Schade hack bij Hof van Twente loopt op

Negen op de tien gemeentes vrezen ook slachtoffer te worden

Dit artikel delen:

De gemeente Hof van Twente gaat minimaal drie à vier miljoen euro schade lijden als gevolg van de aanval met ransomware waardoor massaal basisdata verloren gingen. Per bewoner is dat zeker honderd euro verlies. De uiteindelijke strop kan nog behoorlijk oplopen.

Dit zegt Richard Klein Tankink, hoofd concernstaf van de getroffen gemeente, tijdens het RPO Journaal, een evenement van VNG Risicobeheer. Centraal thema was hoe gemeenten om moeten gaan met de risico's van digitalisering. Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen. Vandaar ook de grote interesse in het verloop van deze ongekend grote ramp.  

Nog steeds blijkt de gemeente deze klap allerminst te boven is. Sommige ambtenaren kunnen het psychisch niet verwerken dat twintig jaar werk verloren is gegaan, vertelt Klein Tankink. De eerste dagen na de ramp was de publieke dienstverlening vrijwel geheel tot stilstand gekomen. Nu vier maanden later zijn bepaalde vitale onderdelen nog steeds 'kwijt'. Het gemis aan gegevens laat zich sterk voelen.

Brute force

"De gemeente dacht dat de zaken op orde waren"

De hack kon zo'n impact hebben door een opeenstapeling van fouten. De poort naar de gemeentelijke systemen stond wijd open. Juist op die uiterst belangrijke toegang was de twee-factorauthenticatie uitgezet. En dat terwijl de gemeente al drie jaar geleden dit slot had ingevoerd. Het wachtwoord (Welkom2020) was te zwak. Verder ontbrak het aan toezicht op wat er gebeurde rond de firewall. Met een reeks aan inlogpogingen wisten de hackers het wachtwoord te bemachtigen zonder dat deze ‘brute force’ werd opgemerkt. Ook was er in de gemeentelijke infrastructuur onvoldoende segmentering toegepast en het zicht op wat er binnen de systemen gebeurde minimaal. Ten slotte was de backup onvoldoende beveiligd, vat Klein Tankink het gemeentelijke foutenfestival samen.  

Schokkend detail is dat de gemeente dacht dat de zaken op orde waren, mede door geruststellende resultaten van een pentest door Sogeti en positieve audits. Volgens Klein Tankink is het voornaamste leerpunt dat je niet te veel op rapportages af moet gaan. De gemeente dacht op basis van de Ensia (Eenduidige Normatiek Single Information Audit) te kunnen concluderen dat de beveiliging goed was. De verklaring van de auditor, die aangaf dat het bestuur de situatie scherp op het netvlies had, bevestigde dit beeld. Maar het college en de raad wisten niet dat Ensia qua informatiebeveiliging alleen kijkt naar de aansluiting. Als stuurmiddel blijkt Ensia dan ook volkomen ongeschikt, zo luidt de conclusie nu.

Bewustzijn

Op papier leek alles behoorlijk goed te kloppen. De gemeente voldeed voor 92 procent aan de eisen van de Baseline informatiebeveiliging Overheid (BIO), het basis-normenkader voor informatiebeveiliging. De meeste vinkjes stonden goed. Maar naar later bleek, was de praktijk anders. De systeembeheerder veranderde uitgerekend het belangrijkste wachtwoord in het makkelijk te raden Welkom2020. ‘Zet daarom het kweken van meer bewustzijn als hoogste onderwerp op de agenda,’  adviseert Klein Tankink aan zijn collega's.  

Uit het verhaal van het hoofd concernstaf bleek dat de Informatie Beveiligingsdienst (IBD) van de VNG bij de ramp eind vorig jaar minder ondersteuning gaf dan was verwacht. De rol van de IBD beperkte zich tot het geven van adviezen op afstand. Een rit naar de geplaagde gemeente was achterwege gebleven. Van triage op lokatie was geen sprake.  

IBD-directeur Nausikaä Efstratiades erkent dat haar dienst bij dit soort incidenten meer kan doen. Het was inderdaad beter geweest als de IBD ter plekke samen met de getroffen gemeente de hulpvraag had vastgesteld en samen met een marktpartij nader onderzoek had gedaan. De IBD bekijkt momenteel hoe haar rol in dit soort gevallen kan worden uitgebreid.

