2020: Is uw gemeente klaar voor The Big Hack?

Dimitri van Zantvliet
8 min readDec 28, 2019

--

Een korte eindejaarsbespiegeling voor bestuurders aan de gemeentelijke knoppen. Komt cyber security en resilience nu eindelijk eens vast op de agenda of moet het eerst faliekant mis gaan? Nee toch, komend jaar gaat u vast goed en veilig starten!

Phishing mails, ransomware, datalekken, ceo fraude, DDoS, cyber pesten, verkiezingsfraude/nepnieuws, afpers mails, digitale ondermijning, etc., etc. In toenemende mate zien we wereldwijd gemeentes doelwit worden van professionele cyber crime aanvallen en met steeds groter wordende impact voor burgers en bedrijven. Het is niet langer een kwestie óf uw gemeente gehackt gaat worden. De vraag is meer wanneer en of u als bestuur een beetje bent voorbereid. Bent u dat?

2019, een snelle terugblik.

Ik zou een uitgebreid boek kunnen schrijven over alle cyber incidenten die afgelopen jaar hebben plaatsgevonden. Onder de hashtag #databreachdaily heb ik een veelheid aan incidenten bijgehouden op LinkedIn. In mijn awareness presentaties gebruik ik voorbeelden van Lochem, Hellevoetsluis, ministeries in Curacao, Jeugdzorg Utrecht, de dark web veiling van 92 miljoen Braziliaanse identiteiten uit een basisregister en recentelijk natuurlijk is de gemeente New Orleans compleet platgelegd. Het meest aansprekende voorbeeld was het weekend waarin in één goed gecoordineerde en professionele actie 23 gemeentes in Texas buiten werking zijn gesteld (en terwijl ik dit schrijf is de Universiteit van Maastricht al dagen bezig hun systemen te herstellen.)

Dit artikel is bedoeld voor de ambtelijk directeur, secretaris, wethouder, burgemeester en raadslid die tot op heden mentaal afwezig is geweest in de discussie rondom de informatieveiligheid van de gemeente. Die tijd is echt voorbij, u dient zich actief te gaan bemoeien met dit onderwerp tenzij u met een knoepert van een hack of datalek een paar weken lang voorpaginanieuws wilt worden. Dit jaar bent u misschien de dans ontsprongen maar 2020 zal -als de trend zich doorzet- het jaar van de waarheid kunnen worden. Ik voorspel dan ook dat cyber crime en -security een belangrijker thema in de komende verkiezingen gaan worden.

Honderden gemeentes (duizenden organisaties wereldwijd) zijn het afgelopen jaar gehacked m.b.v. ransomware en tientallen voorbeelden zijn te vinden waarbij gemeentes losgeld in de vorm van bitcoins hebben betaald om de versleutelde data terug te krijgen. Zij stonden met de rug tegen de digitale muur en zagen blijkbaar geen andere oplossing dan het betalen van de criminelen. Cyber crime loont dus! (overigens houdt het betalen van losgeld het systeem in stand dus doe dat aub niet maar maak goede bruikbare backups). Om die reden investeren aanvallers in het maandenlang onder de radar blijven in netwerken van organisaties totdat voldoende intelligence is vergaard om de zaak op slot te kunnen gooien of digitale kroonjuwelen te kunnen stelen. Maar ransomware is niet de enige aanvalstactiek.

Een slimme meid is op haar toekomst voorbereid.

De Amsterdamse burgemeester Femke Halsema is van mening dat de snelle digitale ontwikkelingen dwingen tot meer alertheid: “Een stad die open staat voor nieuwe technologie, moet ook een stevig antwoord hebben op cybercriminaliteit en onvoorziene uitval.” Halsema lanceerde recentelijk de Agenda Digitale Veiligheid Amsterdam en zette daarmee een eerste stevige stedelijke stap in het integraal wapenen tegen digitale dreigingen. Amsterdam richt zich, naast het eigen huis op orde hebben, op het digitaal weerbaar maken van burgers en MKB. Amsterdam laat hier, als spin in het web van digitale overheidskanalen, zien dat het haar verantwoordelijkheid serieus neemt en met de digitale agenda de handhaving van de openbare orde verbreed met cyber space en dat is een dikke duim omhoog! Maar ben je hiermee klaar voor de aanval en het spoedig herstel?

