel
@Tozz28 februari 2025 11:56
Waar ik naar toe wil is dat van RDP wat standaard in het Windows OS zit, bekend was dat het niet secure was.
Nergens stel ik dat alle RDP varianten slecht zijn en mijn vraag is nu juist of die bewuste RDP variant [van Windows zelf dus] inmiddels weer te boek staat als betrouwbaar?
ArremeR @kdekker25 februari 2025 21:13
Een mooie vergelijking is misschien wel het openzetten van het op afstand laten overnemen van je auto, zonder beveiligingsmaatregels en alleen een wachtwoord, en dan ook nog 'ns op de meestgebruikte poort daarvoor. Geen enkele dwaas die dat wil toelaten, zélfs geen IT-beheerder van Hof van Twente.
CAPSLOCK2000
@wildhagen25 februari 2025 16:14
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien met dit erin opgenomen...
Gezien de uitspraak van de rechter aws het contract van Switch goed genoeg.
kodak
@CAPSLOCK200025 februari 2025 17:16
Het punt waar het om gaat is niet dat een rechter uiteindelijk een uitspraak kan doen maar welke grens je als bedrijf trekt om problemen die door anderen veroorzaakt worden te voorkomen. Waarbij het me niet de bedoeling lijkt om als bedrijf flinke tijd en kosten extra te moeten besteden aan wat conctractueel als risico's weggenomen kan worden.
De uitspraak van de rechter gaat er niet om of het bedrijf vooraf meer voor zichzelf en anderen had kunnen doen maar of het voor de rechter genoeg is achteraf de verantwoordelijke aan te wijzen.
Willem_54 @CAPSLOCK200027 februari 2025 13:30
Switch kan op dergelijke uitwassen reageren door minimaal Jaarlijks een Audit (SSAE 16/ vh Sas 70) te laten uitvoeren op het beheer en de back-up inrichting.

Daarnaast is het in dit geval sterk aan te bevelen dat Switch of de gemeente een gebruikerstraining met certificering of diploma eisen verplicht stelt voor IT systeembeheerders waarin een Cybersecurity component in opgenomen is m.b.t. digitale hygiene.

Een zelfverzonnen wachtwoord als Welkom2020 is dan hetzelfde als de sleutel in de deur laten zitten, wel handig voor inbrekers.
The Zep Man
@wildhagen25 februari 2025 16:16
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen?
Geen enkel serieus beveiligingsbedrijf garandeert veiligheid. Je kan gevraagd en ongevraagd advies met bijbehorende risicoanalyses geven. De ontvanger (de klant) heeft de vrijheid om dat zich naast zich neer te leggen. Dat laatste is natuurlijk op eigen risico.

"Accepteren"? Switch is geen toezichthouder.

[Reactie gewijzigd door The Zep Man op 25 februari 2025 16:21]

Deveon @The Zep Man25 februari 2025 18:28
Garanderen niet, maar probeer maar eens een fatsoenlijke Cyber verzekering af te sluiten en dan krijg je vanzelf hun eisen voor je kiezen. Als je er niet al voldoet kan je fluiten naar de vergoeding ondanks dat je premie hebt betaald.
DigitalExorcist @wildhagen25 februari 2025 16:30
RDP naar buiten toe lijkt me het probleem niet, RDP van buiten naar binnen wél...
latka @DigitalExorcist25 februari 2025 17:28
Zijn ook wel hacks bekend met een remote-desktop client die verbind met een fake server....
kodak
@wildhagen25 februari 2025 17:32
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien
Dat hangt er vanaf wat een opdrachtnemer voldoende meent te vinden om risico's in te dekken. Ik ken het contract niet, maar het feit dat een opdrachtgever achteraf meent verantwoordelijkheid te kunnen afschuiven ligt niet perse aan onduidelijkheid van de voorwaarden. Onjuiste interpretaties, om welke redenen dan ook, bestaan net zo goed als een opdrachtnemer meent dat de grens en gevolgen duidelijk genoeg zijn.

Het lijkt me eerder de verantwoordelijkheid van de opdrachtgever om zowel vooraf, als tijdens het uitvoeren regelmatig heel duidelijk zelf te controleren wat een opdrachtnemer precies wel en niet onder risico van de opdrachtgever ziet. Veel van de verantwoordelijkheid valt namelijk niet zomaar af te schuiven als je als opdrachtgever een ander een deel van je werk laat doen. Het hele uitbesteden is nmm nooit bedoeld om verantwoordelijkheid af te kunnen schuiven, eerder juist om heel voorzichtig te zijn dat wie geld aan je wil verdienen niet zomaar een goede keuze is als je zelf niet of nauwelijks in staat bent de risico's te doorgronden of taken uit te voeren door gebrekkige kennis.

[Reactie gewijzigd door kodak op 25 februari 2025 17:35]

Triblade_8472 @wildhagen25 februari 2025 18:07
Tja, aardig wat jaartjes terug in een groot ziekenhuis gewerkt waar de artsen allemaal een simpel wachtwoord moesten hebben (complexiteit uit), niet wijzigen èn domain admin rechten.

Toen de IT club dat wilde wijzigen heeft de directie dit tegengehouden.
Want de secretaressen konden niet meer de moeilijke wachtwoorden van de artsen overweg. (Accountdeling dus)

Na wat jaartjes (en ongelukjes) verder, is de nen7510 doorgevoerd en is alles gelukkig gigantisch verbeterd.

Moraal van dit verhaal: management gaat dwars door alles wat veilig is heen, zolang zij maar kunnen hobbien zonder grenzen.

Enige wat je kan doen is klokkenluiden, met name als er een nen7510, isae, iso, nis2 of bio is.
tweaker2010 @wildhagen25 februari 2025 19:51
[...]
En over een wachtwoord als Welkom2020 zullen we maar niet eens beginnen. Dat kon in 1999 al niet meer, anno 2020 is dit echt iets waar je je als IT-afdeling voor moet schamen imho.
Als je wel eens voor de overheid gewerkt hebt weet je dat dit nog steeds voorkomt. Complexe wachtwoorden worden nog steeds niet altijd afgedwongen (want te moeilijk te onthouden). MFA is ook lang niet altijd standaard. Beheerders die zichzelf buitensporig veel rechten gegeven hebben als domain admins etc.
SilentDecode @wildhagen25 februari 2025 20:56
Wat me dan wel verbaast is dat Switch dit zomaar accepteert. Je kan met dit soort acties toch de beveliging van het door jou beheerde netwerk niet meer garanderen? Dan zou je op zijn minst een hele stevige clausule in het contact willen zien met dit erin opgenomen...
Ze hadden het contract niet om zomaar in te grijpen, dus er werd ook niet super nauw gekeken naar wat de beheerders bij het Hof van Twente allemaal uitvoerde.

