Buren had aanval sneller kunnen stoppen

Zo’n twaalf systemen waren versleuteld, criminelen hadden ransomware geïnstalleerd, met software werden bestanden gegijzeld en de gemeente werd afgeperst. Welke lessen vallen er te leren uit de hack van Buren?

Zorgwekkend

Met detectiemaatregelen en meerfactorauthenticatie had de gemeente de aanvallers waarschijnlijk snel kunnen stoppen, stelt de Informatiebeveiligingsdienst (IBD). ‘Hiermee hadden de datadiefstel en de versleuteling van data hoogstwaarschijnlijk voorkomen kunnen worden.’ De lessen van de IBD komen onder meer voort uit de conclusies van het onderzoek dat Buren eerder deelde.

Detectiemaatregelen (zoals monitoring) en meerfactorauthenticatie horen bij de basismaatregelen. Gemeenten moeten daarin hun achterstand wegwerken en het is zorgwekkend dat dat langzamer gaat dan de professionalisering van criminelen, waarschuwde de IBD eerder deze week in het Dreigingsbeeld informatiebeveiliging. Het zou kunnen leiden tot een ‘neerwaartse spiraal’.

De incidentrespons trok een zware wissel op de eigen medewerkers

Een andere belangrijke conclusie uit het Dreigingsbeeld is de immer toenemende ketenkwetsbaarheid. Bij de hack van Buren maakten de hackers gebruik van de inloggegevens van de leverancier. Een van de te leren lessen is daar om volgens de IBD dat gemeenten niet alleen afspraken maken met leveranciers over de beveiliging, maar die afspraken ook controleren. 'De gemeente kan nog zo veilig zijn, maar de keten is zo sterk als de zwakste schakel.'

Eigen medewerkers

De gemeente had offline back-ups, dus kon ze gelijk beginnen met het herstel. Inwoners en ondernemers ondervonden hierdoor weinig hinder van de aanval, maar de gevolgen voor de eigen bedrijfsvoering waren groot: wekenlang kon men bijvoorbeeld weinig of geen e-mail en samenwerkingstools gebruiken. ‘De incidentrespons trok een zware wissel op de eigen medewerkers omdat ze naast het reguliere werk nu ook betrokken waren om de gevolgen van de hack voor de inwoners zo beperkt als mogelijk te houden.’
 

Men heeft in elk geval een zekere basiskennis nodig van zoeken op het darkweb

Had de gemeente geen werkend back-upsysteem gehad dan was dat een argument geweest voor het betalen van losgeld: anders verliest men de data. Buren had dat wel. Alsnog had het losgeld betaald kunnen worden om doorverkoop te voorkomen. Tegenargumenten zijn het gebrek aan garanties, het uitlokken van nieuwe aanvallen op de Nederlandse overheid en de financiering van het criminele verdienmodel. ‘De gemeente heeft geen losgeld betaald.’

Operationele details

De bestuurlijke grip is een belangrijk vraagstuk. Er was recent een penetratietest uitgevoerd en de jaarlijkse ENSIA-rapportage was niet zorgwekkend. Detectie en meerfactorauthenticatie hadden dus een hoop ellende kunnen voorkomen, maar ‘bestuurlijk en politiek gezien zijn dit operationele details voor de bedrijfsvoering’, schrijft de IBD. ‘Het is de vraag hoe politici en bestuurders hier grip op kunnen hebben en houden.’

‘Zoals bij alle grote incidenten is (crisis)communicatie een belangrijke component van de incidentrespons.’ Er is bij een informatiebeveiligingsincident geen zichtbare component, zoals bij een fysiek incident, en het is een technisch en complex onderwerp. Veel en transparant communiceren is daarom belangrijk, niet alleen richting de inwoners, maar ook richting ondernemers, medewerkers, ketenpartners en de gemeenteraad. ‘Door snel, veel en transparant te communiceren straalde de gemeente Buren daadkracht en betrokkenheid uit.’

Kennis van het darkweb

Een dergelijk incident kan leiden tot verschillende vormen van misbruik, maar de IBD schat de kans op feitelijk misbruik laag in. Gemeenten bezitten weinig gegevens met ‘directe’ waarde, zoals creditcardgegevens, gebruikersnamen en wachtwoorden. De dataset is bovendien relatief moeilijk te vinden, er is kennis nodig van de Nederlandse taal en het openbaar bestuur en er is een zekere kennis nodig van het darkweb. ‘Voor de actoren die dat hebben, zijn daar heel wat aantrekkelijkere en meer gestructureerde datasets te vinden.’