3 De feiten
3.1.
De gemeente heeft circa 35.000 inwoners. Zij had in 2018 het ICT-beheer belegd binnen het team Informatiemanagement, waar drie medewerkers verantwoordelijk waren voor systeembeheer en technisch applicatiebeheer en twee medewerkers verantwoordelijk voor de eerstelijns servicedesk en beheer van de fysieke werkplekapparatuur. Ook waren er medewerkers beschikbaar voor functioneel applicatiebeheer, voor bedrijfsbrede applicaties en voor informatiemanagement.
3.2.
Op 15 november 2017 heeft de gemeente een Europees aanbestedingstraject voor de uitbesteding van systeembeheer en aanverwante ICT-beheerdienstverlening ingezet met het uitbrengen van de Selectieleidraad aanbesteding ICT-beheerdiensten. In artikel 3.3. van de Selectieleidraad is de op dat moment bestaande situatie wat betreft ICT-infrastructuur en ICT-beheer geschetst. Onder 3.4. wordt de beoogde situatie daarvan geschetst:
“
3.4.1 Scope
Het verzorgen van Systeembeheer en aanverwante ICT-beheerdienstverlening is als volgt gedefinieerd:
-
De huidige situatie met de ‘housing’ van de ICT-infrastructuur op locatie van Hof van Twente zelf blijft vooralsnog gehandhaafd, in combinatie met de off-site opslag van een kopie van de back-up data. Hierbij zal de deze off site-opslag door de nieuwe Leverancier worden ingevuld. Deze dienstverlening is onderwerp van de eerste Nadere Overeenkomst.
-
De Leverancier is verantwoordelijk voor de ICT-beheerdienstverlening die nodig is voor alle servers, opslagsystemen, systeemsoftware en netwerkvoorzieningen om Hof van Twente in staat te stellen om applicaties ter beschikking te stellen aan gebruikers. Deze ICT-beheerdienstverlening zal minimaal omvatten:
Het documenteren en up-to-date houden van de documentatie van de inrichting van de servers, opslag en netwerkvoorzieningen (Configuration Management Database, netwerktekeningen, IP-plan, enzovoort).
Het pro-actief monitoren van het functioneren van de servers, opslag en netwerkvoorzieningen.
Het up-to-date houden van systeemsoftware van de servers, opslag en netwerkvoorzieningen door het installeren van patches en updates.
Het uitvoeren van corrigerende maatregelen bij geconstateerde problemen op deze infrastructuur.
Het borgen van de adequate werking van de systeemsoftware zoals opgenomen in paragraaf 3.3.1.
Het borgen van de adequate back-up en restore van data.
Het borgen van adequate anti-virus maatregelen.
Het borgen van de adequate firewall inrichting.
(...)
3. De Leverancier verzorgt de tweedelijns servicedesk, de eerstelijns servicedesk wordt door Hof van Twente zelf voorzien. (...)
4. (...)
5. De Leverancier verzorgt onder regie van Hof van Twente de operationele afstemming met leveranciers van externe verbindingen voor het oplossen van incidenten en het realiseren van nieuwe diensten. (...)
6. De Leverancier voert in opdracht en onder regie van Hof van Twente projectmatige werkzaamheden uit met betrekking tot wijzigingen in de ICT-infrastructuur. Deze werkzaamheden vinden waar nodig plaats in samenwerking met technisch applicatiebeheerders van Hof van Twente. (...)
7. De Leverancier volgt de best-practices en productontwikkelingen met betrekking tot de beheerde ICT-infrastructuurcomponenten en de daarop beschikbare systeemsoftware, en vult daarvoor een voortdurende en pro-actieve adviesrol in richting van Hof van Twente. (...)
8. De Leverancier levert in opdracht van Hof van Twente adviesdiensten met betrekking tot de inrichting van de ICT-infrastructuur en de daarop beschikbare systeemsoftware. en op gebieden waar Hof van Twente zelf beheertaken uitvoert (bijvoorbeeld werkplekbeheer). (...).
3.4.2.
Onderdelen buiten de scope van de dienstverlening
Een aantal onderdelen raken aan de bovenbeschreven onderwerpen, maar vallen buiten de scope van de dienstverlening:
‑ Beheer, inrichten en uitleveren van mobiele telefonie, laptops en werkplekapparatuur.
‑ Functioneel applicatiebeheer en technisch applicatiebeheer.
‑ Beheer van externe netwerkverbindingen en de netwerkapparatuur hiervoor van de betreffende netwerkleveranciers.
‑ Linux beheer op de webserver t.b.v. intranet.
‑ Beheer van de RAAS-server.
3.4.3.
Toekomstige ontwikkelingen
(...)
Dit betreft onder andere:
(...)
‑ Realisatie van een structurele voorziening voor externe uitwijk.
Toekomstige ontwikkelingen vallen optioneel binnen de scope van de dienstverlening.
(...)”
3.3.
In de Nota van Inlichtingen van december 2017 is met betrekking tot de te gunnen opdracht onder meer vermeld dat:
‑ de service window loopt van 7.30 uur tot 18.00 uur op dinsdag, woensdag en donderdag en van 7.30 uur tot 20.00 uur op maandag en vrijdag;
‑ de leverancier verantwoordelijk wordt voor het configuratiebeheer van de servers, opslag en netwerkvoorzieningen en de gemeente verantwoordelijk is voor de overige apparatuur;
‑ in verband met W9 uit het Programma van eisen en wensen (zie hierna 3.4) technisch applicatiebeheerders van de gemeente (al dan niet tijdelijk) volledige beheerrechten moeten hebben;
‑ de gemeente een volledige regieorganisatie op strategisch, tactisch en operationeel niveau zal inrichten;
‑ de gemeente op de vraag of haar medewerkers werkzaamheden binnen dc scope van de opdracht mogen uitvoeren verwijst naar W9;
‑ de gemeente onder technisch applicatiebeheer niet alleen het "packagen" van front-end applicaties verstaat, maar ook de inrichting van de applicatie, realiseren van koppelingen etc en het beheer van Oracle en SQL-serverapplicatiesoftware.
3.4.
In het “Programma van eisen en wensen”, dat deel uitmaakt van de “Uitnodiging tot Inschrijving aanbesteding ICT-beheerdiensten” van 15 februari 2018 komen de hiervoor in 3.2. genoemde punten terug (hoofdstuk 5). De leverancier staat de gemeente toe om ten aanzien van de beveiliging en het voeren van kwaliteitssystemen aan derden opdracht te geven voor het uitvoeren van een audit op de beveiliging en kwaliteitssystemen van de leverancier (E3). De leverancier is verantwoordelijk voor het afhandelen van alle gemelde en zelf gedetecteerde incidenten (“de werking van een beheerd object wijkt af van wat mag worden verwacht”) die verband houden met de door de leverancier beheerde objecten (E5). De leverancier dient 24 uur per dag, 7 dagen per week de beheerde objecten proactief te monitoren (E14).
De gemeente wil een real-time inkijkfunctionaliteit in de monitoring- en beheeromgeving van de leverancier (W4). Het proces Change management kent major en minor changes. De gemeente heeft zelf de mogelijkheid minor changes (zoals geringe aanpassing in de firewall netwerkconfiguratie) uit te voeren. Bij W9 is vermeld dat de gemeente zich realiseert dat er duidelijke afspraken moeten zijn over welke beheerrechten (en daaraan verbonden beheermogelijkheden) voor haar beschikbaar blijven om de eerstelijns beheerdienstverlening te kunnen uitvoeren. Zo moet zij in staat zijn om accounts aan te maken, wachtwoorden te resetten, back-up’s terug te zetten, Citrix sessies over te nemen en te resetten en wijzigingen in het kader van technisch applicatiebeheer door te voeren. De gemeente wil daarom een verdeling van beheerrechten en beheerafspraken waarbij wordt voorzien dat enerzijds de gemeente de eerstelijns beheer-dienstverlening efficiënt kan uitvoeren zonder voor elk detail een beroep te moeten doen op de leverancier en anderzijds de leverancier in staat wordt gesteld om de servicelevels op de beheerde objecten te borgen en niet wordt geconfronteerd met onverwachte storingen, veroorzaakt door beheeractiviteiten van de gemeente. Ten slotte is als eis opgenomen (E29) dat de leverancier voorziet in een opslagdienst voor de off-site hosting van de kopie van de actuele back-up data van de gemeente die voldoet aan de volgende vereisten:
- -
omvang initieel 35 TB;
- -
omvang in overleg uit te breiden;
- -
opslag op een locatie die zich hemelsbreed meer dan tien kilometer van de locatie met de primaire data (het gemeentehuis) bevindt;
- -
de informatieveiligheid van de data en de opslagdienst in het algemeen dient geborgd te zijn, zodanig dat voldaan wordt aan de eisen die vanuit het informatiebeveiligingsbeleid van de gemeente hieraan worden gesteld, welk beleid is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG);
- -
de verbinding naar de opslagdienst loopt via de internetverbinding van de gemeente;
- -
de opslagdienst is in principe 24 uur per dag zeven dagen per week benaderbaar;
- -
de leverancier controleert dagelijks dat het back-up proces naar de externe opslagdienst correct is uitgevoerd.