Voorkomen blijft beter dan genezen.

Zoals eerder gezegd is het slechts een kwestie van tijd voordat cyber criminelen (delen van) uw gemeentelijke organisatie zijn binnengedrongen. Statelijke actoren die uit zijn op specifieke informatie hebben diepe financiële zakken, cyber crime organisaties hebben een lange adem en een volhardende black-hat hoeft maar 1 keer binnen te komen, immers digitale misdaad loont zagen we reeds. Het kat en muis spel tussen gemeente en cyber onverlaten is dus een asymmetrisch spel en veel kleine gemeentes hebben niet het budget zoals in Mokum. Toch kan ook de kleinste gemeente van Nederland, Rozendaal, een steppingstone worden voor bredere en grotere besmetting en daarom moet ieder college vooraf nadenken over de digitale weerbaarheid van haar gemeente.

Een aantal zaken die een beetje helpen om te voorkomen dat gehackt wordt:

  • Veel ellende wordt veroorzaakt door een vorm van phishing emails. Zorg voor brede informatieveiligheid awareness bij ambtenaren, college en raadsleden. Laat de CISO en FG teams een rondgang doen langs de clusters met algemene awareness sessies. Zorg voor e-learning modules die gevolgd moeten worden bij in dienst treding (ook externen niet vergeten) en laat per cluster/domein een privacy/security training verzorgen met casuïstiek gericht op dat specifieke domein. Als het goed is zal het aantal incident meldingen en datalekken hierdoor stijgen. Niet omdat het direct slechter gaat maar omdat men beter snapt wat er aan de hand is.
  • Dit wordt een beetje technisch maar is wel belangrijk. Zorg dat de basis op orde is door de systemen te patchen, hardenen, netwerken te segmenteren, gebruikers te authenticeren met tweestaps-verificatie, least privilege rechten toe te kennen, etc. Hierdoor wordt in ieder geval een minimale drempel opgeworpen. Laat de stand van zaken periodiek rapporteren en vraag om uitleg van die technische termen. Informeer er naar, ook als Burgemeester! In een eerder artikel beschreef ik 5 voorbeeldvragen die u als bestuurder aan uw CISO kunt stellen.
  • Zorg dat uw ketenpartners ook hun basis op orde hebben en controleer dit. Een virusuitbraak via het internet verspreid zich razendsnel. Met derde partijen die voor de gemeente persoonsgegevens verwerken moet sowieso een VerwerkersOvereenkomst afgesloten worden waar in de bijlage de technische maatregelen genoemd worden.
  • Zorg dat er risicoanalyses gedaan worden aan de voorkant van projecten en nieuwe initiatieven. Vraag naar de security paragraaf in de business case. Zeker als het gaat over datagedreven werken of smart city initiatieven. In dit artikel geef ik wat meer achtergrond omtrent die risico’s. Het borgen van beveiligingsmaatregelen By Design en By Default is een noodzakelijke mentaliteitsverandering op de werkvloer.

Er kan dus veel gedaan worden om het huis op orde te krijgen en bovenstaande lijstje is lang niet compleet en overigens is die lijst ook afhankelijk van het risicoprofiel van de gemeente. Van belang is dus jaarlijks de in- en externe infrastructuur te onderwerpen aan een penetratietest. Hierdoor krijgt u een actuele stand van zaken die aangeeft waar de zwakheden zich precies bevinden. Die zwakheden die door hackers worden uitgebuit.

Alle overheden moeten in 2020 ook voldoen aan de norm Baseline Informatiebeveiliging Overheden. Allemaal handvatten en hulpmiddelen die gebruikt kunnen worden om de risico’s in kaart te brengen en te mitigeren.

Een slimme meid is op de HACK voorbereid.