Tuurlijk staat er monitoring software open, maar tegen de tijd dat dat afgaat, zijn ze zo goed als binnen.
Maarja, als Hof van Twente bewust gaten prikt in hun firewall, dan moeten ze ook met de pijn zitten van het zelf hebben verneuken van hun omgeving.
Jemboy @wildhagen26 februari 2025 10:19
[...]
En over een wachtwoord als Welkom2020 zullen we maar niet eens beginnen. Dat kon in 1999 al niet meer, anno 2020 is dit echt iets waar je je als IT-afdeling voor moet schamen imho.
Niet helemaal waar. Welkom2020 kon ook in 1999, echter het was toen gebruikelijker om Welkom1999 te gebruiken :+
Willem_54 @wildhagen27 februari 2025 12:17
Bij bedrijven en organisaties worden maar in weinig gevallen Wachtwoordmanagers ingezet, terwijl dit de beste oplossing is om dit soort problemen te voorkomen.

In veel gevallen kunnen de ze situaties worden verbeterd, zonder dat er dure oplossingen horen te komen.
Naast 2FA is er nog een betere oplossing en dat zijn Passkeys, een wachtwoordloze oplossing die helaas nog in de kinderschoenen staat.

De beste gratis wachtwoordmanagers kunnen dit voorkomen, te denken valt aan KeePassXC en KeePass deze kunnen prima in een zakelijke omgeving worden toegepast en worden beheerd door de Administrators.
Een goede betaalde Wachtwoordmanager met uitstekende support is 1Password.

Als de schade niet betaald wordt door de verzekering op Switch dan is er weer veel belastinggeld verspild in deze gemeente.
Indifstublatia @wildhagen28 februari 2025 21:15
Hof van Twente hééft geen IT-afdeling. Dit werd gedaan door een persoon die de pensioensgerechtigde leeftijd in 2016 al had behaald, want dat was goedkoper.
Indifstublatia @djwice28 februari 2025 21:17
De wachtwoorden van ons bedrijf waren toch echt langer in 1999. In 1996 waren ze al langer dan 8 tekens, in 1999 zelfs meer.
djwice @Indifstublatia28 februari 2025 22:04
Heel goed, maar de meeste gebruikte wachtwoord policy in die tijd was nog steeds minimaal 8 tekens, waarvan minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en een speciaal teken.

Dat was toe heel gebruikelijk. Goed dat dat bij jullie toen al anders was.

[Reactie gewijzigd door djwice op 28 februari 2025 22:13]

Indifstublatia @djwice1 maart 2025 23:57
Zeker goed :-)

Het kwam, op mij in elk geval over, alsof je meende te zeggen dat 8 tekens de max was.
Dat het gebruikelijk was, dat klopt. Maar je kon ook toen al 32 tekens gebruiken als je wilde (tenzij een website een maximum aantal tekens had ingesteld, wat helaas vaak voorkwam juist bij de websites waar je een heel goed wachtwoord wílde hebben).
djwice @Indifstublatia2 maart 2025 00:35
Er is nog een bank in Nederland met miljoenen klanten waar je geen spatie in het wachtwoord kunt gebruiken en waar het maximaal aantal toegestane tekend zeer beperkt is.

Het zal wel te maken hebben met het gebruik van hele oude systemen ofzo, en ja ze verplichten een 2e factor, maar het blijft toch elke keer een gek gevoel geven.

Ik ben in de 201x-jaren nog sites tegen gekomen met als wachtwoord voor de 'admin' gebruiker:

[domeinnaam][jaar] of [merknaam][jaar]
Eventueel nog met [maand_van_oplevering] of [seizoen] er tussen.

Ook voor 3-letter domeinen...

Soms als ik de website eigenaar belde bleek dat zij een ander admin account hadden en dit account een voor de eigenaar verborgen account was waar de leverancier van de website gebruik van maakte.
Ook voor websites met miljoenen gebruikers en ook als ze bijzondere persoonsgegevens verwerkten.

Ik hoop dat dat tegenwoordig niet meer voor komt...

[Reactie gewijzigd door djwice op 2 maart 2025 00:50]

Indifstublatia @djwice2 maart 2025 01:44
Vast de ING. Die draait nog altijd op Cobol en in Cobol kan je geen spaties gebruiken in wachtwoorden.
youridv1 25 februari 2025 16:24
Zo heeft de gemeente de Remote Desktop Protocol-poort naar het internet opengezet, het makkelijk te raden wachtwoord 'Welkom2020' ingesteld, en geen tweestapsverificatie geactiveerd. Verder wijst het hof erop dat de gemeente zelf verantwoordelijk wilde blijven voor haar wachtwoordbeleid. "Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministratoraccount en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd."
maar
Naast de claim dat Switch zijn zorgplicht niet was nagekomen, zei Hof van Twente dat het bedrijf ook tekort was geschoten in het maken van back-ups.
Dit is toch niet serieus te nemen.
gorgi_19 @youridv125 februari 2025 16:31
De reden waarom de backups konden worden verwijderd staat wel in de uitspraak, maar is verder in het artikel niet genoemd:
Ten aanzien van het gestelde onder (iv) geldt dat de gemeente zelf verantwoordelijk was en wilde blijven voor haar wachtwoordbeleid. Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministrator account en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd.
(...)
De gemeente had via het domeinadministrator account toegang tot op het hoogste niveau en dus ook tot de back-ups. De gemeente wilde dat zo houden.
(...)
De oorzaak van het probleem lag niet in een onjuiste inrichting van de back-upvoorziening, maar in het feit dat de hackers toegang hebben verkregen via het hoogste domeinadministrator account van de gemeente en daardoor ook toegang kregen tot de back-ups, waardoor zij deze hebben kunnen verwijderen.
Ze wilden zelf een beheeraccount hebben met alle rechten, en alle toegang. Die ze een zwak wachtwoord en geen 2fa. En dat account moest toegang hebben tot de backups. En dan zijn ze verbaasd dat dat account dus ook backups kan verwijderen.