3.5.
Op 1 mei 2018 is de opdracht aan Switch gegund, waarna een Raamovereenkomst is gesloten. Van de Raamovereenkomst maken onder meer deel uit de Selectieleidraad, de
Uitnodiging tot inschrijving, GIBIT-voorwaarden (Gemeentelijke Inkoopvoorwaarden bij IT) en de door Switch uitgebrachte inschrijving. De door Switch te verrichten ICT-prestatie wordt in artikel 1.2 van de Raamovereenkomst omschreven als (in afwijking van het gestelde in artikel 1.14 van de GIBIT-voorwaarden) systeembeheer en aanverwante ICT-beheerdienstverlening, zijnde de diensten c.q. werkzaamheden die in hoofdstuk 5 van de Uitnodiging tot Inschrijving zijn aangeduid en die op basis van nadere overeenkomsten door Switch worden uitgevoerd. De looptijd van de Raamovereenkomst is drie jaar.
Tevens hebben partijen een Nadere Overeenkomst gesloten, die betrekking heeft op de door Switch te verzorgen diensten met het oog op het beschikbaar houden van servers, opslagsystemen, netwerkvoorzieningen en systeemsoftware (de informatiesystemen) waarmee de gemeente in staat blijft applicaties aan zijn gebruikers ter beschikking te stellen. Bijlage A bij de Nadere Overeenkomst is de Service Level Agreement (SLA), waarin de in de Uitnodiging tot Inschrijving en Programma van eisen en wensen genoemde eisen en wensen aan/voor de dienstverlening (zie hiervoor 3.3) (nader) zijn beschreven.
3.6.
Switch heeft een verslag opgesteld van het bezoek dat zij op 19 juni 2018 aan de gemeente heeft gebracht. Hierin staat dat IT-leverancier Previder afrondende werkzaamheden zal verrichten, die buiten de scope van de opdracht vallen, zoals netwerk segmentatie (“Dit is de vraag of dit wordt afgemaakt voor eind juni”).
3.7.
Op 19 februari 2019 heeft Switch de gemeente een voorstel gedaan tot vervanging van de antivirussoftware.
3.8.
Op 31 oktober 2019 heeft de gemeente Switch bericht dat de server FTP-SVR02 vervalt en Switch verzocht de FTP-SVR03-server in de monitoring op te nemen.
3.9.
De gemeente heeft Switch op 13 maart 2020 verzocht een aantal servers (niet de FTP-SVR03) uit de monitoring en beheer te halen, omdat zij voor die servers een eigen WSUS-server heeft ingericht en omdat die in de eigen monitoring van de gemeente zitten.
3.10.
De gemeente heeft Switch op 6 april 2020 laten weten dat zij testservers, servers die geen primair proces ondersteunen en de access points voor WiFi uit de monitoring van Switch (wil) halen.
3.11.
Op 9 april 2020 heeft Switch een verslag van een bespreking met de gemeente opgesteld, waarin onder meer staat:
“• Back-end: Cf. de kaders van de aanbesteding ligt het volledig technisch beheer van de ICT-omgeving (...) bij Switch. In theorie zou voor HvT dan ook geen toegang tot dit niveau van de omgeving nodig zijn. Alleen voor het technisch applicatiebeheer zijn accounts op de Windows laag nodig (en ook ingeregeld). Vanuit HvT wordt echter duidelijk aangegeven dat de praktijk lastiger en complexer is. Er is een duidelijke behoefte/noodzaak vanuit het HvT team om ad-hoc ook zelf aanpassingen te kunnen doen op VM Ware en storage niveau, m.n. voor externe leveranciers die werkzaamheden verrichten. (...) Dit betekent een andere invulling van beheer verantwoordelijkheden dan gevraagd in de aanbesteding, met extra risico 's t.a.v. security maar ook onduidelijkheid in rollen / verantwoordelijkheden. (...)”
3.12.
Switch heeft de gemeente op 22 mei 2020 een offerte gestuurd, waarin onder meer de volgende passages zijn opgenomen:
“(…) De back-up oplossing is doorgaans opgenomen binnen het bedrijfsnetwerk omdat zij bij de gegevens binnen het bedrijfsnetwerk moet kunnen komen. Hierdoor is er een rechtstreekse verbinding (pad) tussen het bedrijfsnetwerk en de back-up server en het verbonden opslagapparaat (NAS). Daarnaast is vanwege het "beheer gemak " de Windows back-up server opgenomen binnen het Active Directory domein. Het ontvreemden van domein beheeraccount gegevens is één van de meest voorkomende “hack” methodes en stelt de hacker in staat de back-up server met daaraan gekoppelde opslag apparaten te benaderen en daarna te gijzelen. Voor beide problemen zullen we in het nieuwe ontwerp een oplossing aandragen door de back-up server en NAS (opslag ten behoeve van de back-up gegevens) te isoleren en de back-up server buiten het Active Directory domein te plaatsen.
Daarnaast is er nog een extra mogelijkheid om een extra kopie van uw back-up buiten uw eigen IT omgeving te bewaren door middel van de Offsite Back-up van Switch IT Solutions. Wij willen u met dit voorstel in staat stellen om de beveiliging van uw back-up voorziening te verhogen op basis van Veeam B&R om incidenten zoals bij de Universiteit van Maastricht te voorkomen. (...)”
3.13.
Op 26 juni 2020 heeft de gemeente het rapport van Sogeti naar aanleiding van de door haar uitgevoerde penetratietest naar Switch gezonden. In het rapport staan onder meer de volgende aanbevelingen:
‑ zorg er bij voorkeur voor dat testomgevingen niet rechtstreeks vanaf het internet te benaderen zijn:
‑ configureer e-mailservers en e-mailservices zodanig dat aanvallers deze niet kunnen gebruiken om e-mail te versturen.
3.14.
Op 8 juli 2020 heeft de gemeente Switch met betrekking tot het instellen van MFA (Multi Factor Authentication) op het door Switch gebruikte Kaseya-portaal geschreven:
“(…) Ik ben op 28 mei geconfronteerd met het fenomeen MFA op de Kaseya portal. Ik heb dit toen richting jou gemeld met de vraag hoe wij hier mee om moeten gaan aangezien MFA persoonsgebonden is en wij tot nu toe een algemeen account hadden.
(…)
Los van het feit dat wij snappen dat MFA voor beveiligingsdoeleinden gewenst noodzakelijk is hebben wij wel vraagtekens bij de gang van zaken en de gevolgen die dit met zich meebrengt.
(...)
• Volgens ons ontstaat er een ongewenste onwerkbare situatie omdat wij leveranciers hebben die veel verschillende engineers hebben die kunnen inbellen. Voor al deze mensen moeten accounts worden aangemaakt. (...)”
In reactie hierop heeft Switch laten weten dat het gelet op de veiligheid verstandiger is om leveranciers alleen via Kaseya toegang te geven en dat Switch de communicatie rondom het inregelen van MFA richting de leveranciers op zich zal nemen, evenals de getekende toegangsverlening bij toekomstige verzoeken tot toegang tot de omgeving.
3.15.
Op 1 december 2020 heeft een cyberaanval plaatsgevonden bij de gemeente.
In opdracht van Switch heeft ethical hacker Sincerus onderzoek gedaan naar de oorzaak van de cyberaanval. In het rapport van Sincerus van 4 december 2020 staat onder meer:
“1.2 Gebeurtenissen in chronologische volgorde
- -
29-10-2019 is de Firewall regel aangepast om elk verkeer toe te laten tot de FTP-STR03;
- -
09-11-2020 8:58 profiel van testadmin gebruiker aangepast/weggeschreven op FTP-SVR-03;
- -
16-11-2020 23:00-24:00 spammer/email cracking tools zichtbaar in de gebruikersfolder van “testadmin”;
- -
21-11-2020 om 13:20 het account admin.mmc wordt aangemaakt door de admin “testadmin”;
- -
21-11-2020 om 13:22 het account admin.mmc verwijderd en het logbestand op FTP-SVR-03;
- -
30-11-2020 om 3:40 wordt het profiel van admin.mmc aangepast/weggeschreven;
- -
30-11-2020 om 3:43 is er een netwerk scanner bestand geplaatst in het profiel van admin.mmc;
- -
30-11-2020 - 01-12-2020 verschillende acties zijn op deze datum uitgevoerd
Virtuele machines worden verwijderd door de Domein Admin.
