In zelden aangedurfde openheid deelt Lochem haar ervaringen met een indringer die vorig jaar maandenlang het computernetwerk onveilig maakte, en vooral de daaruit getrokken lering. Want, vindt Sebastiaan van ‘t Erve, de burgemeester van de Achterhoekse gemeente, aan beveiligingsbewustzijn bestaat bij bestuurders een gevaarlijk tekort. “Iedereen was betrokken, maar niemand verantwoordelijk.”
Een halfjaar lang onopgemerkt
Lochem heeft met enkele tientallen organisaties een dataverbinding om daarmee digitaal te communiceren. Ook eentje met het ministerie van Justitie en Veiligheid. Toen bekend was geworden dat onbevoegden een halfjaar lang onopgemerkt op het gemeentelijk computernetwerk hadden gerommeld om een geraffineerde gijzelaanval op touw te zetten, informeerde het ministerie of het nog wel veilig online met Lochem kon communiceren.
Het departement
Als burgemeester Sebastiaan van ’t Erve in een bijeenkomst over informatiebeveiliging bij de overheid vertelt dat het departement twee weken na het eerste bericht over de ransomware-aanval naar de veiligheid van de verbinding vroeg, veroorzaakt dat weleens schamper gelach. Justitie en Veiligheid, toch al niet best bekend staand qua ICT, laat er dus twee weken overheen gaan alvorens zich op de hoogte te stellen van een mogelijke bedreiging van zijn gegevensintegriteit.
Waar de lachers met hun primaire reactie lijken te demonstreren zelf over meer beveiligingsbewustzijn te beschikken, zetten zij zichzelf juist te kijk met een gebrek daaraan. Want veel ernstiger dan dat JenV daar veertien dagen voor nodig heeft, is dat die andere tientallen organisaties niet bij Lochem aan de bel trokken. Die hebben zich kennelijk niet afgevraagd welke impact de hack had voor de keten, waarvan zij met Lochem deel uitmaken.
Gedreven informatiebeveiligingsmissionaris
Van ’t Erve, buiten burgemeester van de Achterhoekse gemeente sedert de cyberinfiltratie ook gedreven informatiebeveiligingsmissionaris, wil met de spiegel die hij zijn toehoorders voorhoudt, indringend illustreren dat het nog hevig ontbreekt aan bewustzijn over de kwetsbaarheid van de overheidsinformatie-infrastructuur. En daarmee over de risico’s voor het hele overheidsfunctioneren. Informatie is immers grondstof en product van zowat alle overheidshandelen.
"De cyberaanval"
Donderdag 6 juni 2019, tegen 22.00 uur. Lochems Chief Information Security Officer belt de burgemeester. Hij is zojuist gealarmeerd door het landelijke Team High Tech Crime (THTC) van de politie: er is verdacht verkeer waargenomen rond het Lochemse ICT-netwerk. Dat is mogelijk gehackt. Of iemand THTC-cyberspecialisten op het gemeentehuis wil binnenlaten. Experts van het Nationaal Cyber Security Centrum (NCSC) zijn ook al onderweg.
Van ’t Erve belt De Winter Information Solutions. Dat bedrijf en hijzelf zijn betrokken bij de VNG cybergame 2.0, die eind oktober gelanceerd gaat worden om bestuurders er in vijf kwartier van te doordringen dat zij een taak hebben op beveiligingsvlak. Eerder die avond heeft hij over het spel telefonisch gesproken met consultant Brenno de Winter, die dat nu semirealistisch in praktijk lijkt te brengen. Denkt hij. Maar nee, hij kan het telefoontje van zijn CISO beter serieus nemen.
Specialisten van de landelijke organisaties doorzochten een nacht lang de Lochemse systemen. Details van wat ze precies uitvoeren blijven onduidelijk, ze doen kennelijk hun eigen ding. Maar als ze vrijdagochtend vertrekken is helder: Lochem is gehackt.
Wat is nu nog betrouwbaar na hack
“Toen begonnen de problemen pas echt”, zegt Van ’t Erve. Vastgesteld was dat door de aanval gegevens in de computers mogelijk onbetrouwbaar waren geworden, maar wat betekende dat concreet? Stond van verstrekte paspoorten de juiste houder geregistreerd? Waren bijstandsuitkeringen correct verstrekt, vergunningen rechtmatig afgegeven? Klopten wachtwoorden nog? Konden geplande huwelijken doorgaan? Geen onderdeel van het gemeentelijk opereren dat niet geraakt kon zijn. Je weet niet wat je niet weet. Detectie en mitigatie hadden nu de hoogste prioriteit: vaststellen wat er precies is gebeurd en welke schade dat heeft veroorzaakt (of nog kan veroorzaken), en deze herstellen (of voorkomen).
