Met wachtwoord ‘Welkom2020’ waren de hackers van gemeente Hof van Twente binnen

Hof van Twente Twee menselijke fouten lagen aan de basis van de omvangrijke hack van de servers van gemeente Hof van Twente, bleek dinsdag.

De gemeente Hof van Twente waande zich veilig. De burgemeester: „Dat is een stevige les voor ons, en hopelijk een wake-upcall voor andere organisaties.”
De gemeente Hof van Twente waande zich veilig. De burgemeester: „Dat is een stevige les voor ons, en hopelijk een wake-upcall voor andere organisaties.” Foto GinoPress B.V. / Hollandse Hoogte

‘Welkom2020’. Dat simpele wachtwoord zorgde ervoor dat hackers eind vorig jaar de gemeente Hof van Twente hard konden raken. „Een nachtmerrie die werkelijkheid wordt”, zegt burgemeester Ellen Nauta (CDA) dinsdag bij de presentatie van het onderzoek van IT-beveiligingsbedrijf NFIR naar de grote gijzelsoftwareaanval.

Veel data van de gemeente en de circa 35.000 inwoners werden tijdens de hack vernietigd of versleuteld. De dienstverlening lag weken stil. Hof van Twente zag zich gedwongen een compleet nieuw netwerk aan te leggen. Op „de totale olifant” aan kosten heeft Nauta nog geen zicht, zegt ze. „Maar het gaat eerder om miljoenen dan tonnen.” Eén meevaller: er lijken beperkt data van het netwerk weggesluisd te zijn door de aanvallers. De reconstructie die het NFIR dinsdag presenteerde is voor de rest pijnlijk. De hack was mogelijk door twee menselijke fouten, aldus directeur Arwi van der Sluijs.

Lees ook dit artikel: Na twee weken nog steeds crisis bij gehackte gemeente

‘Need data back? Contact us fast’

De eerste fout doet zich voor op 29 oktober 2019 als de beveiliging van een bestandenserver wordt gewijzigd. Daardoor kan plots iedereen via het internet ongehinderd toegang proberen te krijgen tot die computer. Dat trekt de aandacht van cybercriminelen, die geautomatiseerd het internet scannen op zoek naar dergelijke zwakke machines. Zulke servers moeten extra worden beveiligd, maar bij Hof van Twente is daar al die tijd geen sprake van. Alleen een wachtwoord houdt de hackers op afstand.

Maar door één wachtwoord laten die zich niet tegenhouden. Maandenlang wordt getracht in te breken, reconstrueerde Van der Sluijs. Volautomatisch proberen hackers dagelijks vijftig- tot honderdduizend combinaties uit, „standaardactiviteit van het hackersgilde”. Het wachtwoord houdt de aanvallers desondanks lange tijd buiten de deur. Tot een medewerker van de gemeente op 15 oktober 2020 het wachtwoord van de ‘testadmin’-account wijzigt in het eenvoudig te raden ‘Welkom2020’. Drie weken later zijn de hackers binnen.

Op 1 december is de ravage op het netwerk van Hof van Twente een feit. 89 servers van de gemeente zijn gewist. Harde schijven zijn versleuteld. De overname van het netwerk is volledig: uit twee printers van de gemeente rollen die ochtend vijftig losgeldbriefjes. De boodschap: „Hello, need data back? Contact us fast.

Op de eis van 750.000 euro, destijds 50 bitcoin, wilde de gemeente niet ingaan, zegt Nauta. „Wij houden het criminele businessmodel achter deze aanvallen niet in stand met belastinggeld.”

De aanval was te voorkomen, concludeert het NFIR. Toegang tot de kwetsbare server had beperkt moeten worden. Wachtwoorden moeten altijd complexer zijn dan een voorspelbaar woord van zes letters en vier cijfers. Het kwetsbare account had niet zo veel rechten moeten hebben: dan was het lastiger geweest het hele netwerk over te nemen en de back-ups te wissen. Het ontbrak aan opsporing: de hackers konden voor ze de gijzelsoftware inzetten wekenlang onopgemerkt in het netwerk aanrommelen. „Basale zaken die niet in orde zijn”, oordeelde ict-expert Brenno de Winter, die op verzoek van de gemeente ook een rapport over de hack schreef.

Het vingerwijzen is begonnen. De gemeente besteedde het beheer van delen van de ict-infrastructuur uit aan het Twentse bedrijf Switch IT Solutions. Tegelijkertijd hield de gemeente eigen systeembeheerders aan. De kritieke fouten werden juist door die ambtenaren gemaakt, stelt het bedrijf uit Enschede. Aanbevelingen van Switch om het netwerk van de gemeente minder kwetsbaar te maken, werden niet opgevolgd, leest een schriftelijke reactie. „Hof van Twente heeft haar eigen keuzes gemaakt en het is makkelijk om achteraf te concluderen dat dit niet altijd de juiste zijn geweest.”

Dat aanbevelingen van Switch IT Solutions door de gemeente genegeerd zijn, pleit het bedrijf niet zomaar vrij, licht De Winter toe. „In dit soort zaken staat centraal wie contractueel gezien de verantwoordelijkheid draagt voor het beheer. In andere zaken hebben we gezien dat de rechter bij het niet opvolgen van adviezen vaak stelt dat beveiligingsbedrijven dan de opdracht terug moeten geven. In hoeverre hiervan in deze zaak sprake is, kan ik niet beoordelen.”

Keerzijde van vertrouwen

Intussen waande de gemeente zich veilig achter geruststellende rapporten.Halverwege 2020 werd de beveiliging door ethische hackers getest. Die ‘penetratietest’ of ‘pentest’ miste de server die op dat moment al maanden kwetsbaar was. „Deze informatie is mogelijk niet gezien of niet goed gerapporteerd”, schrijft het NFIR. De Winter: „De pentest wekt de indruk dat er geen dreigende problemen waren bij Hof van Twente en dat de beveiliging redelijk op orde was.”

Dat bleek alleen op papier het geval, concludeert Nauta na de hack en de twee onderzoeken. „Dat is een stevige les voor ons, en naar ik hoop een wake-upcall voor andere organisaties. Vertrouwen is de basis van waaruit wij als gemeente werken. Maar de keerzijde van vertrouwen blijkt hier.” Over eventuele juridische stappen wil Nauta niets zeggen. „Dat contact loopt op dit moment. Daar kan ik verder niet veel over zeggen.”