[Reactie gewijzigd door gorgi_19 op 25 februari 2025 17:03]

Lucb1e @gorgi_1925 februari 2025 17:54
De oorzaak van het probleem lag niet in een onjuiste inrichting van de back-upvoorziening, maar in het feit dat de hackers toegang hebben verkregen via het hoogste domeinadministrator account van de gemeente en daardoor ook toegang kregen tot de back-ups
Op welke manier is dat een juiste inrichting dan?

Een klant van ons wilde ook een evaluatie van, en aanbevelingen voor, hun back-upsysteem. Als beveilingsbedrijf (we leveren zelf geen diensten; zijn onafhankelijk) heb ik een iets andere insteek dan zo'n IT-leverancier of IT-afdeling van de gemeente, maar ransomware kun je anno 2020 niet blind voor geweest zijn...

Het is geen logische of toereikende voorziening wanneer de backups te verwijderen zijn met het toegangsniveau die je verwacht dat in een ransomwareaanval bemachtigd worden! Domain admin, zoals hier, is zo goed als altijd het geval

Juridisch zal het best kloppen als de rechter stelt dat de gemeente niet adequaat bewijs heeft aangeleverd dat de dienstverlener hier de hoofdverantwoordelijke was: de gemeente had immers op eigen wens die touwtjes zelf in handen. Echter het beschrijven als "ja goed ingericht hoor, dat verwijderde backupsysteem" is een beetje... 8)7

Edit: om het concreet te maken, ik zou bedrijven dus aanbevelen om ten minste één backupsysteem niet in het Windows-domein te hebben maar ergens als los systeem te beheren met een aantal schijven erin die de versleutelde backupdata bevatten. Afhankelijk van je bedrijfsgrootte kan dat gewoon een NAS zijn met iets als LUKS. (Online opslag kan ook, maar de prijzen zijn veel hoger dan zelf kopen, zelfs als je rekening houdt met stroomkosten, tijdsinvestering, enz. Het systeem moet ook juist helemaal niet complex zijn en je hebt er niet echt omkijken naar behalve de backuptests die je sowieso moet doen.) Het wachtwoord daarvoor bewaar je dan op een fysiek beveiligde locatie. Deze backup moet ook getest worden zodat je weet dat die werkt, voorbeeldje:
Hoping they could restore the database the engineers involved went to look for the database backups, and asked for help on Slack. Unfortunately the process of both finding and using backups failed completely.
-- https://about.gitlab.com/...ase-outage-of-january-31/

[Reactie gewijzigd door Lucb1e op 25 februari 2025 18:06]

gorgi_19 @Lucb1e25 februari 2025 19:35
Edit: om het concreet te maken, ik zou bedrijven dus aanbevelen om ten minste één backupsysteem niet in het Windows-domein te hebben maar ergens als los systeem te beheren met een aantal schijven erin die de versleutelde backupdata bevatten. Afhankelijk van je bedrijfsgrootte kan dat gewoon een NAS zijn met iets als LUKS
Sterker, als je de uitspraak leest, hebben ze dat aangeboden. De gemeente heeft dat geweigerd.
Ze wilden het zo hebben, de gemeente heeft met hun handelen de beveiliging verzwakt.
Er waren praktijkvoorbeelden zichtbaar die aanleiding gaven om het anders in te richten, daar heeft de IT leverancier over geadviseerd, maar daar wilde de gemeente niet aan.
Switch signaleerde na de ransomware aanval bij de Universiteit Maastricht dat de aanvallers toegang hadden gekregen tot de active directory omgeving en daarmee ook bij de back-up konden komen. Dat betekende niet direct een groot risico voor de gemeente, omdat Switch zelf MFA toepaste op de door haar beheerde domeinadministrator accounts en zij ervan mocht uitgaan dat de gemeente haar eigen account ook goed beveiligde met een (moeilijk te raden) wachtwoord. Daarnaast adviseerden de VNG en het NCSC ook nog geen nadere maatregelen; dat gebeurde pas na 1 december 2020. Switch heeft desondanks proactief gehandeld door een voorstel voor back-up hardening uit te werken en naar de gemeente te sturen. Dit voorzag onder meer in toevoeging van een offline back-up die niet meer via het netwerk van de gemeente zou zijn te benaderen.

(....)
Dat Switch op 22 mei 2020 een offerte heeft uitgebracht met een voorstel voor back-up hardening, dat de gemeente niet heeft aanvaard
Hoe ver moet je als IT-leverancier gaan als je een implementatie conform specificaties levert. Vervolgens blijkt door de actualiteit en het handelen van de gemeente dat er aanvullende maatregelen aanbevolen zijn. Daar wil de klant niet aan. Maar nog steeds voldoet je implementatie aan de afgesproken specificaties. Wat moet je dan doen?

[Reactie gewijzigd door gorgi_19 op 25 februari 2025 19:38]

n4m3l355 @gorgi_1926 februari 2025 04:35
Blijkbaar weigeren om mee te werken, ik vermoed dat dit ook origineel gebeurd is gezien dat alles mooi op papier staat.

Mij doet dit sterk denken aan toen ik klein was, er was een zwembad maar ik kon niet zwemmen. Mijn ouders vertelde me meermaals dat ik dit niet kon zwemmen dus spring er vooral niet in. Als klein kind natuurlijk sprong ik zo in het bad en trok m'n pa me uit het water anders was ik verzopen. Echter in tegenstelling tot de gemeente waarbij ik m'n armen omhoog stak voor bandjes, begint de gemeente te schreeuwen. Nu kan een vierjarige dat doen, maar als een stel volwassenen moet de gemeente zich toch echt achter de oren krabben.

