De gemeente Buren werd op 1 april 2022 getroffen door een cyberaanval. “We waren er snel bij en hadden goede back-ups”, vertelt gemeentesecretaris Michiel van Dalen. “Daardoor leek de schade mee te vallen. Uiteindelijk was het veel erger dan we hadden gedacht.”
Het is vrijdagavond 1 april en een ICT-medewerker van de gemeente Buren heeft piketdienst. Hij ziet dat een aantal dingen op de server niet meer werken. “Hij kwam er al snel achter dat een aantal servers versleuteld waren”, vertelt Michiel. “En hij zag dat iemand ook de andere servers een-voor-een aan het versleutelen was. Hij heeft meteen het hele systeem offline gehaald. Zo heeft hij erger weten te voorkomen.”
DeCrisismanager interviewt Gemeente Buren over de cyberaanval
Jeetje, dat was wel even schrikken. Wat hebben jullie vervolgens gedaan?
“We zijn meteen met een groot team aan de slag gegaan. In dat eerste weekend keken we vooral met een ICT-bril naar het probleem. Alles was erop gericht om de systemen weer draaiende te krijgen. We hebben de hulp ingeschakeld van Hunt & Hackett en van de informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeentes (VNG). Zij hebben hun kennis en lessons learned met ons gedeeld.We hadden een goede back-up. Daardoor waren we slechts één dag aan data kwijt. Het team van ICT-ers heeft het hele weekend doorgewerkt. Zo lukte het om de systemen weer operationeel te krijgen, waardoor de inwoners geen last hebben gehad van de uitval en de medewerkers maandag weer gewoon aan de slag konden.”
Eind goed al goed, zou je denken. Wanneer kwam je erachter dat het probleem groter was dan je dacht?
“Dat besef kwam na dat eerste weekend al. We hebben gesproken met de specialisten van Hunt & Hackett en van de informatiebeveiligingsdienst van de VNG. Zij wezen ons erop dat de cybercriminelen de data waarschijnlijk gekopieerd hadden en dat ze deze openbaar konden maken. We hebben bij de overheid het uitgangspunt dat we geen losgeld betalen aan criminelen. De specialisten adviseerden ons om forensisch onderzoek te laten doen om te zien of er daadwerkelijk extractie had plaatsgevonden. En we moesten ons afvragen wat het zou betekenen als de criminelen de data daadwerkelijk openbaar zouden maken. Toen bleek dat er daadwerkelijk data gekopieerd was, hebben we direct het besluit genomen om te gaan monitoren of onze data ergens terecht zou komen. En als de data ergens terecht zou komen, moesten we direct opschalen naar een crisisteam op operationeel en op bestuurlijk niveau. Dat was voor mij wel een eyeopener. Toen realiseerde ik me dat de crisis veel groter was dan ik in de eerste instantie had gedacht.”
Welke afweging hebben jullie gemaakt rondom het betalen van losgeld?
“Op vrijdag 1 april zagen we het bericht dat de criminelen losgeld wilden hebben. Daarop heeft ons bestuur direct aangegeven dat we niet zouden betalen. Vanwege de goede back-up stond de continuïteit van de gemeente niet onder druk en waren we niet afhankelijk. Vervolgens kwam een gedeelte van de data op het darkweb. Daar stond wederom de melding bij dat we moesten betalen om ervoor te zorgen dat niet alle data op het darkweb zou komen. Ook toen hebben we – na het afwegen van de risico’s – niet betaald.”
Wat hebben jullie na dat eerste weekend gedaan om voorbereid te zijn op deze crisis?
“We kwamen tot de conclusie dat we meer expertise nodig hadden om dit aan te kunnen. Daarom hebben we Hoffmann ingeschakeld voor het inrichten van het crisismanagement. Zij adviseerden ons om Parcival te vragen voor de crisiscommunicatie. Voor mij als gemeentesecretaris was het belangrijk om een externe voorzitter te hebben in het crisisteam. Hierdoor was het voor mij mogelijk om het overzicht te bewaren, wat op dat moment van cruciale waarde was.