Mede door onvoldoende steun kon het voorkomen dat de gemeente bij het incidentenmanagement het verkeerde particuliere onderzoeksbureau inschakelde. Op advies van de externe beheerder Switch IT Solutions werd een bureau in de arm genomen dat tot dezelfde groep van ICT-bedrijven behoorde en geen onderzoeksbevoegdheid had. Resultaat was een rapportage vol gebreken, zo bleek later uit een onderzoek van Brenno de Winter.  

Overigens bereidt de gemeente zich voor op juridische acties. Jos Marinus, afdelingsmanager bij de gemeente, bevestigt dat. Daarom wil de gemeente niet nader ingaan op de vraag waarin Switch als beheerder precies tekort is geschoten. 

Scope

Eveneens onduidelijk blijft waartoe de betrokkenheid van het adviesbureau M&I/Partners bij de aanbesteding van het beheer heeft geleid. Projectleider Urs Keller werkte alternatieven uit voor de invulling van de ict-beheersdiensten. Hij bepaalde ook de scope voor de uitbesteding. Anders gezegd: wie (gemeente of dienstverlener) verantwoordelijk is voor welke dienstverlening. In nauw overleg met de afdeling I&A maakte Keller een programma van eisen en wensen. De gemeente wil niet reageren op vragen van Computable over het al dan niet aanpassen dan wel uitbreiden van de infrastructuur na de aanbesteding. Ook over het change management en het al dan niet samen bespreken van de aanpassingen doet de gemeente er het zwijgen toe. Onduidelijk is wie daarbij leidend was; Switch of de gemeente. Ook Switch heeft nog niet gereageerd op vragen.  

In de loop van het jaar zal ook duidelijk worden of deze affaire voor Sogeti als pentester alleen tot reputatieschade leidt of dat er meer gevolgen komen. In mei 2020 had Sogeti een pentest bij de gemeente had gedaan zonder dat het haar was opgevallen dat de ftp-server wagenwijd open stond. Sogeti had überhaupt geen ernstige risico's waargenomen. Een forensisch onderzoek van onderzoeksbureau NFIR legde een groot aantal manco's bij deze penetratietest bloot waar het laatste woord nog niet over is gezegd.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Ik vind het heel vervelend voor het Hof van Twente dat hen is overkomen.
Maar het is een bewijs voor het feit dat "papieren controle" niet werkt.

Vergelijk het met een bedrijfstak waar veiligheid op een veel hoger plan licht dan de IT in zijn geheel, laten we deze keer de auto industrie nemen. De auto industrie is het toonvoorbeeld van LEAN (sterker, daar komt het zelfs vandaan). Een gestroomlijnd proces van fabricage (lopende band) waar inmiddels delen van assemblage/productieproces gerobotiseerd is. J
Natuurlijk kun je van de hypothese uitgaan, dat een commerciële organisatie als een autofabrikant alleen puur voor het geld gaat en zich aan veiligheid niets gelegen laat, maar op het moment dat er allemaal zware dodelijke ongelukken met auto's plaats hebben, verliest de autofabrikant bakken met geld en zou in het meest extreme geval kunnen leiden tot opheffing. Dus ook in het belang van het voorkomen van dode klanten en gigantische reputatieschade, is er een zeer pregnante reden om veilige auto's te maken. Dat doen ze niet door elk jaar de KEMA (of een vergelijkbaar instituut) langs te laten komen en eens lekker door alle paperassen te laten zoeken en wat steekproeven te nemen. Veiligheid is echt een integraal onderdeel van het ontwerpproces (dus voordat er uberhaupt een productiestraat ingericht wordt voor een nieuw model. Er worden fysieke allerlei proeven gehouden (botsproeven, die van die EURO 6 of misschien zelfs 7 al) etc.... Die worden zowel door de autofabrikant zelf gedaan, als door allerlei landelijke, europesche en wereldwijde instituten, anders wordt het voortuig niet eens toegelaten op de weg.
En dan zelfs nog zien we wel eens een autofabrikant een type auto van de band laten rollen, waar er na wat incidenten een enorme "recall-actie" wordt gestart (waar de autofabrikant echt niet op zit te wachten, als hij koud en zwaar voor het geld zou gaan, het kost hem bakken met geld en reputatieschade). Dus ondanks de enorme inspanningen om een functionele, veilige (en vermoedelijk nog een aantal aspecten) en prijsgunstige auto op de markt te brengen, is het best lastig.