Veeam Back-up data werd versleuteld
Remote Veeam data werd verwijderd
Veeam Server is vervolgens onbruikbaar gemaakt.
01-12-2020 Hack is ontdekt door Hof van Twente Switch IT Solutions
2 Concluderend
(...) Hackers hebben vermoedelijk al toegang weten te krijgen op 9-11-2020 met het account
testadmin. Door gebruik te maken van de FTP-SVRO3 die aan de buitenkant openstond,
wellicht door middel van een bruteforce aanval op gebruikersnaam en wachtwoord.
Naar alle waarschijnlijkheid hebben ze de FTP-SVRO3 server als email spamserver kunnen gebruiken. Ze hebben vanaf 9-11-2020 de tijd gehad om het netwerk van HvT verder te onderzoeken en binnen te dringen. Uiteindelijk heeft men op 30-11-2020 de back-ups ge-encrypt/weggegooid en de operationele virtuele machines verwijderd. Het is vooralsnog niet
uit te sluiten dat men ook op infra componenten toegang heeft weten te krijgen. (...)”
3.16.
De gemeente heeft NFIR gevraagd onderzoek te doen naar de oorzaak van de
cyberaanval. Op 11 december 2020 heeft NFIR aan Switch bericht:
“Hartelijk dank voor je hulp afgelopen week. We hebben steeds precies op tijd de medewerking gekregen die nodig was. (...)”
3.17.
De advocaat van de gemeente heeft Switch bij brief van 24 december 2020 onder
meer bericht:
“(...) De eerste voorlopige resultaten van het forensisch onderzoek dat door het bureau NFIR wordt uitgevoerd, wijzen uit dat de aanvallers zich tenminste enkele weken voor de
cyberaanval onrechtmatig toegang hebben kunnen verschaffen tot de ICT-systemen van Hof
van Twente en deze ongehinderd en grondig konden verkennen.
Het incident heeft onder meer tot het rampzalige gevolg gehad dat de bedrijfsvoering en
dienstverlening van Hof van Twente gedurende tenminste twee weken voor een groot deel
stil heeft gelegen. Zij had geen toegang meer tot de gegevens van zo’n 35.000 van haar
inwoners, althans deze data waren versleuteld en daarmee ontoegankelijk gemaakt. (...)
Er zijn serieuze aanwijzingen dat Switch IT ernstig nalatig is geweest in de uitvoering van
de contractuele verplichtingen jegens Hof van Twente en dat bij afwezigheid van deze
ernstige nalatigheid het incident nooit had plaatsgevonden.
(...)
In het licht van het bovenstaande wil ik u tevens namens Hof van Twente te kennen geven
dat zij hangende de uitkomst van het onderzoek en in ieder geval totdat haar volledig
duidelijk is in welke mate de nalatigheid van Switch IT heeft bijgedragen aan de schade die
Hof van Twente heeft geleden en nog steeds lijdt, afziet van verdere dienstverlening door
Switch IT en begrijpelijkerwijs haar betalingen ter zake opschort. (...)”
3.18.
NFIR heeft op 8 maart 2021 haar rapport uitgebracht. Dit rapport bevat onder meer de volgende passages:
“
Situatie bij aanvang incident
Abstract gezien bestaat het netwerk van de gemeente deels uit servers op locatie van het
gemeentehuis en uit een back-up oplossing in een datacenter van de externe IT-dienstleverancier.
Uitgaande van de aanwezige documentatie, zouden er 124 fysieke en virtuele servers
aanwezig moeten zijn. (...) NFIR heeft vastgesteld dat er 89 virtuele servers niet meer aanwezig waren in het netwerk van de gemeente. Uit onderzoek is gebleken dat deze 89 virtuele servers verwijderd waren.
Dertien servers waren nog wel aanwezig in verschillende staten:
- -
Vijf servers waren versleuteld. Bestanden op versleutelde systemen konden niet meer worden geopend. Eén van de versleutelde servers betrof een back-up server.
- -
De overige acht servers waren niet versleuteld. Hel systeem kon worden opgestart en
aanwezige bestanden konden worden gelezen. Deze servers bevatten informatie om het
netwerk in technische zin te laten werken.
(...)
Conclusie
(...) Op basis van onderzoek aan de niet verwijderde servers en de firewall, is bevonden dat de aanvallers toegang hebben verkregen tot het netwerk van de gemeente via het Remote
Desktop Protocol (RDP). Vanuit de configuratie in de firewall is vastgesteld dat een File
Transfer Protocol (FTP)-server sinds 29 oktober 2019 via het internet toegankelijk is
geworden. In de logboeken zijn miljoenen inlogpogingen waargenomen op de FTP-server:
ook wel bekend als brute-force aanvallen. Bij een brute-force aanval worden combinaties
van gebruikersnamen en wachtwoorden geprobeerd, tot een succesvolle inlogactie
plaatsvindt. (...)
Het eerste moment van ongeautoriseerde toegang heeft plaatsgevonden met het account
“testadmin”. Het wachtwoord van het “testadmin”-account was op 15 oktober 2020
gewijzigd naar “Welkom2020”.
Gezien de waargenomen brute-force aanvallen van buitenaf, is het waarschijnlijk dat het
wachtwoord is geraden. Het “testadmin”-account had de hoogste rechten binnen het netwerk van de gemeente. Mede hierdoor konden de aanvallers zich direct vrij over het
netwerk bewegen en malicieuze handelingen uitvoeren.
(...)
FNIR heeft door middel van forensisch onderzoek vastgesteld dat de aanvallers initieel toegang hebben gekregen tot het netwerk van de gemeente op 9 november 2020. Op dat moment werd voor het eerst ingelogd met het account “testadmin” op de FTP-server.
Vanaf 29 november 2020 werd via de FTP-server op diverse servers ingelogd binnen het netwerk “Hof van Twente”. De aanwezigheid van de aanvallers werd voor het laatst waargenomen op 1 december 2020.
(...)
De aanvallers hebben op verschillende momenten (in de periode van 9 tot en met 19 november 2020) software op de FTP-server geïnstalleerd met als doel om spam te versturen. Uit onderzoek aan de firewall is gebleken dat het versturen van spam door de firewall werd geblokkeerd.
Daarnaast hebben de aanvallers op 18 en 19 november 2020 vanaf vier verschillende servers verbindingen opgezet met een Command & Control server. Deze verbindingen werden de nieuwe toegangsweg voor de aanvallers. Vervolgens hebben de aanvallers de initiële toegangsweg ontoegankelijk gemaakt.
Op 30 november 2020 rond 22:00 uur zijn de aanvallers begonnen met de ransomware-aanval door het versleutelen van systemen en het verwijderen van 89 virtuele servers. De aanvallers lieten meerdere geprinte ‘ransom notes’ achter op de printers en als bericht op versleutelde systemen, met als doel om de gemeente contact te laten zoeken met de aanvallers.
(...) Ja, ongeautoriseerde toegang had voorkomen kunnen worden. Meerdere factoren hebben bijgedragen aan het ontstaan van het incident. Het gaat om de volgende technische- en beleidsfactoren:
De FTP-server was toegankelijk vanaf het internet middels een open poort (RDP) - een aanvullende verificatie om in te kunnen loggen (tweefactor authenticatie) was niet ingericht.
Indien niet noodzakelijk is om dergelijke poorten via het internet beschikbaar te stellen, had ongeautoriseerde toegang voorkomen kunnen worden door periodiek controles uil te voeren op de firewall configuratie;
Indien dergelijke poorten wel bereikbaar dienden te zijn vanaf het internet, hadden aanvullende maatregelen (zoals tweefactor authenticatie) op beleidsmatig en technisch niveau moeten worden afgedwongen.
Het wachtwoord “Welkom2020” voldeed aan het destijds door de gemeente gestelde wachtwoordbeleid (minimaal 8 karakters). Echter gaat het hier niet om individuele karakters, maar om een samenstelling van een veelgebruikt woord en een jaartal. Deze combinatie is niet geschikt om als wachtwoord te gebruiken.