We hebben toen een operationeel crisisteam samengesteld met vertegenwoordigers van de gemeente, de veiligheidsregio Gelderland-Zuid, de informatiebeveiligingsdienst van de VNG (IBD), Hoffmann, Parcival en Hunt & Hackett. Daar zat ook een logger van Parcival bij die ondersteunde bij het vastleggen van het hele proces. Ook hebben we een strategisch bestuurlijk crisisteam samengesteld met daarin onder andere de burgemeester en de betrokken wethouders.”
Werd het gevreesde scenario werkelijkheid?
“Ja, helaas wel. De criminelen claimden data in handen te hebben die ze openbaar zouden maken als we niet zouden betalen. Hunt & Hackett zag vervolgens dat de criminelen een voorbeeld van onze data op het darkweb hadden geplaatst. Het voorbeeld was 130 GB groot en de criminelen claimden dat ze daarnaast nog een groter bestand in handen hadden van 5 terabyte. Hunt & Hackett heeft dit bestand gedownload zodat we konden zien wát de criminelen in handen hadden. Dat kostte een week. Ondertussen zijn we alvast met verschillende scenario’s aan de slag gegaan. Na een week zagen we dat ons zwartste scenario werkelijkheid was geworden. Uit het gedownloade bestand bleek dat de criminelen al onze data in handen hadden. Je moet dan denken aan alle informatie waarover de gemeente beschikt.”
Dat was schrikken. Hoe hebben jullie vervolgens gehandeld?
“We hebben allereerst prioriteiten gesteld en gekeken welke gegevens het grootste risico vormden. Dus welke gegevens hebben waarde en zijn verhandelbaar? We kwamen tot de conclusie dat de kopieën van de identiteitsbewijzen een risico vormen. Daarmee kunnen criminelen bijvoorbeeld een lening afsluiten of een auto huren. We hebben ook gekeken naar de risico’s van de andere data. We kwamen tot de conclusie dat de kans klein is dat criminelen deze data kunnen verhandelen, omdat deze gegevens vaak al openbaar zijn. Het gaat dan bijvoorbeeld om de aanvragen van een bouwvergunning of verslagen van vergaderingen. We hebben deze prioriteiten voorgelegd aan het bestuurlijk crisisteam. Zij hebben besloten dat we ons allereerst zouden richten op de identiteitsbewijzen.”
Wat hebben jullie vervolgens gedaan?
“Hoffmann heeft alle data doorzocht op zoek naar kopieën van identiteitsbewijzen. Dat was veel werk, omdat het om heel veel data ging en de ID-bewijzen zitten op verschillende manieren in onze systemen opgeslagen. De ene keer zijn ze opgeslagen als pdf, de andere keer als Word-bestand. Bij alle gevonden ID-bewijzen hebben we de getroffen personen een brief gestuurd. Hierin hebben we uitgelegd wat er gebeurd was en onze excuses aangeboden. Ook hebben we aangegeven dat zij op onze kosten een nieuw ID-bewijs mochten aanvragen. Bovendien hebben we de oude ID-bewijzen een markering gegeven en de belangrijkste instanties geïnformeerd. De informatiebeveiligingsdienst van de VNG heeft ons daarbij geholpen. Zo weten deze instanties dat ze alert moeten zijn als iemand met deze oude ID-bewijzen zaken probeert te doen. Op deze manier hebben we de keten gesloten.”
Hoe lang heeft de crisis alles bij elkaar geduurd?
“Zo’n 4 maanden. In het eerste weekend hebben de informatiebeveiligingsdienst van de VNG en Hunt & Hackett zich aangesloten. De week daarna kwamen Parcival, Hoffmann en andere partijen erbij en hebben we de crisisteams samengesteld. In de periode daarna zijn alle bestanden doorzocht en de inwoners en bedrijven geïnformeerd. Net voor de zomervakantie waren alle getroffen inwoners op de hoogte gebracht en we zitten nu in de nafase van de crisis.”