Als je overheden zou vergelijken met de commerciële wereld, zou je eens moeten kijken welk concreet producten ze leveren, en dan op een iets hoger abstractievermogen dan de auto, want die is tastbaar. In essentie verleent de overheid rechten en plichten aan de deelnemers in de samenleving (inwoners en bedrijven). Daarvoor heeft ze (bij wet) de bevoegdheid om allerlei (persoons) gegevens over ons te verzamelen en te verwerken (dat is opslaan, wijzigen en verwijderen). Het product is dus zwaar virtueel, het is geen tastbaar product. Natuurlijk kun je je vergunning (de beschikking) of het paspoort nog als tastbaar zijn, maar veel is niet zichtbaar.

Ook bij overheden dien je als een "goed huisvader" met die (persoons)gegevens om te gaan. Dat uit zich in twee takken van sport:
- veiligheid, dat gaat over het door derden opslaan, wijzigen en verwijderen van gegevens (populair vertaald "wie mag niets doen")
- privacy, dat gaat over het bevoegden opslaan, wijzigen, lezen en verwijderen van gegevens (populair vertaad "wie mag wat doen")
Dit vereist allerlei maatregelen die zowel in de machinerie van de IT-hulpmiddelen waar al die (persoons)gegevens op worden verwerkt, op de processen die diensten en producten die overheden leveren, als op de medewerkers en ketenpartners van die overheden.

En daar gaat de vergelijking (met die auto) mank (en wellicht krijg ik nu van alles over mij heen): het aantal controls dat in een gemiddelde dienstenorgansatie gezet kan worden op de gehele afhandeling van producten en diensten binnen een overheid is vele malen groter dan de controls die gezet kan worden op de veiligheid van een auto. Zonder de auto af te doen als een weinig innovatief product, is er in principe weinig veranderd aan de constructie en het voortbrengingsmechanisme (behalve dat het dan nu electrisch gaat. Natuurlijk is er elektronica de auto ingeslopen (probeer tegenwoordig eens een lampje van je auto te vervangen), en de materiaalkeuze is anders. Mij stelling blijft hetzelfde: de vrijheidsgraden voor de ontwikkeling en inrichting van een dienstenproduct bij een (overheid)organisatie is van een heel andere orde dan de die van een tastbaar product als een auto.

Een tweede, wellicht veel belangrijker aspect, is dat die autofabrikant en iedereen die daar werkt, doordrongen is van het feit, dat een veilig product essentieel is om geld te verdienen (en voor de "gewone medewerker" zijn baan behoudt). En ja ik hoor vele van jullie denken "en die sjoemelsoftware". Klopt, "rattengedrag" heb je overal zowel in het bedrijfsleven als bij overheden. Hier aangekoppeld, kost het die onderneming bakken met geld en wellicht een faillissement. Daar zit het derde verschil: overheden kunnen niet failliet gaan. Je kunt wel hele hoge boetes geven, maar die worden verhaald of op de inwoners en bedrijven of worden gewoon niet betaald (en zelfs als dat gebeurd, is het zakvest-broekzak geld).

Met name de enorme hoeveelheid controls waar je aan zou moeten voldoen (en ik geef toe, sommige zijn zo banaal als ze maar kunnen zijn, en ook enorm eenvoudig te implementeren) moet je zowel door de eigen medewerkers als een externe on-site laten controleren. Een control uit zich zeker in de IT als een wijziging in een IT-component (server/VM, netwerkcomponent, etc....). Die wijziging moet je doorvoeren om "veiliger" te zijn. De tweede stap is een concrete tastbare actie starten om de zojuist gewijzigde control te testen. Sterker nog, voordat je de wijziging gaat uitvoeren, moet je drie zaken opschrijven:
- de wijziging zelf (wat ga je precies doen, op commandoniveau, liefst gescript!)
- het relaas van acties (vaak ook een verzameling commando's, liefst gescript!)
- de verwachtte uitkomst van het relaas van acties (die vergelijk je dan met de uitkomst)
De twee laatste stappen zijn nu die beroemde "acceptatiecriteria en acceptatiemethode". Beide zie ik vaak in IT-trajecten niet plaats hebben, want geen tijd, geen zin en zelfs hoorde ik het woord "saai". Misschien ben ik van de oude stempel, maar als je iets nieuws ontwerpt, bouwt en dan "vol trotst" in gebruik gaat nemen dan denk je toch niet stiekem "op hoop van zegen"?