Er had een specifieker wachtwoordbeleid opgesteld kunnen worden (...) en dit beleid had dan zowel op technisch als beleidsniveau moeten worden afgedwongen.
Het “testadmin” account had een dermate verhoogd rechtenprofiel (Domain Administrator-rechten). waardoor de aanvallers na het inloggen op dit account in staat waren om direct het volledige beheer van het netwerk over te kunnen nemen.
(...)
Door onvoldoende netwerksegmentatie (scheiding van communicatie tussen servers), was het mogelijk om verbinding te maken met andere servers binnen het netwerk van de gemeente vanaf de FTP-server.
Deze situatie had voorkomen kunnen worden door de servers op netwerkniveau van elkaar te scheiden (microsegmentatie) en enkel onderlinge communicatie toe te staan waar noodzakelijk.
Een op verzoek van de gemeente uitgevoerde penetratietest heeft de kwetsbaarheden die hebben geleid tot het incident niet gedetecteerd.
(...)
Het actief en centraal monitoren van beveiligingsmeldingen (Security Operations Center
(SOC)-dienstverlening) zou activiteiten, zoals de brute-force aanval op de FTP-server, tijdig aan het licht hebben gebracht;
(...)
Doordat de aanvallers controle hadden over de systemen waarop de back-ups waren ingesteld, bleken zij in staat om back-ups te verwijderen.
Deze situatie had voorkomen kunnen worden door daadwerkelijk een back-up buiten het netwerk te bewaren, waardoor verlies van data te voorkomen was geweest. (Hierbij is het van belang dal beide back-ups geen onderlinge verbinding hebben met elkaar).
(...)
Forensisch onderzoek
(…)
Op 29 oktober 2019 zijn aanpassingen gemaakt in de firewall door een medewerker van de
Gemeente voor de FTP-SVR03 (…)
Doordat in de firewall een regel is opgenomen dat elke dienst/poort benaderd mag worden,
zijn op dat moment alle diensten en poorten die bereikbaar zijn op de FTP-SVR03
blootgesteld aan het internet. Als een server al wordt blootgesteld aan het internet, dan kan
het nooit de bedoeling zijn dat elke dienst/poort benaderbaar is.
(...)
Door een extern bedrijf is in de periode van juni 2020 een penetratietest uitgevoerd, deze
penetratietest vond plaats in de periode dat de FTP-server bereikbaar was vanaf het
internet (...). De bovengenoemde problemen (namelijk een server bereikbaar via RDP vanaf
internet) zijn echter niet aan het licht gebracht. (...)
Een tijdige en volledige security audit op de firewall regels had kunnen onderkennen dat de
FTP-server via het RDP protocol gekoppeld was aan het internet, zodat ook hier maatregelen tegen genomen hadden kunnen worden. (...)”
3.19.
Bij brief van 25 maart 2021 heeft de advocaat van de gemeente Switch geschreven
dat Switch toerekenbaar tekortgeschoten is in de nakoming van haar verplichtingen uit de
overeenkomst, haar zorgplicht heeft geschonden en/of onrechtmatig heeft gehandeld en
Switch aansprakelijk gesteld voor de door de gemeente als gevolg van de cyberaanval
geleden schade.
3.20.
Dustin is de moedermaatschappij van Switch. Zij heeft een zogenaamde 2:403 BW-verklaring uitgebracht, waarin staat dat zij zich tot wederopzegging hoofdelijk aansprakelijk
verklaart voor de schulden die voortvloeien uit aangegane rechtshandelingen in de zin van
artikel 2:403 lid 1 onder f BW van Switch met ingang van 4 juli 2018.
5 Het oordeel van het hof
Omvang hoger beroep, plan van behandeling
5.1.
In de kern houden de verwijten die de gemeente aan Switch maakt het volgende in:
-
Switch had de ongebruikelijke hoeveelheid inlogpogingen die gedurende een jaar plaatsvonden kunnen voorkomen als zij de Sophos firewall adequaat had ingericht (‘geconfigureerd’) en beheerd. De RDP-faciliteit had automatisch moeten worden uitgezet na verloop van een korte tijd;
-
Switch had de ongebruikelijke hoeveelheid inlogpogingen moeten signaleren, zodat de cyberaanvallers gestopt konden worden met hun brute force aanvallen;
-
Switch had de back-up voorziening veilig moeten inrichten;
-
Switch had een (derde) kopie van de back-up data elders (‘off-site’) moeten bewaren, zodat deze buiten bereik van onbevoegden bleef en de schade was voorkomen, c.q. zeer beperkt was gebleven.
Dit alles gezien binnen de context van de aard en uitleg van de contractuele verplichtingen van de Raamovereenkomst waarvan ook deel uit maken de Selectieleidraad, de Uitnodiging tot inschrijving, de GIBT-voorwaarden en de Nadere Overeenkomst (de SLA waarin de Uitnodiging tot Inschrijving en Programma van eisen en wensen in verband met de dienstverlening).
5.2.
De rechtbank heeft geoordeeld dat Switch op deze punten niet is tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst. Verder heeft de rechtbank geoordeeld dat, voor zover er buiten de gesloten overeenkomst nog een zorgplicht voor Switch zou gelden, Switch die zorgplicht niet heeft geschonden en van onrechtmatig handelen van haar ook geen sprake is. In hoger beroep legt de gemeente het geschil hierover in volle omvang aan het hof voor (zie toelichting op grief 12).
5.3.
Het hof zal hierna eerst ingaan op de inhoud van de overeenkomst en de verplichtingen die op grond daarvan rustten op Switch. Dit aan de hand van hetgeen de rechtbank daarover heeft vastgesteld en de gemeente daartegen heeft ingebracht (in de inleiding van de memorie van grieven, uitgewerkt in de grieven 5 tot en met 9). Vervolgens zal het hof ingaan op de verwijten die de gemeente Switch op basis daarvan maakt (uitgewerkt in de grieven 1 tot en met 4). Ten slotte zal het hof de gestelde schending van de zorgplicht en onrechtmatige daad bespreken (grieven 10 en 11).
‑ Aanbestedingsstukken, uitlegmaatstaf
5.4.
Voorop staat dat in dit geval sprake is van een Europese aanbesteding voor de uitbesteding van systeembeheer en aanverwante ICT-beheerdienstverlening. Zoals de rechtbank onbestreden heeft overwogen, betekent dit dat de bepalingen van de aanbestedingsstukken binnen de grenzen van het transparantiebeginsel moeten worden uitgelegd aan de hand van de zogenaamde CAO-norm. De bewoordingen van die bepalingen, gelezen in het licht van de gehele tekst van de aanbestedingstukken, zijn daarbij in beginsel van doorslaggevende betekenis. De aanbestedingsstukken worden hier gevormd door de Selectieleidraad aanbesteding ICT-beheerdiensten, de Uitnodiging tot Inschrijving aanbesteding ICT-beheerdiensten, de Nota van Inlichtingen, het Programma van Eisen, de Raamovereenkomst (met daarbij de GIBIT voorwaarden en de door Switch uitgebrachte inschrijving) en de Nadere Overeenkomst met de SLA. Het hof sluit zich verder aan bij de overwegingen van de rechtbank hierover in het vonnis van 10 mei 2023 onder 4.2.1 en maakt die tot de zijne.
‑ Uitgangspunten/verplichtingen
5.5.
Op basis van de aanbestedingsstukken heeft Switch als taak het systeembeheer en aanverwante ICT-beheerdienstverlening van de gemeente te verzorgen. Zoals de rechtbank onbestreden heeft overwogen, gelden daarbij de volgende uitgangspunten/verplichtingen:
-
de bestaande situatie met de ‘housing’ van de ICT-infrastructuur op locatie van de gemeente blijft vooralsnog gehandhaafd, in combinatie met de off-site opslag van een kopie van de back-up data;
-
Switch is verantwoordelijk voor de ICT-beheerdienstverlening die nodig is voor alle servers, opslagsystemen, systeemsoftware en netwerkvoorzieningen om de gemeente in staat te stellen om applicaties ter beschikking te stellen aan gebruikers, welke ICT-beheerdienstverlening minimaal omvat:
het documenteren en up-to-date houden van de documentatie van de inrichting van de servers, opslagen netwerkvoorzieningen (...);
het proactief monitoren van het functioneren van de servers, opslag en netwerkvoorzieningen;
het up-to-date houden van systeemsoftware van de servers, opslag en netwerkvoorzieningen door het installeren van patches en updates;
het uitvoeren van corrigerende maatregelen bij geconstateerde problemen op deze infrastructuur;
het borgen van de adequate werking van de systeemsoftware;
het borgen van de adequate back-up en restore van data;
het borgen van adequate antivirus maatregelen;
het borgen van de adequate firewall inrichting.
