BINNENLANDS BESTUUR - WEEK 15 | 2021 34 ACHTERGROND ACHTERGROND ‘ Organisaties werken vanuit de Jericho-gedachte: buiten is onveilig, binnen is veilig’ catie aanwezig is. Dat voorkomt dat aanvallers simpelweg kunnen blijven raden. Zo kwam de vijand binnen. ‘NFIR heeft door middel van forensisch onderzoek vastgesteld dat de aanvallers initieel toegang hebben gekregen tot het netwerk van de gemeente op 9 november 2020’, schrijft het bedrijf. Vervolgens probeerden de aanvallers stapje voor stapje de omgeving te verkennen. ‘Bij de hack van Lochem duurde dat maandenlang’, zegt De Winter. ‘Bij Hof van Twente was het een kwestie van weken. Als je in kleine stapjes doet, langzaam de aanval uitvoert en de rechten oprekt, dan is de kans kleiner dat je wordt gedetecteerd.’ Het account dat de hackers overnamen had bovendien de gebruikersrechten van een systeembeheerder. Hierdoor konden de hackers onmiddellijk het volledige beheer van het netwerk overnemen. Een betere organisatie van de rechtenstructuur had dit kunnen voorkomen. GROTE PIJN Het netwerk was niet opgedeeld in segmenten, dus de hackers konden van de ene server naar de andere. NFIR schrijft: ‘Deze situatie had voorkomen kunnen worden door de servers op netwerkniveau van elkaar te scheiden (microsegmentatie) en enkel onderlinge communicatie toe te staan waar noodzakelijk.’ De hackers konden ook bij de servers waar backups op stonden en die verwijderen. De Winter: ‘Daar zit de grote pijn. Een overheid moet eigenlijk zeer regelmatig offline op een aparte locatie een backup maken. Als je dat fatsoenlijk doet, ben je nooit meer dan een dag kwijt.’ Het ging snel op 30 november. Vanaf tien Gemeentehuis Hof van Twente uur ‘s avonds uur worden verschillende systemen versleuteld en virtuele servers verwijderd. Kort na middernacht hebben de hackers hun doel bereikt. Op de lokale printers wordt een losgeldbrief uitgeprint. Vervolgens verwijderen ze de printerservers. Burgemeester Ellen Nauta besluit niet te betalen – dat is het gangbare beleid. Bovendien wil ze dit criminele verdienmodel niet in stand houden. ‘Het is heel bewonderenswaardig hoe Nauta is gegroeid door deze crisis’, vertelt De Winter. ‘Ze is het echt gaan begrijpen.’ Maar hoe kon deze situatie het college zo verrassen? Waren er geen signalen dat de beveiliging niet goed op orde was, dat er iemand aan het rondneuzen was in de systemen? Die waren er wel, maar die bereikten het college niet. Dat is volgens De AANBEVELINGEN VAN DE INFORMATIEBEVEILIGINGSDIENST (IBD) NAAR AANLEIDING VAN HOF VAN TWENTE 1. Dwing op de kortst mogelijke termijn meerfactor-authenticatie af op beheeraccounts (intern- en extern), e-mail, kantoorautomatisering en cloudapplicaties. 2. Breng de basis op orde (meer informatie op de website van de IBD). 3. Maak een overzicht van uw cruciale processen en prioriteer deze. 4. Actualiseer het bedrijfscontinuïteitsplan, het back-up- en restorebeleid en het incidentmanagementproces voor een grootschalige en langdurige uitval van cruciale processen. 5. Oefen regelmatig een informatiebeveiligingsincident. 6. Maak gebruik van de 3-2-1 methode bij back-ups: drie verschillende kopieën, twee verschillende media en één kopie offline / offsite. Test ook regelmatig de mogelijkheid van het herstellen van een kopie. Winter misschien wel het grootste leerpunt: ‘Als de bestuurder niet de juiste informatie krijgt, dan komt er geen verbetering.’ De ENSIAbeveiligingsaudits voldoen niet als stuurinformatie. ‘Als ik die stukken los zou krijgen en niet beter zou weten dan zou ik ook vinden dat het er best goed uitziet. Met kennis van de omgeving weet je dat het niet matcht, maar een bestuurder heeft dat niet door.’ De bevinding van tekortschietende stuurinformatie wijst volgens De Winter op een breder probleem. ‘Het is een alarmerend signaal dat iedere bestuurder op dit moment een dijk van een probleem heeft: je denkt het juiste te doen, maar krijgt geen reflectie op wat echt belangrijk blijkt.’ Want: ‘Je ziet aan de informatie of een systeem wel of niet functioneert, maar dat is voor de detectie van een aanval echt onvoldoende. Daar is aanvullende monitoring voor nodig. GGIVeilig biedt dit, maar daar zijn maar weinig gemeenten op aangesloten. Wat veel overheden niet begrijpen is dat hun tegenstanders serieuze actoren zijn zoals staten. Je moet niet beveiligen als Hof van Twente, maar als Defensie.’ PENTEST Een verdere tekortkoming van de informatie was een penetratietest die niets opleverde. In een penetratietest, kortweg pentest, proberen beveiligings
35 Online Touch Home