Atilla, ik vind je reactie nogal lang. Ik kan ook lange reacties schrijven, dus daar zou ik niet over moeten zeuren, maar het leest lastig weg en dat is relevant.

Want lang betekent dat mensen het niet lezen en als mensen het niet lezen, gaan ze het zeker niet opvolgen.

En in de kern is het allemaal niet zo moeilijk. Je hebt gewoon iemand nodig die goed is in IT en die het domein gemeenten snapt. En uiteraard mandaat krijgt om zijn werk goed te kunnen doen.

Zo iemand:
- Had de pentest op waarde kunnen schatten en de niet of onderbelichtte kanten kunnen onderkennen
- Had al het risico op ransomware erkent en een plannetje gemaakt om de risico's te beperken
- Wist wie hij moest bellen als de stront de ventilator raakt
- Doorgehad dat de gemeenten teveel vrijheid had ten opzichte van de gemaakte afspraken met de dienstverlener
- Explicieter de gevaren kenbaar gemaakt bij de belanghebbende

Fouten kun je niet altijd voorkomen, hacks en ellende ook niet, maar genoeg zelfkennis opbouwen dat je gevaar loopt, noem het risk-appetite, dat zou wel aanwezig moeten zijn.

Niettemin heeft Hof van Twente een spoedcursus doorlopen. Kost wat, maar hopelijk kan dit hoge leergeld ook voorkomen dat andere gemeentes het zelfde lot ondergaan. Zij zijn toevallig het slachtoffer, maar mijn onderbuik zegt dat ze zeker niet de enige gemeente is die gevaar loopt.

Wat Hof van Twente heeft gedaan -openheid van zaken- vind ik erg inspirerend en leerzaam.Laten we vooral dankbaar zijn. En ervan leren. Ik heb er ook van geleerd.







Het is heel jammer dat partijen niet samen willen bekijken wat er allemaal is misgegaan, waardoor slechts één enkele hack tot zo'n bedrijfsramp heeft kunnen leiden. "Uit een enquête onder de deelnemers aan dit webinar blijkt dat 87 procent denkt dat een hack zoals die bij het Hof van Twente plaatsvond, ook in hun gemeente had kunnen voorvallen." Dit is eerder een onderschatting van een overschatting. Ik ga er vanuit dat er bij de partijen veel expertise aanwezig is en betrokken personen het goed willen doen, maar dat is vaak niet genoeg om een aantal redenen.

Ik roep daarom de gemeente Hof van Twente, Switch IT Solutions, Informatie Beveiligingsdienst VNG, Sogeti Nederland en andere mogelijke betrokken partijen op om deze casus gezamenlijk te bestuderen, om er van te leren wat anders had gemoeten en wat ook beter had gekund, beter afgestemd had gemoeten. Daar kan iedereen beter en sterker van worden.
Daarna kunnen de partijen via mediation hun onderlinge zaken netjes afhandelen. Rechtzaken kosten veel tijd en geld en vergen ook veel aandacht en emotie. Maar rechtszaken geven zelden de mogelijkheid om te leren wat er te leren valt, simpelweg omdat de focus daar niet op gericht is. Daarom is ook een doofpotafdoening verre van optimaal.

@Atilla Vigh, de hoeveelheid controls die gezet kan worden op de veiligheid van een auto is ontzettend groot, maar die is A. grotendeels geautomatiseerd en B. verdeeld over de vele toeleveranciers. Voor één schroefje zijn al gauw drie partijen bezig geweest met controle van materiaal, de fabricage en de inbouw. Je vergelijking is dus niet zo scheef. In diverse industrieën is het normaal om van elkaars fouten te leren. Soms zoals, in de luchtvaart, het railverkeer, de scheepvaart, de mijnbouw en de chemische industrie, zorgen de autoriteiten daarvoor als het om een ramp gaat.