3. Switch volgt de best practices en productontwikkelingen met betrekking tot de beheerde ICT-infrastructuurcomponenten en daarop beschikbare systeemsoftware.
‑ Configuratiebeheer, back-up, netwerksegmentatie
5.6.
Zoals de rechtbank heeft vastgesteld, vermelden de aanbestedingsstukken dat Switch verantwoordelijk wordt voor het configuratiebeheer van de servers, opslag en netwerkvoorzieningen en dat de gemeente verantwoordelijk is voor de overige apparatuur en dat technisch applicatiebeheerders van de gemeente (al dan niet tijdelijk) volledige beheerrechten moeten hebben.
Switch is verantwoordelijk voor het afhandelen van alle gemelde en zelf gedetecteerde incidenten die verband houden met de door haar beheerde objecten. Switch dient 24 uur per dag, 7 dagen per week de beheerde objecten proactief te monitoren. De gemeente wil een real-time inkijkfunctionaliteit in de monitoring- en beheeromgeving van de leverancier. De gemeente heeft zelf de mogelijkheid minor changes (zoals geringe aanpassing in de firewall/netwerkconfiguratie) uit te voeren. Zij moet in staat zijn om accounts aan te maken, wachtwoorden te resetten, back-ups terug te zetten en wijzigingen in het kader van technisch applicatiebeheer door te voeren.
Switch moet voorzien in een opslagdienst voor de off-site hosting van de kopie van de actuele back-up data van de gemeente die onder meer voldoet aan de volgende vereisten:
- -
opslag op een locatie die zich hemelsbreed meer dan tien kilometer van de locatie met de primaire data (het gemeentehuis) bevindt;
- -
de informatieveiligheid van de data en de opslagdienst in het algemeen dient geborgd te zijn, zodanig dat voldaan wordt aan de eisen die vanuit het informatiebeveiligingsbeleid van de gemeente hieraan worden gesteld, welk beleid is gebaseerd op de BIG;
- -
de verbinding naar de opslagdienst loopt via de internetverbinding van de gemeente;
- -
de opslagdienst is in principe 24 uur per dag zeven dagen per week benaderbaar;
- -
de leverancier controleert dagelijks dat het back-up proces naar de externe opslagdienst correct is uitgevoerd.
Afgesproken is dat de voorganger van Switch, Previder, afrondende werkzaamheden zal verrichten, die buiten de scope van de opdracht vallen, zoals netwerksegmentatie.
‑ Monitoring
5.7.
Uit de aanbestedingsstukken blijkt dat op Switch de verplichting rustte tot functionele monitoring, dat wil zeggen het monitoren van de door Switch beheerde objecten op beschikbaarheid, capaciteit en performance, en niet tot security-monitoring, dat wil zeggen het monitoren op beveiligingsniveau dan wel beveiligingsincidenten. Over veiligheidsaspecten of veiligheidsrisico’s (zoals een cyberaanval) wordt in de aanbestedingsstukken niet (expliciet) gesproken. Op grond daarvan mocht van Switch wel worden verwacht dat zij signalen zou oppikken die van invloed waren op de vereiste beschikbaarheid, capaciteit en performance van servers, netwerkvoorzieningen en opslag en zo nodig corrigerende maatregelen zou treffen, maar niet dat zij ook specifiek op veiligheidsrisico's zou monitoren, zoals bij ongeautoriseerde inlogpogingen. Dat zou anders zijn als de ongeautoriseerde inlogpogingen zélf invloed zouden hebben op de beschikbaarheid, capaciteit of performance van de beheerde objecten. Het hof volgt niet het betoog van de gemeente dat de beschikbaarheid van het netwerk ook een veiligheidsaspect heeft, zodat Switch toch een groot aantal inlogpogingen zou moeten detecteren gezien het risico voor de beschikbaarheid. De gemeente heeft onvoldoende toegelicht op grond waarvan zij de overeenkomst zo mocht en Switch zo moest begrijpen. De opmerking dat beveiliging een kernverplichting van Switch was, is daarvoor ontoereikend. Het hof ziet verder ook geen aanknopingspunten voor een dergelijke ruime uitleg van de verplichtingen van Switch in dit kader.
‑ Borgen van adequate werking
5.8.
Op de uitleg van de bepalingen over het borgen van de adequate werking van de systeemsoftware, back-up en restore van data, adequate antivirusmaatregelen en adequate firewall-inrichting zal het hof bij de bespreking van de verwijten verder ingaan.
‑ Informatieveiligheid, informatiebeveiligingsbeleid/BIG
5.9.
Ten aanzien van de informatieveiligheid is overeengekomen dat moet worden voldaan aan het informatiebeveiligingsbeleid van de gemeente dat is gebaseerd op de BIG. Het hof deelt het oordeel van de rechtbank in het vonnis van 10 mei 2023 onder 4.2.6 dat uit deze verwijzing niet volgt dat de BIG zelf van toepassing is op de overeenkomst tussen partijen. De desbetreffende eis richt zich immers op het beleid van de gemeente en houdt niet in dat dit beleid samenvalt met de BIG. De gemeente erkent dat ook, waar zij stelt dat de BIG geen beleid betreft, maar normen en (doelen van) beveiligingsmaatregelen beschrijft, waarbij de organisatie van informatiebeveiliging en de wijze van implementatie van de beveiligingsmaatregelen worden beschreven in een informatiebeveiligingsbeleid. Nu in de Nota van Inlichtingen, in antwoord op vraag 48 naar het informatiebeveiligingsbeleid van de gemeente, is verwezen naar het Beleidsplan informatieveiligheid & privacy 2017, mocht Switch ervan uitgaan dat dit het informatiebeveiligingsbeleid van de gemeente inhield waaraan moest worden voldaan. In het Beleidsplan wordt voor het normenkader weliswaar verwezen naar de BIG, maar daaruit volgt nog niet dat de normen uit de BIG onderdeel zijn van het beleid. In het Beleidsplan is vermeld dat de maatregelen uit de BIG zijn beschreven in de bijlage bij het plan; voor de uitgebreide versie wordt verwezen naar het handboek informatiebeveiliging. In de bijlage is, voor zover hier van belang, slechts vermeld dat er back-upkopieën van informatie en programmatuur moeten worden gemaakt en regelmatig moet worden getest overeenkomstig het vastgestelde back-up beleid. Meer of andere verplichtingen volgen daar niet uit. De gemeente heeft niet gesteld dat uit het handboek nog andere eisen volgen waaraan de dienstverlening op dit punt zou moeten voldoen. Voor het overige verwijst het hof naar het oordeel van de rechtbank in het vonnis van 10 mei 2023 onder 4.2.6 en maakt die tot de zijne.
‑ GIBIT-voorwaarden, ICT-kwaliteitsnormen/BIG en BIO
5.10.
De gemeente voert nog aan dat artikel 6 en 10 van de GIBIT-voorwaarden bepalen dat de ICT-prestatie moet voldoen aan de gemeentelijke ICT-kwaliteitsnormen. Volgens de gemeente waren dat ten tijde van het sluiten van de overeenkomst de BIG en vanaf 1 januari 2002 de Baseline Informatiebeveiliging Overheid (BIO), wat is af te leiden uit artikel 26 lid 1 van de GIBIT-voorwaarden. De gemeente betoogt dat de BIG en BIO daarom wel relevant zijn voor de uitleg van de contractuele verplichtingen. Dat betoog volgt het hof niet. Artikel 26 lid 1 van de GIBIT-voorwaarden houdt in dat de leverancier ervoor instaat dat met de ICT-prestatie kan worden voldaan aan de BIG die deel uitmaakt van de gemeentelijke ICT-kwaliteitsnormen, althans een andere overeengekomen norm voor informatiebeveiliging. Zoals de rechtbank in het vonnis van 10 mei 2023 onder 4.2.6 heeft overwogen, heeft de gemeente in de aanbestedingsstukken haar eigen informatiebeveiligingsbeleid als norm voor de informatiebeveiliging gesteld, zodat niet wordt teruggevallen op de BIG of BIO. Het hof ziet niet in dat de artikelen 6 en 10 van de GIBIT-voorwaarden - die inhouden dat de ICT-prestatie moet voldoen aan de gemeentelijke ICT-kwaliteitsnormen en dat de leverancier garandeert dat de ICT-prestatie daaraan voldoet - daarvoor geen ruimte zouden laten, zoals de gemeente betoogt.