Dat betekent dat er 4 maanden lang mogelijk onzekerheid is geweest, ook voor de getroffen inwoners. Hoe zijn jullie daarmee om gegaan?
“We zijn zo open mogelijk geweest. We hebben samen met Parcival direct de communicatie op gang gebracht. We hebben bijvoorbeeld huis-aan-huis en bij de ondernemers brieven bezorgd waarin we uitlegden wat er gebeurd was. In de brief stonden tips en er stond in omschreven dat men voor meer informatie terecht konden op onze website. Ook heeft Parcival een gespecialiseerd call centre opgezet dat in het begin 24/7 beschikbaar was. Daardoor waren we goed bereikbaar en werden de inwoners te woord gestaan door mensen met kennis van zaken. De specialisten van Parcival konden op de meest gestelde vragen antwoord geven. Bovendien monitorden zij onder andere welke vragen de bewoners stelden. Nieuwe vragen werden direct opgenomen in de belscripts. Zo konden ze daar de volgende keer sneller en beter antwoord op geven. Bovendien monitorden zij de social media, zodat we wisten welke vragen er rondgingen op het internet.”
Wat voor vragen werden er gesteld?
“Vaak waren het hele logische vragen. Bijvoorbeeld: zit mijn paspoort ook in de gestolen data? Of: mijn buurman heeft een brief gehad en ik niet. Wat betekent dat? In het begin kreeg het call centre veel telefoontjes. Op een gegeven moment zagen we dat dat aantal afnam. Toen hebben we de openingstijden ingekort. Aan het begin van de zomervakantie kwamen er nauwelijks nog telefoontjes binnen. Toen hebben we het call centre eerst afgeschaald en vervolgens ontbonden. De inwoners die ons daarna belden, kregen onze eigen medewerkers aan de lijn.”
Wat was de kracht van de communicatiestrategie?
Jaap Stalenburg, communicatie adviseur bij Parcival: “De transparantie. De gemeente was op alle vlakken bijzonder open en transparant. We hebben bijvoorbeeld twee keer een koffiemoment georganiseerd voor de regionale media. Zo zorgden we voor een goede relatie met de media. En de burgemeester was altijd bereid om mediavragen te beantwoorden. Natuurlijk konden we, zeker in het begin, nog niet op alle vragen antwoord geven. De strategie van de gemeente was om eerlijk te zijn, ook over de dingen die ze nog niet wisten. Zo ontstond er begrip onder de bewoners. Op een gegeven moment maakte een journalist van een landelijke nieuwssite een rondje langs de inwoners van het dorp. Hij vroeg hen wat ze vonden van de aanpak van de gemeente. Een veel gehoord antwoord was dat ze zich geen zorgen maakten omdat ze zagen dat de gemeente het serieus had opgepakt. Er was dus geen paniek ontstaan en voor mijn gevoel had dat wel alles te maken met de open houding van de gemeente. Ik heb dit zelden zo meegemaakt. Wat je ervan kunt leren is dat je in dergelijke crisissituaties niet wordt afgerekend op wat er is gebeurd maar hoe transparant je communiceert en wat je ervan geleerd hebt gevolgd door passende maatregelen. Daarnaast is ook weer gebleken dat het erg belangrijk is om de communicatiemiddelen goed af te stemmen op de verschillende doel- en leeftijdsgroepen. Een groot deel van de oudere inwoners bereikte je niet via social media en internet simpelweg omdat ze er niet of nauwelijks over beschikken. Vandaar de keuze om naast social media, zoals Facebook en Twitter, ook ‘ouderwets’, brieven huis-aan-huis te bezorgen.”