Wat ik me nu ook afvraag, het mag duidelijk zijn dat de gemeente gigantische fouten heeft gemaakt, ondanks gigantische fouten alsnog naar de rechter ging om de kosten nog verder op te jagen, neemt iemand hier nu uiteindelijk nog zijn verantwoordelijkheid? Zijn hier mensen voor ontslagen? Want als dat niet het geval is, wanneer dan wel? Dit is ongekende onbekwaamheid en die hebben helemaal niks te zoeken op de werkvloer, zowel de IT afdeling maar ook de juristen.
Houtenklaas @Lucb1e25 februari 2025 18:57
Aangezien het een gemeente is, zal er een aanbesteding geweest zijn is mijn aanname. En daar wordt aangeboden wat gevraagd wordt. Wellicht zijn er betere opties genoemd door leveranciers, maar bestek is bestek ... Die betere opties hebben blijkbaar om bepaalde redenen de eindstreep niet gehaald. In ieder geval is er een backup omgeving geleverd die de gemeente blijkbaar heeft gevraagd. Daar zal - aanname - een risico-inschatting gedaan zijn waar ze denk ik achteraf spijt van hebben. Nu de schade bij de gemeente blijft liggen, moeten ze nog even doorzoeken naar aanvullend budget verwacht ik.
Willem_54 @Lucb1e27 februari 2025 13:39
ALs een Back-up instantie niet goed meer werkt dan zou er altijd nog een Opa-Zoon-Kleinzoon Backup strategie moeten zijn zodat er terug kan worden gespoeld naar een eerdere nog werkende systeeminrichting.

Jammer van al dat belastinggeld, een hoger beroep is dan nog meer geld over de balk gooien en kansloos.

De ambtenaar die dit heeft veroorzaakt mag ontslagen worden en weer terug naar de schoolbanken.
DigitalExorcist @youridv125 februari 2025 16:33
Nja je kan het altijd probéren (van die backups) natuurlijk.

Lijkt me wel lekker hoor, gewoon al je problemen afschuiven op de IT'ers terwijl je zelf domain admin bent. Rule #1: als je domain admin credentials hebt, ben je 100% altijd zélf verantwoordelijk. Punt.
Lord Anubis 25 februari 2025 16:25
Ondanks dat de rechter gelijk heeft en de aanval zelf niet echt besproken is zou ik de gemeente toch zeer actief benaderen voor dit soort praktijken en vraag me wel af waarom de 10.000den inlogpogingen idd niet opgemerkt zijn; of zou de gemeente daar geen inlog log gedeeld hebben?
Vraag me tevens af wie hoofd it bij de gemeente was die deze ideeën geïmplementeerd heeft en nu via smoesjes de schuld van zich af schuift?

[Reactie gewijzigd door Lord Anubis op 25 februari 2025 16:27]

gorgi_19 @Lord Anubis25 februari 2025 16:43
De hof besteedt hier in de uitspraak wel aandacht aan. Het is een hoog aantal, maar het aantal verbindingen en inlogpogingen is niet relevant volgens zowel een deskundige van Switch als de gemeente.
Alleen een stijging zou reden tot zorg kunnen zijn, maar dit deel heeft de gemeente niet onderbouwd.
De door Switch ingeschakelde deskundige heeft er tijdens de mondelinge behandeling in hoger beroep echter op gewezen dat het aantal verbindingen/inlogpogingen op zichzelf niet relevant is en niet per definitie op een brute force aanval duidt. De deskundige van de gemeente heeft dat onderschreven, maar heeft erop gewezen dat een significante stijging van het aantal verbindingen/inlogpogingen wel duidt op verhoogde aandacht en risico. De gemeente heeft echter niet (voldoende concreet en onderbouwd) aangegeven dat er sprake is geweest van een zodanige toename dat Switch op grond daarvan maatregelen had moeten nemen of althans had moeten waarschuwen voor het bedoelde risico.
DigitalExorcist @Lord Anubis25 februari 2025 16:35
In elk geval moet je die persoon nooit meer ergens aannemen waar enige verantwoordelijkheid vereist is.
Houtenklaas @DigitalExorcist25 februari 2025 19:16
Hij/zij heeft wel een cursus achter de rug van 4 miljoen. Daar is wel iets van opgestoken mag ik hopen.
Groningerkoek @DigitalExorcist25 februari 2025 20:34
Lastig, Wie heeft meer kans om zijn hoofd te stoten. Iemand die zijn hoofd nog nooit heeft gestoten of iemand die er al een beste bult op heeft?
Willem_54 @DigitalExorcist27 februari 2025 13:47
Helemaal eens. Een systeembeheerder moet op HBO werk/denk niveau zelfstandig kunnen werken.
Ook zijn teamleider en manager zijn ernstig in gebreke gebleven door geen periodieke controles uit te voeren tenminste op basis van een Cheklist waarin de volgende items staan vermeld:

o De wachtwoorden worden periodiek gewijzigd (maandelijks/per kwartaal)
o De wachtwoorden zijn voldoende complex
o De wachtwoorden worden beheerd met behulp van een gecertificeerde /geauditeerde) wachtwoordmanager
DigitalExorcist @Willem_5427 februari 2025 15:10
Wachtwoorden zijn dood, en wijzigen van wachtwoorden wordt door Microsoft zelf ook al een poosje ontraden.

Reden is dat mensen toch voor het gemak gaan, elke maand een nieuw password onthouden is erg veel werk. Vinden ze. Dus worden ze te simpel en hergebruikt.

Gebruik 'gewoon' moderne authenticatie: Windows Hello, MFA, dat hele gereutel. Hardwaredevices for all I care. Maar 'klassieke' wachtwoorden moet je gewoon niet meer doen.

[Reactie gewijzigd door DigitalExorcist op 27 februari 2025 15:11]

Willem_54 @DigitalExorcist28 februari 2025 16:42
In sommige situaties zijn wachtwoorden nog steeds vereist en hopelijk ook met een 2FA/MFA

De groei van het gebruik van Passkeys (Wachtwoordloos inloggen) blijft ook lager dan de verwachtingen.
Het nadeel daarvan is dat er een tweede apparaat of een wachtwoordmanager nodig is die Passkeys kan ondersteunen.

We weten in dit geval niet of de inlogprocedure van de RDP bij Switch ook 2FA ondersteunt.