‑ BIG en BIO als best practices?
5.11.
De gemeente betoogt verder dat de BIG en BIO zijn te beschouwen als (een nadere uitwerking van) de best practices die Switch zou toepassen bij het leveren van de ICT-prestatie, net zoals de ISO 27001:2017 en 27002:2017 standaarden waarop de BIG en BIO zijn gebaseerd. Switch wijst er echter terecht op dat in artikel 3.4.1 van de Selectieleidraad slechts is opgenomen dat Switch de best practices en productontwikkelingen met betrekking tot de beheerde ICT-infrastructuurcomponenten en daarop beschikbare systeemsoftware volgt en daarvoor een voortdurende en proactieve adviesrol vervult in de richting van de gemeente. Zelfstandige/aanvullende verplichtingen in het kader van de uitvoering van de ICT-beheerdienstverlening kunnen daaruit niet worden afgeleid.
5.12.
Zoals aangekondigd in de aanbestedingsstukken heeft Switch een concept document Dossier Afspraken Procedures (DAP) opgesteld. De ‘definitieve versie’ dateert van 2 oktober 2018. Er is gesproken over aanpassingen van dit stuk, maar de aangepaste versie is er niet gekomen dan wel in de conceptfase blijven steken. De definitieve versie is niet ondertekend, maar diende voor partijen wel tot uitgangspunt bij de uitvoering van de overeenkomst, zo bleek uit de mondelinge behandeling in hoger beroep. Het DAP bevat een tabel met een verdeling van beheerverantwoordelijkheden per beheerd object. Hierin is, bij het beheerobject ICT-omgeving, opgenomen dat Switch verantwoordelijk is voor onder meer de back-up, antivirus en firewall beheer. Beheer is als volgt omschreven:
“
2.4.3 BEHEER
Dit betreft een diepgaande inspectie en controle van de Gemeente Hof van Twente omgeving om evt. risico’s en gebreken vroegtijdig te signaleren zodat preventieve maatregelen kunnen worden ondernomen. Eenmaal in de 6 weken wordt tijdens reguliere kantoortijden de omgeving van Gemeente Hof van Twente grondig nagelopen volgens een vaste “controlelijst” door een van onze engineers. Dit staat los van monitoring die al plaatsvindt. Hierbij worden bv. logfiles beoordeeld, de uptime en CPU gebruik van servers gecontroleerd, security maatregelen (o.a. antivirus) nagelopen. Eventuele bijzonderheden worden met Gemeente Hof van Twente teruggekoppeld. [OPTIONEEL] Resultaten hiervan worden meegenomen in de trendanalyse die per kwartaal wordt opgesteld en doorgesproken.”
5.13.
De geciteerde tekst houdt in dat Switch in het kader van het beheer, los van monitoring, controles uitvoert waarbij zij ook logfiles beoordeelt. Switch wijst er echter op dat zij bij haar inschrijving, in het antwoord op wens 9 waarin zij schreef dat zij in een DAP nadere afspraken wilde maken over de verdeling van verantwoordelijkheden, te kennen heeft gegeven dat het analyseren van logfiles alleen betrekking heeft op performance logfiles en niet op security logfiles: “(…) Performance logfiles analyseren (dit zijn niet de security logfiles) (…)”. Gelet daarop mocht de gemeente er niet van uitgaan dat het door Switch beschreven beheer ook de controle van security logfiles omvatte.
5.14.
Verder staat vast dat de gemeente uitdrukkelijk heeft bedongen dat zij een eigen account behield, dat zij zelf beheerde om externe leveranciers toegang te kunnen geven tot haar netwerk, en dat aan dit ‘domain admin account’ de hoogste beheerrechten waren gekoppeld. In dat opzicht was dus wel sprake van duaal beheer. Partijen hadden nog geen sluitende oplossing gevonden voor de verdeling van verantwoordelijkheden van dit beheer (waaronder ook de verantwoordelijkheid met betrekking tot security). Zo was in de versie van het DAP van oktober 2018 opgenomen dat vooraf vast te stellen leveranciers en eigen applicatiebeheerders via een eigen beheeraccount toegang krijgen tot de voor hen relevante applicaties en onderdelen van de ICT-omgeving, dat dit serviceaccount uniek is per beheerder en altijd gecontroleerd loopt via de system management tool (Kaseya) van Switch en dat het functioneel en technisch beheer volledig onder regie en verantwoordelijkheid is van de gemeente. In de praktijk ging het niet helemaal zo: op verzoek van de gemeente werd op dit beheeraccount geen gebruik gemaakt van de door Switch voor andere accounts gebruikte Kaseya- en/of PRTG-tool. De gemeente, die verantwoordelijk was voor het wachtwoordbeleid in verband met de toegang tot accounts, koos niet voor twee factor authenticatie (TFA) of multi factor authenticatie (MFA).
Afgezien daarvan geldt dat, ook als de eindverantwoordelijkheid voor het beheer lag bij Switch, het op de weg van de gemeente lag om wijzigingen door te geven die zij via haar beheeraccount doorvoerde en die van belang waren voor het beheer door Switch. Dat geldt evident voor het wijzigen van een regel in de firewall waardoor de RDP-poort naar het internet werd opengezet en de FTP-SVR03 server van de gemeente via het internet bereikbaar werd, zoals in oktober 2019 is gebeurd. Hetzelfde geldt voor het invoeren van een eenvoudig te raden wachtwoord (“Welkom2020”), zoals in oktober 2020 het geval was.
‑ Aard van de verplichtingen: resultaatsverbintenis of inspanningsverbintenis?
5.15.
De gemeente stelt zich op het standpunt dat de contractuele verplichtingen van Switch moeten worden opgevat als resultaatsverbintenissen. Zij wijst er daarbij op dat Switch moest garanderen dat het beheer van de ICT-infrastructuur van de gemeente zou voldoen aan de gemeentelijke ICT-kwaliteitsnormen en een adequate firewall-inrichting, adequate antivirusmaatregelen en adequate back-up moest borgen. Met Switch is het hof echter van oordeel dat de verplichtingen die Switch in het kader van de overeenkomst op zich heeft genomen meer het karakter hebben van een inspanningsverbintenis: de aanbestede opdracht betrof in de kern de uitbesteding van het systeembeheer en aanverwante ICT-dienstverlening van de gemeente. Daarin staat niet een verplichting om een bepaald resultaat tot stand te brengen centraal, maar gaat het meer om een voortdurende inspanning voor dat resultaat, namelijk een veilige en goed werkende ICT-infrastructuur. Het enkele feit dat de cyberaanval heeft kunnen plaatsvinden waarbij de ICT-systemen van de gemeente buiten werking zijn gesteld en back-ups zijn verwijderd, betekent dan ook nog niet dat Switch is tekortgeschoten in de nakoming van haar verbintenis. Dat is pas het geval als Switch een of meer concrete verplichtingen om iets te doen of na te laten in het kader van de overeenkomst niet heeft nageleefd.
De gestelde tekortkomingen
‑ Borgen adequate inrichting en beheer van de firewall
5.16.
Uit het onderzoek van NIFR is gebleken dat de firewall niet adequaat was ingericht: een jaar voor de aanval (29 oktober 2019) is door een medewerker van de gemeente een regel in de firewall aangepast, waardoor een RDP-poort is opengezet die later een opening bleek naar de rest van het netwerk. De gemeente stelt tegen deze achtergrond dat Switch niet heeft voldaan aan haar verplichting om een adequate firewall in te richten, door deze niet conform de standaardinstellingen van de Sophos UTM firewall, de handleiding van de leverancier en best practices op ‘whitelisting’ in te stellen. Met whitelisting wordt bedoeld dat internetverkeer alleen vanuit of naar bepaalde IP-adressen die op een whitelist staan is toegestaan en verkeer vanuit of naar andere IP-adressen wordt geblokkeerd. Een alternatief is ‘blacklisting’, waarbij internetverkeer vanuit alle IP-adressen is toegestaan, behalve als deze op de blacklist staan; internetverkeer naar of vanuit dat IP-adres wordt dan geblokkeerd. Het instellen en bijhouden van deze lijsten hoort bij de configuratie van een firewall. Daar hoort ook bij dat de geldigheidsduur van het instellen of aanpassen van een regel kan worden beperkt. Volgens de gemeente had het verkeer vanuit het IP-adres waarmee de cyberaanvallers zijn binnengekomen niet kunnen plaatsvinden als whitelisting was toepast. De gemeente wijst er verder op dat de hackers een IP-adres uit de Russische Federatie hebben gebruikt. Volgens de gemeente had Switch in elk geval bepaalde landen of regio’s moeten blokkeren, zoals die van de Russische federatie. Verder hadden volgens haar rule settings moeten worden ingesteld, waardoor de RDP-faciliteit niet langer had kunnen openstaan dan een vooraf bepaalde duur. De brute force aanvallen hadden dan niet kunnen plaatsvinden, aldus de gemeente. Daarnaast heeft de gemeente benadrukt dat de inrichting en beheer van een firewall geen eenmalige activiteit is maar voortdurende actie vraagt. Volgens de gemeente heeft Switch ook dat niet gedaan.