Jullie zitten nu in het staartje van de crisis. Wat zijn wat jou betreft de belangrijkste lessons learned geweest?
Michiel: “We zijn ons nog meer gaan realiseren dat cybersecurity niet alleen een ICT-onderwerp is. In het eerste weekend waren we erg op de ICT-kant van de crisis gericht. Er vlogen toen allerlei ingewikkelde termen over tafel. Toch was het ook toen al belangrijk om door te vragen: waar gaat dit over? En wat betekent deze cyberaanval voor onze organisatie? Bovendien zijn we kritischer gaan kijken of we alles wel op orde hebben. We deden al veel aan cybersecurity, ook voor de cyberaanval. Toch stonden er veel kopieën van ID-bewijzen op onze servers. We hebben onze processen aangescherpt en alle kopieën van ID-bewijzen worden nu na ontvangst verwijderd. Ook hebben we Hunt & Hackett gevraagd wat we konden verbeteren. Zij hebben ons geadviseerd en geholpen alle gaten voor te dichten. De cybercriminelen waren binnengekomen via een externe leverancier. Dat had natuurlijk nooit mogen gebeuren. Maar toen de cybercriminelen eenmaal binnen waren, konden zij gemakkelijk verder doordringen in ons systeem omdat we bij nader inzien geen sterk wachtwoord hadden en geen 2 factor authentication. Dat is nu opgelost.”
Wat zou je willen zeggen tegen andere organisaties die ook getroffen kunnen worden door een cyberaanval?
“In de eerste plaats: maak van ICT-beveiliging en informatieveiligheid geen ICT-onderwerp maar een vraagstuk voor de hele organisatie. Daarnaast is het belangrijk om te kijken naar de leveringsvoorwaarden van je leveranciers. In de leveringsvoorwaarden van onze leverancier staat dat zij niet aansprakelijk zijn voor de schade van deze cyberaanval. Maar de cybercriminelen zijn wel via hen onze systemen binnengedrongen. De informatiebeveiligingsdienst van de VNG heeft overigens wel meteen maatregelen genomen. Zij hebben andere gemeentes op de hoogte gesteld van dit lek, zodat de cybercriminelen niet op dezelfde manier bij anderen kunnen toeslaan. In de tweede plaats: zorg dat je je crisismanagement en crisiscommunicatie op orde krijgt. Dus wees transparant en zorg dat je het overzicht krijgt. Verdeel de rollen en de taken, en ga zo snel mogelijk met de scenario’s aan de slag. Dus: denk vooruit. En tot slot: denk niet dat je alles zelf kunt, maar huur expertise in. Aan het begin van de crisis heb ik met verschillende organisaties gebeld die eerder getroffen waren door een cyberaanval. Ik heb bijvoorbeeld gesproken met de gemeentesecretaris van het Hof van Twente. Het was erg waardevol dat deze organisaties hun ervaringen met ons deelden. Maar uiteindelijk is elke cyberaanval anders en sta je er als organisatie alleen voor. Je hebt een groot team en de juiste expertise nodig om dit tot een goed einde te brengen.”
Bron: decrisismanager.nl | Maaike Tindemans
Meer darkweb nieuws
De gevaren van medische datalekken: Het ransomware incident bij MediCheck en de risico’s voor patiënten
Reading in 🇬🇧 or another language
Data op het darkweb: het onzichtbare zichtbaar maken
Reading in 🇬🇧 or another language
De illusie van anonimiteit: Hoe timinganalyses criminelen op Tor ontmaskeren
Reading in 🇬🇧 or another language
Operatie Happy Feet: Het onzichtbare kwaad van het darkweb blootgelegd
Reading in 🇬🇧 or another language
FBI maakt einde aan grote darkweb-marktplaats WWH-Club
Reading in 🇬🇧 or another language
Telegram: Van privacy tot misbruik - Het dilemma tussen vrijheid en opsporing
Reading in 🇬🇧 or another language