Het gebruikte WW Welkom2020 is natuurlijk oliedom. Die heb je binnen enkele seconden gekraakt.
DigitalExorcist @Willem_5428 februari 2025 17:09
RDP kan prima voorzien worden van 2FA .. is gewoon een kwestie van willen. En ja het kost iets. Maar dit hele debacle heeft ongetwijfeld méér gekost.
Geim 25 februari 2025 16:12
Dan heb je bij de rechtbank Overijssel al een tik over de vingers gekregen, waarom ga je dan in hoger beroep, als de feiten zo duidelijk op tafel liggen?
Verspilling van gemeenschapsgeld.
GreatDictator @Geim25 februari 2025 16:22
Dan heb je bij de rechtbank Overijssel al een tik over de vingers gekregen, waarom ga je dan in hoger beroep, als de feiten zo duidelijk op tafel liggen?
Verspilling van gemeenschapsgeld.
Dat kun je ook omdraaien, moet een gemeente niet proberen om 4 miljoen euro aan gemeenschapsgeld terug te halen voor enkele tienduizenden euro's aan advocaatkosten? (bedrag uit mijn duim gezogen, maar je snapt wat ik bedoel).
wildhagen
@GreatDictator25 februari 2025 16:25
[...]


Dat kun je ook omdraaien, moet een gemeente niet proberen om 4 miljoen euro aan gemeenschapsgeld terug te halen voor enkele tienduizenden euro's aan advocaatkosten? (bedrag uit mijn duim gezogen, maar je snapt wat ik bedoel).
Als je weet dat het je eigen schuld is als gemeente, en dat bleek al uit de eerdere rechtzaak, moet je niet nóg meer belastinggeld gaan uitgeven aan een hogerberoep-zaak (zoals deze) waarvan je op voorhand weet dat die kansloos gaat zijn.

En aangezien, zoals de rechter al aangeeft in de uitspraak, het security deel niet onder het contract met Switch viel, moet de gemeente ook wel hebben kunnen bedenken dat die zaak kansloos zou zijn.

Als je dan per se dat geld terug wil halen moet je bij je eigen medewerker zijn die die configuratie (van die RDP bijvoorbeeld) zo heeft gezet.
MSalters
@wildhagen25 februari 2025 17:29
Als je dan per se dat geld terug wil halen moet je bij je eigen medewerker zijn die die configuratie (van die RDP bijvoorbeeld) zo heeft gezet.
Kansloos. Dat is een ambtenaar. Zelfs in het bedrijfsleven was het vrijwel onmogelijk geweest.
bamboe @MSalters25 februari 2025 18:27
Je vraagt je wel af hoe ze aan dat wachtwoord zijn gekomen, heeft een gemeente medewerker dit zelf bedacht of stond dit wachtwoord er in toen ze het account van swift kregen....
Het zou me niet eens verbazen als het account met dit wachtwoord door swift aan de gemeente is gegeven met de aanbeveling om het te veranderen want ze vroegen om een gemakkelijk te onthouden wachtwoord.
Uiteindelijk denk ik dat swift er door deze rechtzaak een betere naam krijgt nu in het openbaar word besproken welke eisen de gemeente aan hun dienstverlening stelde.
Tc99m @wildhagen25 februari 2025 16:38
Dit kun je ook niet afschuiven op één medewerker. De IT-organisatie als geheel moet goed zijn ingericht, zodat dit soort fouten niet gemaakt kunnen worden, of tijdig worden opgemerkt.
Dat de RDP-poort is opengezet is dom, maar hoe kan het dat die medewerker niet wist wat voor gevolgen dit had? Als hij niet de juiste achtergrond had om dit te kunnen doorgronden, waarom had hij die mogelijkheid dan? En hoe kan het dat er nog meer fouten op andere plekken zijn gemaakt?
Het gaat niet om het falen van die ene medewerker, maar om het falen van het systeem (of het ontbreken daarvan).

(verder overigens helemaal eens met je opmerking hoor!)

[Reactie gewijzigd door Tc99m op 25 februari 2025 16:38]

Willem_54 @wildhagen27 februari 2025 13:49
De gemeente heeft vast wel een eigen jurist in dienst die een goed advies had kunnen geven of een hoger beroep haalbaar is.

Ik vermoed dat de gemeente hier probeert te doen aan Windowdressing
Blokker_1999
@GreatDictator25 februari 2025 16:26
Niet als zo duidelijk is dat je de zaak gaat verliezen. De enige die hier gewonnen heeft is de advocaat van de gemeente die dankzij deze procedure meer uren kan aanrekenen aan de gemeente.
_JGC_ @Blokker_199925 februari 2025 17:10
Het verschil is dat Switch zelf zijn verdediging moet betalen en de gemeente daar gemeenschapsgeld voor inzet. Het zou me niks verbazen als ze het nogmaals hogerop gaan zoeken.
Tc99m @_JGC_25 februari 2025 17:26
De rechter heeft de gemeente veroordeeld tot het betalen van de proceskosten (waaronder het salaris van de advocaat van Switch).

Verder zijn er niet meer zoveel opties. De gemeente kan in cassatie gaan, maar dan wordt er alleen gekeken of het recht goed gevolgd is, er wordt niet inhoudelijk naar de zaak gekeken. Dat heeft alleen kans van slagen als er echt fouten door het gerechtshof zijn gemaakt.
_JGC_ @Tc99m25 februari 2025 18:01
Nu gaat het om een IT leverancier en een groothandel (Dustin), dus geld zal er wel zijn, maar als een klant mij zoiets zou flikken moet ik forse bedragen aan advocaatkosten voorschieten. Niet iedereen heeft die mogelijkheden.
In dit geval is de uitspraak over het toewijzen van de kosten "uitvoerbaar bij voorraad", betekent dat de gemeente binnen 2 weken met die kosten over de brug moet komen ondanks instellen van hoger beroep.

Gemeente kan alsnog (kansloos) in cassatie gaan bij de hoge raad, dan kost het Switch weer griffierechten en duurt het ongeveer een jaar voor de definitieve uitspraak. Gemeente kan dit heel lang rekken zo en de ondernemer op kosten drijven.

Dit is een zaak waarvan de behandeling in juli 2022 is gestart, uitspraak mei 2023, hoger beroep ingesteld, behandeling in oktober 2024 en uitspraak februari 2025. Je mag als gedaagde dus fijn een bak geld voorschieten aan griffierecht, je advocaat bekostigen en aan het eind van de rit krijg je dat pas terug. Dat dus 2x, mogelijk 3x als gemeente in cassatie gaat.
Blokker_1999
@_JGC_25 februari 2025 18:48
Zelfstandige ondernemes sluiten daarom vaak een verzekering af zodat de verzekering de verdediging en kosten op zich neemt.
_JGC_ @Blokker_199925 februari 2025 18:55
Ik heb daarvoor een beroepsaansprakelijkheidsverzekering. Vraag is of die ook in actie komen tot het moment dat je ook daadwerkelijk aansprakelijk bent.

