Hoe de komst van de koning naar Natte Meren in de soep liep

Koning Willem-Alexander bezoekt een Zeeuwse gemeente. Dat blijkt aanleiding voor Russische hackers om de havensystemen plat te leggen. Aan Zeeuwse bestuurders de taak om pijnlijke krantenkoppen te voorkomen.

Zeeland werkt samen

Tout bestuurlijk Zeeland komt opdraven in het Provinciehuis in Middelburg voor de opening van de Zeeuwse maand van de weerbare overheid, van 14 september tot 13 oktober 2023.  Alle dertien Zeeuwse gemeenten, Waterschap Scheldestromen en de provincie hebben vorig jaar de ‘Zeeuwse norm weerbare overheid’ ondertekend, met als doel om de dijken overal even hoog te maken. Of het nu is om te voorkomen dat criminelen gaan shoppen onder vergunningverleners, of om de kwetsbare plekken in de online dienstverlening op te sporen, Zeeland werkt samen.

Alles staat of valt met vertrouwen

Commissaris van de koning Han Polman is trots dat het zijn provincie lukt om weerbaarheid op de kaart te zetten. Alles staat of valt met vertrouwen, houdt hij zijn gehoor voor. Burgemeester Marga Vermue van Sluis merkt op dat de overheid nog achterloopt in digitale weerbaarheid, en dat het vertrouwen in de overheid in mum van tijd kan verdwijnen als iemand misbruik maakt van die lacune.

Ondermijning van het koningsbezoek

Hoe misbruik in zijn werk gaat, laat Brenno de Winter zien, de chief information ­security officer (CISO) bij het ministerie van Volksgezondheid, Welzijn en Sport. De Winter toont een video die hij van ‘bronnen bij de geheime diensten’ heeft bemachtigd. In deze video overleggen vier ‘Russische hackers’, waarvan er eentje verdacht veel lijkt op De Winter zelf, hoe ze de komst van koning Willem-Alexander naar de gemeente Natte Meren kunnen ondermijnen. Ze overwegen de inzet van malware om de verouderde systemen van de gemeente plat te leggen. Eén geopend pdf’je is genoeg om een ramp in gang te zetten.

De Winter pauzeert de video en vraagt zijn gehoor hoe vergezocht het scenario is. Komt Windows XP nog voor bij de Nederlandse overheid? Het blijft even stil in de zaal. Dan merkt iemand op dat de systemen voor klimaatbeheersing vaak draaien op verouderde systemen. ‘Ik heb meer dan 2000 datalekken onderzocht, en ik stuit eigenlijk altijd op hetzelfde,’ reageert De Winter. ‘Verouderde software, niet-geschei­den netwerken en er wordt niet overal meerfactorauthenticatie toegepast.’

Aanval op leverancier 

De hackers in de video beramen een tweede plan: in plaats van een rechtstreekse aanval op de gemeente, kiezen ze voor de softwareleverancier van Natte Meren, die niets heeft gedaan met een melding van een kwetsbaarheid. Na zestig dagen mogen ethische hackers hierover publiceren – wat ze dus ook doen. Kassa voor de Russen: de coordinated vulnerability disclosure keert zich tegen de leverancier. ‘Zijn er geen normenkaders?’ vraagt een van de Russen, waarop de rest in lachen uitbarst. ‘Als er nieuwe cyberwetgeving in aantocht is, vraagt de gemiddelde bestuurder om extra tijd. Alsof hackers extra tijd geven.’

Geen enkel signaal

Deprimerend nieuws voor bestuurders. Om het nog erger te maken, vertelt De Winter dat de burgemeester van Hof van Twente voorafgaand aan de hack op zijn gemeente op geen enkel moment een signaal kreeg dat er iets niet in orde was. ‘Er was betaald voor een pentest, al was er niet werkelijk getest,’ aldus De Winter. ‘Sommige hackers doen aan “magie”; ze zeggen wel dat ze kijken, maar ze liegen. Hoe had die bestuurder dan moeten weten dat er iets niet goed ging?’ Zijn boodschap aan CISO’s is dat ze tijdig aan de bel moeten trekken. Andersom moeten bestuurders vervolgens wel iets doen met waarschuwingen, of die nu van CISO’s komen of van ethische hackers.

Koper software aansprakelijk

Maar hoe weet je of er deugdelijk wordt getest bij een audit? De Winter: ‘Net als bij een apk-keuring wil je een lijstje ontvangen van de testen die zijn gedaan en het ­resultaat per test. Europese regelgeving is onderweg, maar tot die tijd is het een kwestie van veel vragen stellen. Waar kijk ik naar? Wat mag ik hier voor rechten aan ontlenen? Als koper bent u aansprakelijk.’

De boodschap komt hard aan bij Erik van Merrienboer, burgemeester van Terneuzen en voorzitter van de Veiligheidsregio. ‘Als je een speelterrein inricht, gelden er strenge normen, tot aan het speelzand aan toe. In allerlei branches is de normering volstrekt geregeld. Dat dit bij software niet het geval is, vind ik shocking.’

Personeel omkopen of afpersen

In de video hebben de hackers een nieuw plan opgetuigd. Geen betere installatie
van malware dan door het personeel zelf. Benader de systeembeheerder die een ­promotie is misgelopen, raden de hackers elkaar aan, of koop de oude laptop van de systeembeheerder die boos is vertrokken. Leg een lijstje aan van medewerkers met ­financiële problemen, of met warme ­gevoelens voor Poetin.

Cyberveiligheid is geen magie

‘We oefenen allemaal, maar het blijft ongrijpbaar wat de consequentie van een cyberaanval kan zijn’, zegt iemand in de zaal. ‘Ik word er zenuwachtig van.’ Dat is precies van De Winter wil. ‘Ik hoop dat jullie één nacht ongemakkelijk slapen en morgen staan voor je verantwoordelijkheid. Maar maak cyberveiligheid ook niet ingewikkelder dan het is. De vraag “wat doet deze software” kun je prima stellen in je eigen gemeente. Het is geen magie.’

Reële fysieke gevolgen

Uiteindelijk slagen de hackers in hun opzet. De haven van Natte Meren ligt plat en de douane moet alle containers met de hand doorzoeken. Door deze chaotische toestand ziet de koning liever af van het langverwachte bezoek.

Het doel van de exercitie is vooral om ­duidelijk te maken hoe een ‘ongrijpbaar’ fenomeen als cyberveiligheid tot reële fysieke gevolgen leidt. Russische inmenging is niet denkbeeldig en zelden subtiel, benadrukt De Winter. ‘Wat ik van deze dag meeneem, is dat je echt moed moet hebben om door te vragen’, zegt Frederiek Schouwenaar, burgemeester van Veere, na afloop. ‘Als we dingen spannend vinden, richten we een proces in en dan denken we dat we het hebben geregeld. Maar je moet denken in scenario’s. Wat als het misgaat, welke stappen hadden we moeten nemen om dat te voorkomen? Daar heb ik nu wel stress van. Dat ga ik nog wel navragen bij onze CISO: doen wij er echt alles aan?’

Lees de hele reportage deze week in BB19 (inlog)