De reacties moet ik nog lezen maar vroeg me af: is er betaald? Nee, als ik het lees ging het om 750.000 euro losgeld. Snap niet dat ze niet aan het onderhandelen zijn gegaan als ik zie wat nu de schade is.

Louis. Er is niet betaald. En als je betaalt weet je nog steeds niet of je geleverd krijgt. In dit geval van Hof van Twente hadden de criminelen ook daadwerkelijk virtuele servers vernietigd. Deze krijg je niet terug, ook niet als je betaald.

En wie garandeert je dat ze niet alsnog data doorverkopen? En dat je alle data terug krijgt? En dat je netwerk vrij van nog meer malware is?

Schade heb je sowieso omdat alles opnieuw opgebouwd moet worden.

Maar Louis... Wat als je wel betaald? Dan wordt het een businessmodel en financieer je in feite de volgende aanval en maak je het speelveld voor iedereen gevaarlijker.

Het.is.niet.simpel.

Als nabrander: In sommige gevallen is het zelfs verboden om te betalen als de ontvanger op een terroristenlijst staat. je financiert dat namelijk terroristen.

Grappig heh? dat er nog zo'n hele wereld aan overwegingen achter zit!

In praktisch alle gevallen is voorkomen veel en veel goedkoper dan genezen. Maar veel bedrijven zullen deze les helaas te laat leren.

Attilas reactie is te lang en onderhandelen is verboden.. Tuurlijk.
Ramptoeristen komen alleen kijken, maar anderen komen adiviseren tegen betaling.
"Je hebt gewoon iemand nodig die goed is in IT en die het domein gemeenten snapt. En uiteraard mandaat krijgt om zijn werk goed te kunnen doen."
Ik denk dat je ze rampconsultants kunt noemen ;-)

@Henri Ik moest denken aan de Universiteit van Maastricht. Die hadden hetzelfde probleem en zij hebben betaald. Begrijpelijk, het ging om onvervangbare data. Of dat nu mailboxen zijn, documenten, werk van studenten. Je kan van alles verzinnen. Onvervangbaar, onbetaalbaar. Dat die onderhandeld hebben en afgetikt vind ik begrijpelijk.

Nu lees ik hetzelfde, veel schade. Heb te doen met medewerkers van de gemeente die vele jaren werk kwijt zijn. Ik lees dat vitale onderdelen kwijt zijn en het gemis zich laat voelen. Er wordt al gesproken over 3 a 4 miljoen schade. Deze koppigheid moet betaald worden door de burgers van de gemeente Hof van Twente. Ze betalen dubbel, voor onkunde en koppigheid.

Ja, je moet vertrouwen op de boeven. Leveren ze niet dan is het ook met hun verdienmodel gedaan. Als ze virtuele servers vernietigen en schade aanrichten aan de data dan doen ze iets niet goed. Dan wordt het geen 750.000 euro (in bitcoins zeker?). Alles wat je kan terughalen is meegenomen, zeker als ik nu lees over de schade. Ja, er is risico op malware, ja er is risico op doorverkopen data. Als je niet betaalt maak je daar zeker kans op. Ik denk, je moet pragmatisch zijn en de schade beperken om de continuiteit te waarborgen. Dan nog zul je een en ander van de grond af weer moeten opbouwen.

En verder? Als ik het lees dan klinkt het alsof er een honeypot is ingericht. Dat moet beter kunnen. Er zijn genoeg slimme bedrijven (a la Fox) die de systemen kunnen doorlichten, dat lijkt me handig. Beter dan de energie steken in de schuldvraag en rechtszaken.

Louis, ik gaan heel lang verhaal meer afsteken, maar details doen er toe.

Als je enige tijd in de zaak wilt steken, begin dan hier: https://www.hofvantwente.nl/actueel/nieuws-en-persberichten/nieuwsbericht/archief/2021/03/artikel/hof-van-twente-cyber-hack-stevige-les-voor-ons-1872 en kijk ook naar de persconferentie.