5.17.
Voor deze verwijten ziet het hof geen goede grond. Switch heeft allereerst toegelicht dat zij de firewall wel degelijk op basis van het principe van whitelisting heeft geconfigureerd. Zij heeft erop gewezen dat een medewerker van de gemeente zelf aanpassingen heeft gemaakt in de firewall, waardoor de FTP-SVR03 server toegankelijk werd vanaf elk IP-adres vanaf het internet. De gemeente heeft in reactie daarop haar aanname dat geen whitelisting is toegepast niet nader onderbouwd, zodat daaraan voorbij wordt gegaan. Waar whitelisting werd toegepast, bestond geen aanleiding voor de minder vergaande maatregel van blacklisting, waarmee alleen verbindingen met IP-adressen uit risicolanden zouden worden geblokkeerd. Dat Switch dit niet heeft toegepast, levert dus ook geen tekortkoming op. Tijdens de mondelinge behandeling heeft de gemeente verder erkend dat rule settings, zoals een beperking van de duur van openstelling van een RDP-poort, pas bij aanpassing van een regel in de firewall kunnen worden ingesteld, en niet vooraf en in het algemeen. Dat de door een medewerker van de gemeente opengezette RDP-poort open is blijven staan, is dan ook niet te wijten aan een configuratiefout van Switch.
5.18.
Verder is juist dat de adequate inrichting van de firewall, althans het beheer daarvan geen eenmalige activiteit is maar voortdurende zorg vraagt. Zo betekent dit dat Switch erop moest toezien dat de firewall correct functioneert en dat tijdig updates werden geïnstalleerd. Er volgt echter niet zonder meer uit dat Switch ook - voortdurend of periodiek - het logboek van de firewall moest controleren om verdachte activiteiten op te sporen en waar nodig beschermingsmaatregelen te nemen of voor te stellen. Daarbij is van belang dat, zoals hiervoor is overwogen, Switch bij haar inschrijving uitdrukkelijk heeft vermeld dat zij de performance monitoring wel, maar de security monitoring niet op zich nam. De vermelding in paragraaf 2.4.3 van het DAP dat Switch regelmatig een diepgaande controle zal doen en in dat kader regelmatig ook de logfiles controleert, moet in dat licht worden gezien. Hieraan mocht de gemeente dan ook niet de verwachting ontlenen dat Switch de logboeken van het veiligheidssysteem (de firewall) zou controleren. Gesteld noch gebleken is dat de vele inlogpogingen of brute force aanvallen van (werkelijke) invloed zijn geweest op de performance waarvoor Switch wel de verantwoordelijkheid droeg. De redenering dat Switch dit toch had moeten doen omdat beschikbaarheid ook een veiligheidsaspect heeft, gaat zoals hiervoor is overwogen ook niet op. Uit het feit dat de term ‘borgen’ is gebruikt, kan in deze context ook geen verplichting tot deze controle worden afgeleid. De verwijzingen naar hetgeen daarover is opgenomen in de BIG en BIO kan de gemeente ook niet baten, gelet op hetgeen daarover in het voorgaande is overwogen: een verplichting om de security logfiles te controleren, waar deze uit de aanbestedingsstukken zelf niet volgt, kan daaruit niet worden afgeleid.
5.19.
De gemeente stelt verder dat uit de contractuele verplichting tot het beheren van de servers volgt dat Switch in elk geval de logboeken van de FTP-SVR03 server van Microsoft regelmatig had moeten controleren. Als zij dat had gedaan, had zij gezien dat tussen 24 november 2020 en 1 december 2020 ongeveer 430.000 inlogpogingen hadden plaatsgevonden. Dat duidde op een brute force aanval, aldus de gemeente. Zij stelt verder dat dit enorm hoge aantal ongeautoriseerde inlogpogingen hoe dan ook van invloed is geweest op de beschikbaarheid, capaciteit en performance van het systeem omdat dit al deze pogingen heeft moeten verwerken. Daarnaast stelt zij dat het best practice is om een groot aantal opeenvolgende inlogpogingen onmogelijk te maken, door bij een aantal mislukte inlogpogingen het account (al dan niet voor bepaalde tijd) te blokkeren.
5.20.
Het hof onderschrijft dat de gemeente mocht verwachten dat Switch het logboek van de Microsoft servers zou controleren. Switch heeft bij haar inschrijving immers te kennen gegeven dat zij de performance logfiles zou analyseren. De omschrijving van het beheer in het DAP sluit daar ook op aan. Dit gold dan ook voor de logbestanden van de FTP-SVR03 server. De door Switch ingeschakelde deskundige heeft er tijdens de mondelinge behandeling in hoger beroep echter op gewezen dat het aantal verbindingen/inlogpogingen op zichzelf niet relevant is en niet per definitie op een brute force aanval duidt. De deskundige van de gemeente heeft dat onderschreven, maar heeft erop gewezen dat een significante stijging van het aantal verbindingen/inlogpogingen wel duidt op verhoogde aandacht en risico. De gemeente heeft echter niet (voldoende concreet en onderbouwd) aangegeven dat er sprake is geweest van een zodanige toename dat Switch op grond daarvan maatregelen had moeten nemen of althans had moeten waarschuwen voor het bedoelde risico. Dat Switch erin had moeten voorzien dat het account bij een aantal mislukte inlogpogingen zou worden geblokkeerd, heeft de gemeente verder onvoldoende onderbouwd. Daarom kan ook op dit punt geen tekortkoming van Switch worden vastgesteld.
‑ Borgen van adequate back-up en restore van data
5.21.
De gemeente benadrukt dat het borgen van een adequate off-site back-up al onderdeel was van de raamovereenkomst en nadere overeenkomt die partijen op 15 mei 2018 hebben ondertekend. Dat Switch op 22 mei 2020 een offerte heeft uitgebracht met een voorstel voor back-up hardening, dat de gemeente niet heeft aanvaard, doet volgens de gemeente daarom niet ter zake (nog daargelaten dat volgens de gemeente niet vaststaat dat zij deze offerte heeft ontvangen). De gemeente noemt daarbij dat Switch in haar inschrijving heeft vermeld dat haar off-site back-up oplossing een professioneel, veilig en TIER-3 en ISO 27001 gecertificeerd datacenter biedt dat gebruik maakt van bewezen tooling (Veeam Cloud Connect) en een veilige en betrouwbare TLS/SSL-internetverbinding inclusief encryptie van het internetverkeer. Zij wijst erop dat Veeam Cloud Connect uitgaat van de 3-2-1 best practice, die inhoudt dat drie kopieën worden bewaard op verschillende media en locaties: één primary back-up en twee kopieën die op twee verschillende typen media/gegevensdragers worden bewaard, waarvan ten minste één off-site. De gemeente heeft het vermoeden dat er geen off-site back-up voorhanden was. Verder betoogt de gemeente dat, als Switch was georganiseerd en had gefunctioneerd conform de eisen van ISO 27001, onbevoegden nooit toegang hadden mogen krijgen tot het Switch datacenter. Volgens de gemeente kan en moet een off-site back-up ook met een eigen internetverbinding veilig worden georganiseerd. De gemeente wijst er daarbij nog eens op dat Switch in haar inschrijving beloofde dat zij gebruik zou maken van een veilige en betrouwbare internetverbinding.
5.22.