Lochem huurde daarvoor het bedrijf NFIR in (Nederlands Forensisch Incident Response). Ook de Informatiebeveiligingsdienst van de VNG (IBD) was betrokken. De Winter begeleidde het proces en zou in een ‘duidingsrapportage’ bevindingen en de reactie daarop toelichten en daaruit leerpunten destilleren.
Hackers al half jaar aanwezig
Vrijdag 14 december 2018 al was de indringer binnengekomen. Hoe, was niet meer met zekerheid vast te stellen. Mogelijk heeft een account met de gebruikersnaam-wachtwoord-combinatie ‘social’/’social’ daar een faciliterende rol in gespeeld. Accounts worden uitgegeven door de beheerder. Ook stond een RDP-poort open (Remote Desktop Protocol, voor externe toegang van bijvoorbeeld thuiswerkers), die niet open mocht staan. En back-ups waren onbetrouwbaar. Je zou denken dat de ICT-afdeling dan het een en ander heeft uit te leggen, ook over het maandenlang niet signaleren van een indringer. Maar volgens Van ’t Erve verandert de situatie niet door een ‘schuldige’ aan te wijzen. Hij vindt leren van de gebeurtenissen belangrijker.
Deuren open gezet
Daarbij komt dat het ontstaan van het social/social-account niet met volledige zekerheid viel te traceren, net zo min als hoe de RDP-poort geopend kon zijn. En dat de indringer maar af en toe actief was en dan slechts kleine stapjes zette in een ‘Advanced Persistent Threat’. De Winter wijst op de technisch hoge kwaliteit van deze APT en zegt: “Als je met vier man op de ICT-afdeling tientallen systemen draaiende moet zien te houden, ga je collega’s niet belasten door zelf op cursus te gaan.” In zijn rapportage (‘Door het oog van de naald’) stelt hij wel dat betere preventie en detectie nodig zijn, maar hij rekent het tekortschieten daarvan de kleine ICT-afdeling niet aan. Hij koppelt er wel de aanbeveling aan om de slagkracht te vergroten door samenwerking met andere gemeenten, waarvan er veel volgens hem evenmin tegen een APT opgewassen zijn.
Bestand persoonsgegevens ambtenaren en raadsleden gekopieerd
In bezoekjes met een frequentie van eens per week of nog minder werkte de indringer geleidelijk toe naar gijzeling van Lochem. Als de gemeente geen computers meer kon gebruiken omdat alle gegevens versleuteld waren, zou het totale lokale-overheidsfunctioneren stilvallen. Begin juni 2019 koerste de indringer daar met verhoogde snelheid op aan. De forensische experts zagen dat een bestand met persoonsgegevens van ambtenaren en raadsleden was gekopieerd, mogelijk mét wachtwoorden, ransomware (gijzelsoftware) was geïnstalleerd, zij het nog niet volledig geactiveerd, en ook al ransomnotes (losgeldbrieven) waren achtergelaten. In het profiel van gebruiker ‘social’ was al iets versleuteld. Het kwam nu aan op snel handelen.
The golden ticket
Het was dinsdag 11 juni – een dag na het Pinksterweekend waarin continu was doorgewerkt – dat Van ’t Erve met zijn crisisteam concludeerde dat ‘het lek boven’ was. Maar uit een daaropvolgende bijeenkomst met de fractievoorzitters in de raad, die ’s avonds zou vergaderen, werd hij door de gemeentesecretaris weggeroepen. De vraag of viel uit te sluiten dat de indringer over een ‘golden ticket’ beschikt (dat toegang verschaft tot de totale infrastructuur) moest negatief worden beantwoord.
Hele digitale informatievoorziening uitgezet
De volgende dag kon de Lochemer zijn paspoort niet verlengen of wat dan ook van de gemeente gedaan krijgen waar deze een computer bij nodig had. Na de raadsvergadering, nog via livestream te volgen, werd de hele digitale informatievoorziening uitgezet en de dagen daarna geleidelijk weer opgebouwd: alle programmatuur opnieuw installeren en inrichten, en alle data, gecontroleerd op correctheid en volledigheid, terugzetten. Een gigantische klus, aldus Van ’t Erve, die slechts stapsgewijze hervatting van het computergebruik toeliet. Voor het sein ‘alles hersteld en weer veilig’ waren enkele weken nodig.
