Harde lessen voor een gehackte gemeente

“De dag begon met medewerkers die niet konden inloggen. Een paar uur later was het duidelijk: we waren gehackt. Mijn eerste reactie was: dit gaan we oplossen. Een beetje naïef misschien, maar niemand van ons had hier nog mee te maken gehad. Lochem was al eerder slachtoffer, die waren een deel van hun gegevens kwijt. Wij alles. De impact is niet voor te stellen.

Grip-3

De eerste twee dagen hebben we ontredderd rondgelopen. We zijn goed in de aanpak van asbestbranden, maar met een cyberaanval had niemand ervaring. Ik heb toen besloten om te doen alsof we een grip 3-situatie hadden. Dat werkte. Een operationeel leider bracht rust in de tent. Hij nam alle operationele zaken over en ik kon me weer focussen op mijn eigen rol en hoefde niet meer alle ballen in de lucht te houden.

De Informatiebeveiligingsdienst van de VNG (Vereniging Nederlandse Gemeenten, red.) kwam ons te hulp, maar we kwamen er al snel achter dat we ook forensisch onderzoekers nodig hadden. In Nederland zijn er een paar bureaus die dit kunnen doen en die ook gecertificeerd zijn om informatie uit te wisselen met de politie. Die zijn heel drukbezet, maar gelukkig hebben we er eentje kunnen inschakelen. Op de zaterdagochtend na de hack kwam een heel peloton computer- en cyberdeskundigen ons gemeentehuis binnen. Zij onderzochten wat er precies was gebeurd, wat de gevolgen waren en wat we moesten doen om herhaling te voorkomen. Heel waardevol bleek dat.

Losgeld

Ondertussen worstelde ik met het verzoek om losgeld dat binnenrolde op één van de printers in het gemeentehuis. Mijn eerste reactie was: ik doe geen zaken met criminelen. Maar zo simpel is het niet. Wat zijn de gevolgen voor je inwoners? Wat gebeurt er met hun gegevens? De kosten om alle systemen te herstellen lopen in de miljoenen, vele malen meer dan het gevraagde losgeld. Maar als wij betalen, hoeveel gemeenten worden dan na ons het slachtoffer? En hoe weet je dat je aan de juiste mensen betaalt? En dat je inderdaad je gegevens terug krijgt?

Ik heb in de eerste dagen na de hack hier veel over gepraat met andere burgemeesters, onder andere mijn collega van Lochem, maar ook tegenspraak georganiseerd met experts. Uiteindelijk hebben we geen losgeld betaald en ik merk dat de inwoners daar, ondanks alle problemen, heel positief op hebben gereageerd. Ongetwijfeld heeft het geholpen dat er geen gegevens van inwoners op straat zijn gekomen. Al denk ik dat ik ook dan geen losgeld had betaald.

Paspoorten en bijstand

Gelukkig was er een heel recent bedrijfsnoodplan, waarin we hadden beschreven wat de prioriteiten zijn in onze dienstverlening. We hadden daar ook mee geoefend. Wat moet als eerste weer de lucht in? De uitgifte van paspoorten en rijbewijzen, aangiften van geboorten en overlijden en de betaling van uitkeringen staan bovenaan die lijst. Het was december, dus je moet er niet aan denken dat gezinnen zonder bijstand de decembermaand door moeten. Het is ons gelukt om dat heel snel weer te hervatten.

Inmiddels merken de inwoners niet meer zoveel van de hack, maar de medewerkers des te meer. Elke handeling is gedoe. Er zijn geen dossiers meer, de mailwisselingen zijn weg. Het hakt er nog elke dag in. Mensen lopen op hun tandvlees. Een organisatie die dit niet heeft meegemaakt begrijpt niet wat het betekent. Inmiddels hebben we wel weer wat data teruggevonden. Iedereen was daar blij om, maar eigenlijk maakt dat het niet makkelijker. Alles moet helemaal worden doorgelicht of het authentiek is en of er geen virussen in zijn aangebracht. We zijn nog steeds een organisatie in crisis, het kost ons nog dagelijks heel veel energie, die we liever aan andere zaken hadden besteed. Ik ben heel trots op mijn mensen dat we dit met elkaar vol houden.

Maar eigenlijk is dat te simpel gedacht. Het begint altijd met een menselijke fout. Een wachtwoord dat eenvoudig te hacken is, of de beveiliging die niet goed is geïnstalleerd. Maar de echte zwakte zit in de systemen erachter. En die zwakte wordt vroeg of laat gevonden. Elke organisatie in Nederland wordt tienduizenden keren per dag aangevallen. Systemen scannen continu naar zwakheden. En als ze een lek zien, slaan de criminelen toe.

Ik heb twee slapeloze nachten gehad. Eentje over de gegevens van de inwoners. Ik was heel bang dat die op straat zouden komen te liggen. Daar zitten zeer privacygevoelige dossiers bij. En de tweede over mijn mensen. Je zult maar systeembeheerder zijn in zo’n kleine gemeenschap als de onze. Iedereen weet dat het bij jou fout is gegaan.

Harde les

Van te voren dacht ik dat wij het goed voor elkaar hadden. We hadden een bedrijf in de arm genomen voor onze ict-beveiliging. En ook ethische hackers hadden de zwakte in onze systemen niet gevonden. Dat is een harde les, die nog een juridisch staartje krijgt: voer een indringend gesprek met faciliteerders over de beveiliging van je systemen. Wie is verantwoordelijk?

Ik heb geleerd dat je moet zorgen voor 2-factor autorisatie op alle systemen en voor netwerksegmentatie, zeg maar de branddeuren in je ict-systemen, zodat iemand niet bij binnenkomst in één keer alles leeg kan trekken. En zorg voor audits. Net als een accountant jaarlijks onze financiën grondig doorlicht, zouden we ook onze ict regelmatig goed moeten laten checken. En we moeten beseffen dat informatiebeveiliging een verantwoordelijkheid is van iedereen in de organisatie.

We gaan nu ook de ict-portefeuille op bestuurlijk niveau scheiden: de informatiebeveiliging bij de burgemeester en de uitvoering bij een wethouder. Ik denk ook dat we er binnen het RIEC-LIEC-bestel meer aandacht aan moeten besteden. We zullen met zijn allen keihard moeten werken om criminelen voor te zijn. Dit is een hele nare, laffe vorm van ondermijning. Ik heb bij wijze van spreken meer respect voor een inbreker die bij mij naar binnensluipt en mijn huis leeg haalt.”