Lessen uit de gemeente Buren
Oorzaak ransomware-aanval bekend
Op 1 april jl. is gemeente Buren getroffen door een ransomware-aanval. Bij de hack zijn gegevens van de gemeente gestolen en op het darkweb aangeboden. Inmiddels is het onderzoek naar de aanval afgerond. Wat was de oorzaak? En belangrijker, wat moet je als gemeente doen om een dergelijke aanval te voorkomen? In deze blog de lessen uit de gemeente Buren.
Misbruik inloggegevens leverancier
Uit het onderzoek van Hunt & Hackett blijkt dat hackers toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat tweefactorauthenticatie (2FA) op dit account ontbrak, was het mogelijke voor de hackers om binnen te komen in de ICT-omgeving van de gemeente. De ransomware-aanval werd in eerste instantie niet opgemerkt door de gemeente, waardoor de hackers zo’n tweeënhalve maand lang binnen waren en grote hoeveelheden data van inwoners wisten te stelen. Op het moment dat de hack voor de gemeente Buren zichtbaar werd, was het kwaad daarmee al geschied. Gelukkig is het securityteam van de gemeente erin geslaagd om kort na het ontdekken van de hack direct actie te ondernemen in de vorm van recovery maatregelen. Ook had de gemeente een één dag oude, veilige back-up. Hierdoor is de impact op de organisatie beperkt gebleven en heeft de dienstverlening en de bedrijfsvoering van de gemeente vrijwel meteen door kunnen draaien, Maar, bij de hack zijn wel persoonsgegevens buitgemaakt en uiteindelijk zelfs gepubliceerd op het darkweb, waaronder identiteitsbewijzen van inwoners.
Digitale weerbaarheid vergroten
Een dergelijk incident heeft grote impact en kan leiden tot materiële en immateriële schade voor je gemeente (o.a. reputatieschade). Maar dat is niet alles, ook voor betrokkenen kan dit grote gevolgen hebben, zoals identiteitsfraude. De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft de aanbevelingen uit het rapport daarom gedeeld met alle gemeenten en het Nationaal Cyber Security Centrum, zodat zij en andere sectoren in Nederland kunnen leren van dit incident.
Voorkomen beter dan genezen
Vier zaken waar je direct mee aan de slag moet (of al bent)
Wat zijn de belangrijkste conclusies en aanbevelingen uit het rapport? Om je op weg te helpen, deel ik graag mijn analyse van het rapport en de lessen die je hier als gemeente uit kan (moet) halen om je digitale weerbaarheid te verhogen:
Zorg voor goede detectie en response mechanismen
Hoe goed je beveiliging ook geregeld is, 100% veilig bestaat niet. Een gemotiveerde aanvaller weet bijna altijd wel een ingang (point-of-entry) te vinden waarmee hij toegang kan krijgen. Dit komt o.a. doordat cybercriminelen snel nieuwe methodes vinden om (nieuwe) beveiligingen te omzeilen. Daarnaast is en blijft het ook mensenwerk. Mensen maken fouten en klikken bijvoorbeeld in de drukte toch op een linkje in een phishingmail. Wat er daarna gebeurt, is afhankelijk van de mate waarin jouw organisatie in staat is om de aanval in een vroeg stadium te ontdekken. Niets is zo vervelend als er pas na weken achter te komen dat er een inbraak heeft plaatsgevonden en alle gegevens al zijn versleuteld en de losgeldeis is gesteld, zoals bij gemeente Buren het geval was. Gezien de huidige risico’s wordt daarom aanbevolen om prioriteit te geven aan goede monitoring. Zorg dat je als organisatie (real-time) inzicht hebt in wat er gebeurt met de gevoelige data die je in beheer hebt en adequate actie kan ondernemen op het moment dat er zich een probleem of incident voordoet
Zorg voor multifactorauthenticatie (MFA)
In het geval van gemeente Buren heeft de aanvaller in kunnen loggen op het Virtueel Particulier Netwerk (VPN) met legitieme inloggegevens die ze hebben weten te ontfutselen (zie punt 3). Omdat tweefactorauthenticatie op dit account ontbrak, was het mogelijk voor de hackers om met deze inloggegevens binnen te komen. Zorg daarom altijd voor multifactorauthenticatie (MFA) voor alle eindgebruikers. Door meerdere factoren te combineren wordt de beveiliging bij toegangscontrole aangescherpt. Wanneer er dan inloggegevens uitlekken van dergelijke accounts kan een kwaadwillende deze niet misbruiken om toegang te krijgen tot het netwerk, simpelweg omdat er MFA is geïmplementeerd.
Zorg voor een goed wachtwoordbeleid
Tijdens de aanval bij gemeente Buren is het mogelijk geweest voor de aanvaller om een wachtwoord te ‘brute forcen’. Dit is een manier om een wachtwoord te hacken en gebeurt door het (geautomatiseerd) herhaaldelijk raden van jouw wachtwoord en in te loggen. Zelfs een complex wachtwoord kan hiermee worden gekraakt. Zo is het mogelijk om een wachtwoord van 8 tekens in minder dan 6 uur te kraken. Het is daarom belangrijk om een goed wachtwoordbeleid te hebben (maatregel AVG art. 5.1 lid f) en een wachtwoordmanager (die weer gebruik maakt van 2FA) te gebruiken voor het op een veilige manier opslaan van wachtwoorden.
Zorg voor veilig systeembeheer
Tijdens het onderzoek bij gemeente Buren kwam naar voren dat systeembeheerders gebruik maken van gepersonaliseerde beheeraccounts in plaats van toegewezen beheerwerkstations of specifieke beheerinfrastructuur, waarbij je vanaf een extra beveiligde server beheerwerkzaamheden kan verrichten. Er wordt aangeraden om in je wachtwoordbeleid op te nemen dat technisch, afgedwongen strengere voorwaarden gelden voor accounts met hogere rechten, zoals beheeraccounts. Een voorbeeld hiervan is Privileged Access Workstation (PAW). Zorg ook dat de processen en het beleid rondom systeembeheer op een veilige wijze worden vormgegeven. Je maakt hier o.a. mee inzichtelijk wie, wanneer welke werkzaamheden heeft verricht en vanaf welk systeem.
Geleerde lessen
Hackers zijn criminelen. Denk niet als gemeente: ‘dat overkomt ons niet’. Gebruik dergelijke incidenten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk onze digitale weerbaarheid verhogen. En mocht het toch fout gaan? Laten we dan vooral ook leren van de aanpak van de gemeente Buren. Zorg dat je direct na het ontdekken van de hack:
- aangifte doet bij de politie en het Openbaar Ministerie;
- de IBD en externe specialisten inschakelt om te assisteren met de beperking van verdere schade, het herstellen van systemen en onderzoek te doen naar de daders en de oorzaak van het datalek;
- een melding doet bij de Autoriteit Persoonsgegevens (AP);
- niet ingaat op verzoeken tot contact: onderhandel niet met hackers en betaal geen losgeld bij datadiefstal;
- en, iets wat gemeente Buren heel erg goed gedaan heeft, communiceer open en transparant over het incident. Wees ook eerlijk als je het antwoord niet direct paraat hebt omdat het onderzoek bijvoorbeeld nog loopt. Zorg dat je een crisiscommunicatieplan hebt liggen en een goede woordvoerder hebt. Zo beperk je de reputatieschade en zorg je voor vertrouwen bij je inwoners.