Ik heb 'm al jaren, gelukkig al die jaren al weggegooid geld. Hoop dat ik dat geld nog jaren weg kan gooien zonder er ooit iets van terug te zien.
Tc99m @_JGC_26 februari 2025 14:34
De drempel voor cassatie ligt wel veel hoger dan voor beroep. Je moet gelijk goed motiveren wat de reden is dat je in cassatie gaat. De Hoge Raad kan een beroep voor cassatie ook versneld afwijzen als blijkt dat er onvoldoende grond is.

Het is allemaal theoretisch natuurlijk, maar als het gerechtshof zijn werk goed heeft gedaan, wordt een cassatieberoep dus snel afgewezen.
Tintel
@GreatDictator25 februari 2025 17:40
"Trekken aan een dood paard" om je eigen onkunde te verbergen blijft..... :/
Triblade_8472 @GreatDictator25 februari 2025 20:42
Zeker niet. Als het je eigen fuckup is, dan moet je de betrokkenen even goed flink op hun lazer geven en eruit zetten. En daarna kundige mensen aannemen.

Maar de overheid kennende, is dit vriendjespolitiek en baantjescarrousel. Dit icm handjes boven het hoofd houden, schuilen achter zelfverzonnen regeltjes en vooral de schuld proberen te leggen bij een ander.

Ja, het kost belastinggeld. Maar de échte schuldigen van het verkwanselen hiervan worden maar niet aangepakt. Keer op keer.

Overheid weet dat ze hun IT niet goed kunnen managen en besteden dit hierom veelal uit. Maar volgens hebben ze contracten en verantwoordelijkheden weer niet op orde. (en nu zelfs zo erg dat ze veiligheid bewust terugpakken en verslechteren) Het is ook altijd wat he.
MSalters
@Geim25 februari 2025 17:32
Gemeentes die een rechtzaak in eerste aanleg verliezen zouden voortaan om toestemming moeten vragen bij de provincie om in hoger beroep te gaan (en bij de rijksoverheid voor cassatie, en idem zouden provincies zelf toestemming van het Rijk moeten vragen voor hun hoger beroep). We hebben bovenliggende bestuurslagen, laten we die dan ook gebruiken.

Ik kan me zelfs voorstellen dat ministers toestemming aan de Kamer moeten gaan vragen voor een hoger beroep. Scheiding der machten: als er twee het onees zijn, dan kun je de derde macht vragen om een knoop door te hakken.
Rukapul @MSalters25 februari 2025 18:56
Laten we beginnen met een statistiek hoevaak een hoger beroep verloren wordt. Dan hebben we een eerste maat.

Een tweede maat is het belang dat gemoeid is.

Met de hier gepresenteerde feiten was een MKB bedrijf van vergelijkbare omvang waarschijnlijk niet in beroep gegaan. Mogelijk niet eens eerste aanleg. Hof van Twente heeft ca 220 FTE aan medewerkers.
Triblade_8472 @MSalters25 februari 2025 20:44
Wellicht verplicht het advies van de advocaten publiceren. Ik kan mij namelijk niet bedenken dat die het een goed idee vonden deze kansloze zaak te starten.
Orangelights23 25 februari 2025 16:12
Mooie uitspraak. Zoals het hoort.

Ik ondersteun veel organisaties in Europa met hun cybersecurity programma’s. Helaas zijn er vaak bedrijven die zaken uitbesteden en verwachten dat alles dan perfect is, maar ook dat ze de verantwoordelijkheid wegschuiven. Dat is niet het geval; er is een verschil tussen accountability en responsibility. Dmv contracten moet je veel dichttimmeren, maar op het gebied van bewustzijn en kennis kunnen veel organisaties nog leren hoe het werkt. Deze casus helpt daar goed bij.
SunnieNL @Orangelights2325 februari 2025 16:22
En dit is volledig in lijn met de nieuwe wetgeving waarbij de gemeente (als essentieel/belangrijke instantie) altijd zelf hoofdelijk verantwoordelijk is voor de veiligheid van hun eigen infrastructuur, ook bij het uitbesteden er van.
Tc99m @Orangelights2325 februari 2025 16:28
In dit geval kun je blijkbaar niet (alleen) spreken van afschuiven van verantwoordelijkheid, maar eerder van nalatigheid, incompetent handelen en valse beschuldiging. Nog een paar stappen erger dus.
brankestein @Tc99m26 februari 2025 23:49
Helemaal mee eens. Dit maakt het eigenlijk jammer dat er geen overkoepelend machtsorgaan is dat de gemeente in zo'n situatie zelf voor de rechter sleept of bijv. onder verplicht toezicht stelt om dit wangedrag aan te pakken.

Juist een publiek orgaan heeft grote verantwoordelijkheden, en mag zich daar soms ook wel degelijk even van bewust worden gemaakt mijns inziens. Want zoals je zegt: dit gaat wel verder dan een simpel, enkelvoudig menselijk foutje...
Tc99m @brankestein27 februari 2025 10:30
Dat machtsorgaan is er, dat is de gemeenteraad (en de provincie en landelijke overheid hebben ook enkele toezichthoudende taken), die kan de gemeente ter verantwoording roepen. En burgers en bedrijven kunnen een gemeente natuurlijk zelf voor de rechter slepen, of (in het geval van burgers) de ombudsman inschakelen.

Maar ik snap je punt wel hoor, het is soms lastig opboksen tegen de macht van publieke organen, zij moeten zich inderdaad meer bewust zijn van de verantwoordelijkheden die daarbij horen.
gorgi_19 @Orangelights2325 februari 2025 16:28
Uitbesteden is 1 ding, bijvoorbeeld omdat je de kennis niet hebt en op die manier een bepaald niveau in huis wilt halen. Het is niet de expertise.

Wat hier mis ging, is dat ze zelf ook zaken op het hoogste niveau gingen beheren, en de standaard adviezen (als 2fa) en beleid niet implementeerden of opvolgden.