Switch stelt daartegenover dat aan het 3-2-1 principe wel degelijk is voldaan: (1) er waren drie sets van de data aanwezig (de originele data en twee kopieën), (2) de originele data stonden op de servers van de gemeente, één kopie stond op de lokale back-up op de locatie van de gemeente en één kopie stond op de off-site back-up van Switch, en (3) de kopieën waren op verschillende dragers/media opgeslagen. De gemeente heeft niets meer tegen dit verweer ingebracht. Gelet daarop ziet het hof onvoldoende grond voor het vermoeden dat dit anders was. Switch heeft er verder op gewezen dat een offline back-up in de aanbesteding niet is uitgevraagd, zodat het ontbreken daarvan geen tekortkoming oplevert. Deze is wel aangeboden in de offerte van 22 mei 2020, maar die heeft de gemeente niet geaccepteerd. Daarbij is van belang dat tot de eisen van de gemeente behoorde dat zij 24/7 toegang tot de back-up had. Switch heeft aangevoerd dat, voor zover het een verplichting van haar was om de toegang zo te regelen dat alleen geautoriseerde personen toegang zouden krijgen tot de back-ups, zij daar ook aan heeft voldaan. De gemeente had via het domeinadministrator account toegang tot op het hoogste niveau en dus ook tot de back-ups. De gemeente wilde dat zo houden. Switch vermeldt ten slotte dat het transport van informatie over het internet verliep via een verbinding die beveiligd (encrypted) was. Daarmee werd voldaan aan wat zij bij de inschrijving had beloofd. De gemeente heeft tegenover deze gemotiveerde betwisting haar stellingen op dit punt niet nader onderbouwd, wat wel van haar had mogen worden verwacht. Ook op dit punt kan dan ook niet worden vastgesteld dat Switch haar contractuele verplichtingen niet is nagekomen. De oorzaak van het probleem lag niet in een onjuiste inrichting van de back-upvoorziening, maar in het feit dat de hackers toegang hebben verkregen via het hoogste domeinadministrator account van de gemeente en daardoor ook toegang kregen tot de back-ups, waardoor zij deze hebben kunnen verwijderen. Voor het overige verwijst het hof naar het vonnis van 10 mei 2023 onder 4.3.5 en maakt die overweging tot de zijne.
5.23.
De conclusie is dat van een tekortkoming op de door de gemeente genoemde punten niet is gebleken. De vorderingen zijn op deze grondslag dan ook niet toewijsbaar.
5.24.
De gemeente stelt verder dat Switch een (bijzondere) zorgplicht heeft geschonden door (i) de gemeente niet indringend te waarschuwen voor de risico’s van de door Switch beheerde off-site back-up en te informeren dat zij een adequate back-up niet langer kon waarborgen, (ii) zich er niet van te vergewissen dat de netwerksegmentatie door Previder was afgerond en deze werkzaamheden niet zo nodig zelf op te pakken, (iii) de gemeente niet indringend te waarschuwen voor de risico’s van de wens van de gemeente om zelf beheerrechten te houden en (iv) niet te wijzen op de maatregel van het beperken van het mogelijke aantal foutieve inlogpogingen.
5.25.
Het gestelde onder (i) is gebaseerd op het feit dat Switch in mei 2020 een voorstel tot back-up hardening heeft uitgebracht. De gemeente leidt daaruit af dat de bestaande back-up voorziening kennelijk niet (meer) adequaat was. Dat is echter te kort door de bocht. Switch heeft toegelicht dat zij met de bestaande back-up oplossing aan de door de gemeente gestelde eisen voldeed. Switch signaleerde na de ransomware aanval bij de Universiteit Maastricht dat de aanvallers toegang hadden gekregen tot de active directory omgeving en daarmee ook bij de back-up konden komen. Dat betekende niet direct een groot risico voor de gemeente, omdat Switch zelf MFA toepaste op de door haar beheerde domeinadministrator accounts en zij ervan mocht uitgaan dat de gemeente haar eigen account ook goed beveiligde met een (moeilijk te raden) wachtwoord. Daarnaast adviseerden de VNG en het NCSC ook nog geen nadere maatregelen; dat gebeurde pas na 1 december 2020. Switch heeft desondanks proactief gehandeld door een voorstel voor back-up hardening uit te werken en naar de gemeente te sturen. Dit voorzag onder meer in toevoeging van een offline back-up die niet meer via het netwerk van de gemeente zou zijn te benaderen. Gelet op deze gang van zaken, die de gemeente inhoudelijk niet heeft weersproken, kan niet worden gezegd dat Switch op dit punt onvoldoende zorg voor de belangen van de gemeente heeft betracht.
5.26.
Ten aanzien van het gestelde onder (ii) geldt dat niet ter discussie staat dat het anders inrichten van de ICT-infrastructuur buiten de scope van de opdracht viel. Tegen die achtergrond kan niet worden gezegd dat Switch enige zorgplicht heeft geschonden door zich niet bezig te houden met de netwerksegregatie die haar voorganger zou uitvoeren.
5.27.
Het gestelde onder (iii) betreft de wens van de gemeente om zelf beheerrechten te houden. Switch heeft genoegzaam uitgelegd dat het behoud van beheerrechten door de gemeente op zichzelf niet risicovol was. Zij mocht verwachten dat de gemeente voldoende kennis in huis had om hiermee verantwoord om te gaan. Daar komt bij dat partijen volgens Switch hebben afgesproken dat wijzigingen door de gemeente zouden worden gemeld, wat de gemeente niet gemotiveerd heeft weersproken. Gelet daarop hoefde Switch geen reden te zien om de gemeente te waarschuwen voor risico’s zoals die zich uiteindelijk hebben voorgedaan.
5.28.
Ten aanzien van het gestelde onder (iv) geldt dat de gemeente zelf verantwoordelijk was en wilde blijven voor haar wachtwoordbeleid. Zij beschikte op haar uitdrukkelijke wens over een eigen domeinadministrator account en kon er zelf voor zorgen dat dit na een aantal foutieve inlogpogingen zou worden geblokkeerd. Switch heeft er verder nog op gewezen dat zij MFA op de door haar beheerde accounts heeft ingesteld en dat zij de gemeente daarover heeft geïnformeerd, zodat daarop geen beperking van het aantal foutieve inlogpogingen hoefde te worden ingesteld. Zij heeft de gemeente herhaaldelijk geadviseerd om de toegang via Kaseya te laten verlopen, waarop MFA was ingesteld. Gelet daarop kan ook hier niet worden gezegd dat Switch enige zorgplicht heeft geschonden. Een grond voor aansprakelijkheid van Switch levert dit dan ook niet op.
5.29.
Wat de gemeente in het kader van de zorgplicht verder nog heeft aangevoerd, betreft gestelde tekortkomingen die in het voorgaande al zijn besproken. Het hof ziet geen grond om aan te nemen dat Switch op deze punten weliswaar geen contractuele verplichtingen heeft geschonden, maar wel een op haar rustende zorgplicht niet heeft nageleefd. Voor het overige verwijst het hof naar het vonnis van 10 mei 2023 onder 4.4.2 en maakt die overweging tot de zijne.
5.30.
De gemeente stelt ten slotte dat Switch in strijd met de maatschappelijke zorgvuldigheid heeft gehandeld omdat zij als vitale dienstverlener van een publiekrechtelijke organisatie niet alleen haar contractuele plicht heeft maar ook een maatschappelijke verantwoordelijkheid. Zij verwijst daarbij naar de tekortkomingen die zij heeft beschreven. De gemeente vindt dat Switch haar en haar inwoners, bedrijven en organisaties aan onverantwoorde risico’s heeft blootgesteld.
5.31.
Het hof heeft hiervoor geconcludeerd dat de door de gemeente gestelde tekortkomingen niet zijn komen vast te staan. Niet valt in te zien dat op dezelfde punten wel sprake is geweest van onrechtmatig handelen. Ook op deze grondslag zijn de vorderingen van de gemeente dus niet toewijsbaar.
5.32.
De gemeente heeft geen (voldoende concrete) feiten gesteld die, indien bewezen, tot een andere uitkomst kunnen leiden. Aan het bewijsaanbod van de gemeente gaat het hof daarom voorbij.
5.33.
Het hoger beroep slaagt niet. Het hof zal de bestreden vonnissen dan ook bekrachtigen. Gelet op deze uitkomst is de vordering van de gemeente tot terugbetaling van wat zij op grond van het eindvonnis heeft betaald ook niet toewijsbaar. Deze vordering zal dan ook worden afgewezen.
5.34.
Omdat de gemeente in het ongelijk wordt gesteld, zal het hof haar veroordelen in de proceskosten in hoger beroep. Onder die kosten vallen ook de nakosten die nodig zijn voor de betekening van de uitspraak en de wettelijke rente daarover. De rente is verschuldigd vanaf veertien dagen na die betekening.2
5.35.
De veroordelingen in deze uitspraak kunnen ook ten uitvoer worden gelegd als een van partijen de beslissing van het hof voorlegt aan de Hoge Raad (uitvoerbaarheid bij voorraad).
.jpg?width=50&height=55)
.jpg?width=50&height=55)