Het argument "Als ze niet leveren schaden ze hun eigen businessmodel", dat lijkt soms wel de consensus, maar ik twijfel sterk aan die redenatie. Ik zie daar *geen* enkele onderbouwing van. Wat ik wel zie is dat de criminelen professioneler worden. Goede helpdesk, goede onderhandelaars, overtuigende zakenpartners.

Het is achteraf ook makkelijk oordelen, maar we maken ons allemaal schuldig aan onveilig gedrag. We hebben dat ook niet meegekregen in de opvoeding en leren het ook niet op school. Daar pleit ik er ook voor dat iedere organisatie van enige omvang een professional heeft die IT savvy genoeg is, maar ook voldoende domeinkennis bezit.

Iemand die door cijfers en statistieken kijkt. Is een papierenafspraak wel een afspiegeling van de praktijk?

Kijk bijvoorbeeld eens naar de coronastatistieken. Google lepelt ze prachtig voor je op zodat het lijkt alsof je naar vergelijkbare getallen kijkt. Maar aantal besmettingen en doden is *totaal* anders opgebouwd per land. Dus als je conclusies trekt, maar de onderliggende totstandkoming niet kent maak je geheid verkeerde beslissingen.

Wees in ieder geval voorzichtig met je oordeel. Het land zit vol met mensen met een mening en een oordeel. En dat lost niets op. Een organisatie veilig houden is een vak. En het is drie slagen moeilijker als je wel de verantwoordelijkheid krijgt, maar niet het mandaat...

@Louis Kossen, je schrijft: "Ja, je moet vertrouwen op de boeven. Leveren ze niet dan is het ook met hun verdienmodel gedaan " Zijn de betrokken boeven met zekerheid te identificeren en geregistreerd bij de KvK (niet dat dit wat zegt) en hebben zij de versleuteling keys en eventueel gestolen data in repository bij een betrouwbare notaris achtergelaten? Nee, dus het blijft gokken. Je moet ook goed weten wat het je kan kosten in worst case scenario’s.

En het vervelende is dat in dit geval de overheid aan boeven zou betalen (dat was na de beruchte bonnetjes-affaire niet meer de bedoeling). En het kunnen ook nog eens boeven zijn die voor een ontvanger op een terroristenlijst werken, zoals Henry schreef, wat verboden is. Het inboeken van betalingen aan criminelen is sowieso ook een dingetje. Krijg je bonnetjes voor deze uitgaven, enz?

Ik schreef zo'n 7 jaar geleden een opinie op basis van rapporten die tot de conclusie kwamen dat alleen beheersbaarheid rest als beheergebieden opgeknipt en over meerdere organisaties verspreid worden. Batavus Droogstoppel gaat even voorbij aan alle beleidsnotities die waarnemend griffier ook heeft, de correcte naam is Richard Klein Tank en hij is ook vertrouwenspersoon wat mogelijk de opmerking over psychische problemen verklaard over 20 jaar werk verloren laten gaan.

@Henri Ik heb het stuk gelezen en de video gezien. Ben uitgesproken over het eventueel betalen van de boeven in ruil voor de data maar beweer zeker niet dat je het zomaar even beter doet. In mijn geval: zeker niet. Terwijl ik eigenlijk in mijn werk heel veel mensen ben tegengekomen die er heel veel verstand van hebben. Ik denk zelf: computers zijn niet eenvoudig.

Het verhaal van de meneer van het NFIR was duidelijk. Een goede uitleg waarin de suggesties zaten verpakt. Waar ik me over verbaas is dat er zoveel servers zijn weggemikt. Als je wat wil verdienen aan gijzelen is weggooien niet handig. Vraag had wmb geweest, had het de moeite waard geweest als het gegijzelde gedeelte was teruggehaald? En is duidelijk wat dat gescheeld had?

@Jaap Ik denk er nog steeds zo over, is het waard zaken te doen als het je heel veel ellende kan besparen? Ja. Een dilemma waar de burgemeester in de video het ook had. Ze had het over vele adviezen, een eenzame beslissing. Daar komt misschien bij kijken, met wie heb je te maken? Nee, met een bonnetje zullen ze niet werken en het is een gok. Ben ook wel benieuwd wat de gedachten zijn over Maastricht. Ik vond het betalen heel logisch.