Het is dus een samenwerking van een partij die de kennis en ervaring heeft, met een gemeente die op hetzelfde beheersniveau werkzaamheden wil uitvoeren, zonder dit goed uit te voeren en te beheren.
MrRobot 25 februari 2025 16:13
En doordat het nu in de rechtbank is geweest, kan iedereen zien en lezen dat het een stelletje prutsers waren bij HvT. Het is ook niet echt een brute-force aanval te noemen, gewoon een password spray.
Fijn voor de belastingbetalers daar. Eerst alles kwijtraken, dan ook nog eens 24.000 euro weggooien.

[Reactie gewijzigd door MrRobot op 25 februari 2025 16:18]

Tc99m @MrRobot25 februari 2025 16:42
Die € 24.000 betreft alleen de proceskosten van Switch. Daar komen hun eigen juridische kosten nog bij; dus er is nóg meer weggegooid. Maar goed, wat is een halve ton als je toch al 4 miljoen aan schade hebt...
HuisRocker @Tc99m25 februari 2025 18:29
De schade voor de inwoners is inmiddels opgelopen tot:
- alle gegevens op straat
- ongeveer * €115 die de gemeente (de verantwoordelijke voor dit drama) natuurlijk ook nog bij iedere inwoner komt halen om de kosten van hun verschrikkelijke incompetentie te dekken...

* 4.000.000 schade + alle proceskosten ÷ 35.438 inwoners

Au...
keranoz @MrRobot25 februari 2025 16:17
Het was nog erger geweest als ze ook nog eens het losgeld hadden betaald, dat dan gelukkig niet gedaan.
MrRobot @keranoz25 februari 2025 16:19
Dat wil niet zeggen dat ze het niet wilden betalen, maar ze kregen het papierwerk misschien niet in orde hiervoor.
RRRobert 25 februari 2025 16:20
Volgens mij loopt er nog een andere rechtszaak over dit gebeuren; Switch IT wilde de reputatieschade, die het naar eigen zeggen leed door uitlatingen van de burgemeester in de media, op haar persoonlijk gaan verhalen. Ik weet niet of dit uiteindelijk is gesust, geschikt of geseponeerd, maar met deze uitspraak staan zij nu een behoorlijk stuk sterker.
Houtenklaas @RRRobert25 februari 2025 19:10
Die laatste zin in dat artikel ...
In een reactie aan Tubantia zegt burgemeester dat ze de uitspraken over Switch IT Solutions heeft gedaan namens de gemeente en niet als privépersoon. "Dus met een persoonlijke aansprakelijkheidsstelling kan ik niets, zo werkt het niet."

In het bedrijfsleven kan je persoonlijk aansprakelijk worden gesteld bij aantoonbaar wanbeheer, dat geldt mag ik hopen ook voor een gemeente. Makkelijk uitspraken doen "als burgemeester" om je eigen straatje maar schoon te poetsen |:(
RRRobert @Houtenklaas26 februari 2025 09:01
In het bedrijfsleven kan je persoonlijk aansprakelijk worden gesteld bij aantoonbaar wanbeheer, dat geldt mag ik hopen ook voor een gemeente. Makkelijk uitspraken doen "als burgemeester" om je eigen straatje maar schoon te poetsen |:(
Ook iemand in een politieke functie, in een bestuurlijke functie bij een stichting, BV, of vergelijkbare functie zonder directe persoonlijke aansprakelijkheid wel degelijk hoofdelijk aansprakelijk worden gesteld. Dit is om te voorkomen dat er bijvoorbeeld handelen naar persoonlijk gewin of machtsmisbruik ongestraft blijft.

[Reactie gewijzigd door RRRobert op 26 februari 2025 09:03]

Tintel
@RRRobert25 februari 2025 17:46
En helaas hebben ze dan ook nog gelijk. Als de gemeente echt zo'n blunderfeest heeft gehad dan is het natuurlijk een leuk idee om dan maar een externe partij verantwoordelijk te stellen [heb ik ook van dichtbij meegemaakt met gemeente - op veel kleinere schaal].

Vaak typisch een gevolg van veel onkunde in combinatie met functies/posities gebaseerd op reputatie.
Zodra het dan echt mis gaat, wijzen deze al snel naar buiten. Dat dit dan ook weer veel tijd, geld en moeite kost is voor hen niet relevant; ze zijn op dit moment 'uit de wind' en als het een tijdje duurt dan zakt de verontwaardiging over zoveel domheid wel weg en kan je mooi - zelfs als je verliest - nog roepen dat ze [=externe partij] natuurlijk wel verantwoordelijk waren....
Blokker_1999
25 februari 2025 16:31
Hof van Twente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente en dat deze niet werden opgemerkt door Switch.
Je moet eens op een gemiddelde website gaan kijken hoeveel inlogpogingen er gebeuren op elk formulier dat je gevonden krijgt. Als je stelt dat dit een teken is dat ze hun werk niet doen, dan begrijp je niet wat beveiliging vandaag is. De tijd dat je kon wegkomen met "maar niemand weet dat dit online staat" ligt al meer dan 40 jaar achter ons, en zelfs toen had je al manieren om extern bereikbare diensten te vinden.
MPAnnihilator @Blokker_199925 februari 2025 16:59
Correct, maar er is een verschil tussen duizenden hits en scans op je public IP ( wat normaal is tegenwoordig ), of duizenden inlogpogingen die gedaan zijn en zichtbaar zijn in de server logs, in het laatste geval heeft je WAF zijn werk niet gedaan. ( als er al een WAF was natuurlijk :+ )
supersnathan94
@MPAnnihilator25 februari 2025 17:46
Nouja.

Windows RDP aan het internet met een vrij standaard wachtwoord zonder exponential back off na zoveel pogingen (of gewoon ronduit blokkade) is gewoon iets wat je via shodan ook niet vaak tegenkomt.

Deze combinatie is wel echt de heilige graal dus snap wel dat daar heel veel pogingen gedaan zijn.

Nou wisten we dat van het wachtwoord natuurlijk niet, maar dat van die pogingen ben je zo achter.
MPAnnihilator @supersnathan9425 februari 2025 19:16
Ik heb in't verleden ook al zo'n domme constructies als vraag zien voorbijkomen van klanten, maar dan laat je het op papier zetten dat het afgeraden was en dat het eigen verantwoordelijkheid is van de klant als hij ons advies negeert.
BVL1 25 februari 2025 17:03
Ze zouden de 4 mil van de belastingbetalers mogen verhalen op degene die de RDP poort heeft opengezet uit gemakzucht om thuis te werken.