Wereldwijd 1800 organisaties
Vlak voordat de indringer meer gemeentedata versleutelde en losgeld ging eisen, in vergelijkbare gevallen meestal circa een half miljoen euro, kon hij van het netwerk worden verwijderd. Niet vastgesteld is dat hij aan andere dan genoemde gegevens heeft gezeten. Van ’t Erve en De Winter mogen geen opsporingsinformatie verstrekken en ook het cybercrimeteam van de politie zegt niets over het ingestelde strafrechtelijk onderzoek. Duidelijk is wel dat het politieteam het verdachte verkeer rond Lochem signaleerde in het kader van een lopend opsporingsonderzoek. Een eind vorig jaar door NOS Nieuws onthuld NCSC-rapport maakt melding van geavanceerde gijzelacties bij wereldwijd 1800 organisaties, waaronder ook Nederlandse.
114 kwetsbaarheden
Tot de Lochemse hersteloperatie behoorde een penetratietest, die 64 bevindingen opleverde. Samen met aanbevelingen uit rapportages had de gemeente 114 kwetsbaarheden weg te werken. Volgens de burgemeester is inmiddels 60 procent gedaan en de rest gepland. Complicerende factor is dat Lochem soms afhankelijk is van anderen of hoge kosten zou moeten maken. Tweefactorauthenticatie (wachtwoord/sms-code) maakt hacks zo goed als onmogelijk, maar onmiddellijke invoering nu zou kapitaalvernietiging impliceren omdat Lochem straks via het programma GGI-Veilig van VNG Realisatie de beschikking krijgt over zo’n beter beveiligde netwerktoegang.
Gemeenten moeten er zelf naar vragen
Ingewikkelder ligt het met issues waarop de gemeente geen invloed heeft, omdat ze gesitueerd zijn in aangekochte systeemcomponenten of onlinediensten. Je weet niet welke kwetsbaarheden erin zitten. Leveranciers zouden daarover transparanter moeten zijn, vindt De Winter, al ziet hij ook verantwoordelijkheid aan klantkant. “Gemeenten moeten er zelf naar vragen. Leveranciersmanagement is nog niet zo sterk ontwikkeld.”
Wereldwijde Citrix-crisis
Lochem stuitte in januari van dit jaar indringend op zulke leveranciersafhankelijkheid. De afdeling Financiën kon ineens niet meer werken omdat Centric de toegang tot de cloud had afgesloten waarin de administratie draait. Lochem zelf had er dan wel voor gezorgd geen Citrix te gebruiken voor systeemtoegang van afstand, dat bleek niet te gelden voor Centric. Zo werd de gemeente indirect slachtoffer van de wereldwijde Citrix-crisis, die voor NCSC en AIVD aanleiding was het gebruik van die toegangssoftware te ontraden.
Lochem, dat de cloudtoegang snel terugkreeg via een ‘workaround’, is de enige gemeente die met die perikelen in de publiciteit kwam. Zou Centric niet veel meer cloudklanten hebben die duimen moesten draaien? Nu lacht Van ’t Erve een beetje schamper. Dat andere gedupeerden zich stilhouden ziet hij als teken dat het onderwerp gemeentelijke gemoederen meer zou moeten bezighouden.
Achterstand ten opzichte van calamiteiten in de fysieke wereld
En niet alleen gemeentelijke gemoederen, zie de keteninformatisering tussen verschillende bestuurslagen. Op landelijk niveau signaleert hij een achterstand ten opzichte van calamiteiten in de fysieke wereld. Voor dijkdoorbraken en gif-emissies liggen draaiboeken klaar, is coördinatie minutieus geregeld en kent ieder zijn taak; een situatie die bij ICT-rampen node wordt gemist. Dat geldt eveneens voor financiële bijstand van getroffen organisaties. Lochem gaf anderhalve ton uit aan ingehuurde forensische en herstelondersteuning. Met veel moeite wist Van ’t Erve in Den Haag 30.000 euro vergoeding los te praten. “Iedereen was betrokken, maar niemand verantwoordelijk.”
Vereniging van Nederlandse Gemeenten
Bij VNG’s Informatiebeveiligingsdienst loopt al enige tijd het programma ‘Verhogen Digitale Weerbaarheid’. Een vraag daarover brengt de burgemeester weer bij de bestuurlijke verantwoordelijkheid. Want dat programma richt zich volgens hem op de verkeerde doelgroep. “ICT’ers hoef je niet te overtuigen. Het gaat primair om bestuurders. Die moeten hun verantwoordelijkheid nemen.” En om nog eens te onderstrepen dat informatiebeveiliging permanent de hoogste alertheid vereist: “Je kunt duizend gaatjes dichten, maar een kwaadwillende heeft er maar één nodig.”
Bron: iBestuur / Peter Mom