Tot slot deze, die waar is en irriteert: 'Wees in ieder geval voorzichtig met je oordeel. Het land zit vol met mensen met een mening en een oordeel.' Een waarheid, kijk rond, op het internet, de sociale media, hier op deze site. Iedereen weet het. Dat de computer moeilijk is ja maar dat er geen goed technisch werk geleverd is bij deze gemeente is ook waar. Mijn oordeel ging over, betaal of betaal je niet. Je hebt gelijk, eerst de video en de gegevens, dan pas oordelen. Overigens, de eerste waar ik aan twijfel ben ik zelf.

@Louis Kossen, je kan de zaak ook strategisch bekijken. Het rijk kan bepalen dat overheden en overheidsdiensten niet mogen betalen en dat de centrale overheid bij problemen zo nodig voor ondersteuning zorgt, ook op financieel gebied. Dat werkt als een cyberverzekering. Professionele cybercriminelen zullen Nederlandse overheden en overheidsinstellingen dan links laten liggen op het gebied van ransomware. Op dit moment helpt de rijksoverheid nog volstrekt onvoldoende.
Bedrijven kunnen een cyberverzekering afsluiten. De verzekering zal eisen stellen en mag controleren of een bedrijf voldoende maatregels neemt. Verzekeraars mogen zelfs indirect meewerken aan ransomware-betalingen.

Natuurlijk moet de beveiliging goed geregeld worden op basis van best practices. Cyberspionage zal (financieel) interessant blijven. Verder zullen er ook altijd cyberactivisten en amateur hackers zijn die een statement willen achterlaten.

De vraag over wel of niet betalen ging op een gegeven moment over datarecoverybedrijf Ontrack, de gemeente maakte volgens persbericht een afweging van de kosten op basis van het belang van de data en de mogelijkheid om de gegevens op een andere manier te verwerven. Helaas heeft de burger die mogelijkheden niet want een uittreksel BRP kost bij Hof van Twente €7,50 en bij buurgemeente Almelo €20,35 terwijl het om dezelfde dienst en data gaat. Een oud rapport heeft het daarom over transparantie en accountability van de iOverheid omdat anders de burger het vertrouwen hierin verliest.

Twentse drama van te goed van vertrouwen kent landelijk het politieke spel van de functie elders want er is bij gemeenten ook zoiets als de raad die als tegenmacht (dualisme) van het college een rol heeft. Batavus Droogstoppel heeft veel geleerd over de techniek maar is niks wijzer geworden van de processen want de contouren in het bestuurlijke landschap zijn de olifantenpaadjes waar ik dus 7 jaar geleden over schreef. Wij van WC-eend zijn wat anders gaan doen maar hebben geen last van geheugenverlies als het om de valkuilen gaat. We herinneren (naar eer & geweten) ons alleen niet de details omdat er boeteclausules zijn.

Als we kijken naar vragen die redactie stelt over de rol van een adviseur zoals M&I partners in het change management dan geraken we tot de essentie van wij van WC-eend adviseren uitbesteding en we adviseren graag in de uitvoer. Ik heb geen actieve herinneringen meer aan integriteitscommissies maar de psychische druk bij sommigen ambtenaren kan ik me goed voorstellen. 3 FTE's moesten de schapen met 5 poten zijn als we kijken naar alle petten die ze op hadden. De griffier die meer dan één rol heeft zegt mij genoeg maar ik lees nog weleens tussen de regels door.

@Jaap Dat is geen gek idee die cyberverzekering maar de voorwaarde die je noemt lijkt me het allerbelangrijkst en dat is de beveiliging goed op orde is. Dat lijkt me een voorwaarde en zul je dat serieus moeten aanpakken. Ik noemde al de naam Fox IT maar er moeten meer bedrijven bestaan die verstand van zaken hebben en de security kunnen doorlichten.

Wat blijft: betaal je of betaal je niet? Ben benieuwd wat de gedachten zijn over de universiteit van Maastricht. Die hebben betaald.

Zelf adviseer ik ook altijd terughoudendheid met betalen, tenzij de betaling aan mij gericht is.
Wie de boeven zijn wordt zowiezo steeds lastiger te bepalen. Naast halve waarheden en fake news kennen we nu ook informatie doctrines en "verkeerd herinneren" :-P

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-04-06T12:10:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.