Nu straffen ze de burgers voor een fout die zij niet gemaakt hebben.
Lucb1e @BVL125 februari 2025 18:23
Personen maken fouten, dat hoort erbij, daarvoor moet je niet opeens voor 4 miljoen een schadeclaim aan je broek krijgen als het jou overkomt. Als er door één foutje zoveel schade veroorzaakt kan worden, is het ook een taak van de opdrachtgever om het werk te (laten) controleren om de kans daarop te verminderen, en/of andere maatregelen te treffen die de impact verminderen als het toch gebeurt

Daarnaast zullen ze ook niet publiekelijk de medewerker aan de schandpaal nagelen, dus wie weet of er daar al iets gebeurd is waar wij niet van weten

Niet dat er geen kern van waarheid zit in wat je zegt over dat de werknemer uiteindelijk de persoon is die, nou ja, toch wel behoorlijk dom bezig was met Welkom2020 en een deelschuld daar best kan liggen (tenzij het, bijvoorbeeld, een stagiair was waarvan de gemeente het werk had moeten controleren). Er wordt vaak niet eens naar gekeken, ook niet bij bestuurders die willens en wetens schade veroorzaken voor winst op korte termijn. We moeten er niet in doorslaan (4 miljoen verhalen op uitvoerend personeel is natuurlijk onzin) maar ik vraag me wel af of we niet die cultuur een klein beetje bij moeten stellen

[Reactie gewijzigd door Lucb1e op 25 februari 2025 18:24]

IrBaboon79 @BVL125 februari 2025 17:20
Te lastig - ozb en nog wat andere gemeentelijke belastingen ophogen is makkelijker en ook goed voor het budget, en : Kraait geen haan naar… :)
Tintel
@IrBaboon7925 februari 2025 17:54
Ja, iemand verantwoordelijk stellen voor andermans geld verspillen is altijd lastig als het geld toch wel weer aangevuld wordt.... :|

En ik mag hopen dat het niet te intentie was van de 'poort openzetter' en dat is ook vaak zo. Fouten worden gemaakt vanwege domheid, onkunde en pech en minder vaak door bewuste nalatigheid. Zeker als die nalatigheid geen voordeel oplevert voor die persoon....
Pazo 25 februari 2025 16:12
Zo heeft de gemeente de Remote Desktop Protocol-poort naar het internet opengezet, het makkelijk te raden wachtwoord 'Welkom2020' ingesteld, en geen tweestapsverificatie geactiveerd.
Hier gaan je tenen toch van krom staan en je nekharen overeind... |:(

En daarbij:
Naast de claim dat Switch zijn zorgplicht niet was nagekomen, zei Hof van Twente dat het bedrijf ook tekort was geschoten in het maken van back-ups. Bij de ransomwareaanval was de gemeente namelijk haar volledige IT-infrastructuur kwijtgeraakt. De leverancier verweerde echter dat het drie back-ups had gemaakt, waarvan één off-site verbleef. Omdat de gemeente hier verder niet op in ging en geen extra bewijs aanleverde, achtte het hof de bewering als niet bewezen.
Schieten met hagel dat Switch iets niet goed heeft gedaan, maar bij een weerwoord de kop in het zand steken.

Terecht dat Switch hier niet verantwoordelijk voor is. Wat een wanbeleid van de gemeente.
B_FORCE @Pazo25 februari 2025 16:40
Het zal mij ook niks verbazen dat er personen (binnen de gemeente) zijn geweest die hier al voor waarschuwde en misschien nu wel zeggen "I told you so".
Zoals gebruikelijk, geldt echter persoonlijke visie en koppigheid (het zal wel loslopen) in veel gevallen zwaarder.

Om dan vervolgens ongelijk niet willen toegeven, en wanneer er stront aan de knikker is op zo'n manier gelijk halen of de schade proberen te beperken.

Uiteraard compleet anekdotisch en subjectief, maar ik ken wat mensen die bij diverse gemeentes werken.
Ik hoor dit verhalen vaak, al helemaal icm wethouders en sommige burgemeesters.
Van die verhalen krijg ik vaak ook niet echt de indruk dat er veel kennis, werk- en levenservaring is.
Hopelijk is dit anders bij andere gemeentes.

Terecht wat je zegt hoe er zo laks en simpel wordt gedacht over de data van je eigen burgers.
Persoonlijk zou ik twijfelen aan de integriteit van gemeente als er zo makkelijk over gedacht.
Dat missen er namelijk toch een aantal zeer belangrijke competenties.
Bijzonder dat er vanuit de overheid zelf ook weinig naar gehandeld is.

Iets wat me nog het meeste verbaast is toch wel dat er geen harde protocollen voor zijn anno 2025.
brankestein @B_FORCE26 februari 2025 23:45
Er zijn tegenwoordig eigenlijk wel heel veel adviezen en richtlijnen beschikbaar vanuit private (en ondertussen ook (semi-)) publieke IT-organisaties.

Maar aan het eind van de rit is het natuurlijk wel de gemeente zelf die de eindverantwoording draagt voor correct opvolgen van alle adviezen die vrij goed vindbaar zijn, en waarvan je mag hopen dat de verantwoordelijke(n) ook kennis en kunde van (basis?)niveau hebben.

Vergelijk het met te hard rijden: de weg wordt gefaciliteerd, evenals een max. snelheid die veilig wordt geacht. Maar het is aan de weggebruiker om dit in acht te nemen en niet uit te bocht te vliegen met 180 km/u waar je 30 mag.

Op de weg hebben we wel flitspalen en agenten, maar een gemeente en diens IT-mensen zouden dat absoluut niet nodig moeten hebben. Dat is nu precies waar het dus mis gaat.
B_FORCE @brankestein27 februari 2025 02:49
Ik heb mij altijd al verbaasd dat er geen "IT-politie" is voor zulk soort belangrijke instanties.

We zijn inmiddels decennia verder en net al autorijden, heeft het zich inmiddels wel bewezen dat niet iedereen die verantwoordelijkheid kan nemen.

Er zijn 342 gemeentes in Nederland, dus dat valt nog redelijk goed te plannen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq