De gemeente Hof van Twente bleek op 1 december 2020 het slachtoffer te zijn geworden van een cyberaanval. In de periode voorafgaand daaraan waarschuwde controlerend accountant Baker Tilly meerdere keren voor de risico’s op informatiebeveiliging en een mogelijke computeraanval. De Twentse gemeente deed daar echter onvoldoende mee. Dat blijkt uit het rapport De perfecte storm van de gemeentelijke Rekenkamer, die onderzoek heeft gedaan naar de informatiebeveiliging bij de gemeentelijke organisatie. Het rapport werd deze week besproken in de gemeenteraad van Hof van Twente. Vaksite vpngids.nl bericht uitgebreid over de aanval met ransomware en de gevolgen daarvan.
Waarschuwingen Baker Tilly
Uit het rekenkamerrapport blijkt dat Baker Tilly Hof van Twente al enkele jaren op de risico’s wees die de Twentse gemeente liep: ‘De accountant waarschuwde meerdere keren voor de risico’s op informatiebeveiliging en een mogelijke computeraanval. Een applicatie voor de monitoring van computerdreigingen werd vanwege te hoge kosten niet aangeschaft. Wel werden pentesten uitgevoerd op de systemen, maar ook pas medio 2020 en na advies van de accountant. Uit de rapportage is niet het risico van de ransomware aanval geconstateerd zoals die zich uiteindelijk voltrok. […] De accountant, met de raad als opdrachtgever, heeft in de managementletters meerdere malen aandacht gevraagd voor ICT in relatie tot de rechtmatigheid van de financiële huishouding van de gemeente. Maar ook ten aanzien van informatieveiligheid, in ieder geval vanaf 2017. Daarbij heeft de accountant onder andere het wachtwoordenbeleid geproblematiseerd en gewaarschuwd voor de risico’s van een hack. In 2018 geeft de accountant een 8-tal aandachtspunten, waaronder het informatiebeveiligingsbeleid, toegangs- en autorisatiebeleid en pentesten. In 2019 constateert de accountant dat op een aantal punten vooruitgang is geboekt, en dat nog aandacht nodig is op beheersingsmaatregelen IT en wachtwoordenbeleid.’
Te weinig ICT-kennis
Dat er te weinig werd gedaan met de signalen van Baker Tilly had ook te maken met een gebrek aan voldoende ICT-kennis binnen de gemeentelijke organisatie, concludeert de Rekenkamer: ‘Diepgaande kennis over ICT was niet voldoende aanwezig op sleutelposities in de ambtelijke en bestuurlijke organisatie om de naleving van beleid en protocollen af te dwingen of te controleren. Er kwamen vanaf begin 2019 en in de periode voorafgaand aan de hack via de accountant en een enkele pentest (zomer 2020) signalen op onvolkomenheden op informatieveiligheid binnen bij de organisatie. Deze signalen zijn niet voldoende doorgedrongen bij management, college en de raad. De kennis over informatiebeveiliging was beperkt om de risico’s op informatieveiligheid adequaat te duiden en erop door te vragen.’
Het gehele rekenkamerrapport is hier te vinden (pdf).
Geef een reactie