Maar ik wil het eigenlijk hebben over de cyber weerbaarheid. Een slimme meid is niet alleen voorbereid maar vooral ook weerbaar. Zoals al eerder gezegd is het een kwestie van tijd voordat u het asymmetrische spel even verliest en hackers uw digitale gemeentehuis hebben binnengedrongen. Bent u in staat dit tijdig te ontdekken, uw systemen te herstellen? Weet u eigenlijk wel welke systemen bedrijfskritisch zijn? Meer en meer organisaties verleggen de focus van het 100% buitenhouden van hackers naar het snel en continue herstellen na een hack. Een paar aandachtspunten:

  • Het tijdig signaleren van vreemde a-typische informatiestromen is cruciaal voor het beperken van de schade van een hack. Zoals gezegd is het gebruikelijk voor hackers om langere tijd onder de radar te blijven om informatie te vergaren voor het uur U. Toch laat iedere hacker sporen achter. Zorg dus voor systemen die deze afwijkende patronen herkennen en signaleren. Mocht u zelf niet in staat zijn dit te implementeren sluit dan aan bij GGI veilig en huur een half jaar een consultant in om het te implementeren. Laat uw CISO niet alleen de ENSIA vragenlijsten coordineren maar stuur ‘m/haar op een cursus ethical hacking. Digitale boeven vang je met een..
  • Oefen met regelmaat de crisis situatie met het gemeentelijke Computer Emergency Response Team (CERT) en niet pas als het te laat is. Heeft u er wel een? Doet het bestuur ook volenthousiast mee? De kracht van Special Forces en First Responders zoals de brandweer ligt met name in het eindeloos oefenen en simuleren van noodsituaties. Zorg dat ook uw crisisorganisatie getraind is en weet wat haar te doen staat als de poep richting ventilator vliegt, dat scheelt zomaar een paar krantenartikelen.
  • Het CERT gaat er mede voor zorgen dat de besmetting zich niet verder verspreid door het analyseren van het ricico, veiligstellen van sporen, het nemen van een aantal noodmaatregelen, het indammen van de malware, isoleren systemen, resetten wachtwoorden, het laten zakken van de digitale waterschotten, inlichten politie/IBD/AIVD/NCSC. Als het goed is, maakt dit onderdeel uit van het incident respons protocol. Toch?
  • Het hebben van een deugdelijk backup systeem wat niet ook mee besmet is geraakt is van cruciaal belang. Veel organisaties testen de backups nooit en weten dus helemaal niet of een systeem te restoren is. Soms is er een backup maar is de best bruikbare een jaar oud. Soms zijn ook alle backups besmet omdat ze niet off-line stonden. Controleer dus of backups te restoren zijn en laat dit deel uitmaken van de KPI’s van de IT afdeling.
  • Mocht een hele IT omgeving en de werkplekken zijn besmet of versleuteld dan is er een uitgebreid Business Continuïteits Plan noodzakelijk. Veel gemeentelijke infrastructuren zijn een mooie mix van cloud en on-site systemen. Veel systemen zijn onderling aan elkaar gekoppeld en het weer in de lucht helpen van die systemen dient in een bepaalde volgorde te gebeuren. Ook zijn bepaalde bedrijfsprocessen (burgerbalie, paspoortuitgifte, etc, etc) belangrijker dan andere processen en moet daar eerst alle energie naar uitgaan. Heeft u een integraal bedrijfscontinuïteits plan en is dat met regelmaat gesimuleerd?
  • Zorg dat u als gemeente continue in verbinding staat met de regio en de ketens waarin u acteert. Wissel onderling dreigingsinformatie uit en abonneer op de verschillende kwetsbaarheden update nieuwsbrieven. Doe dit wederom met de IBD, NCSC, de Veiligheidsregio, cybercrime unit Politie, de CISO’s uit de regio en die van ketenpartners, uw leveranciers, etc. Ook het delen van uw eigen hack informatie kan verdere verspreiding voorkomen.
  • Zorg voor het adequaat en tijdig informeren van de Autoriteit Persoonsgegevens en betrokkenen als er persoonsgegevens gelekt zijn.

Bovenstaande aandachtspunten zijn allerminst volledig of afdoende maar gebruik ze op zijn minst om de discussie aan te gaan en uw gemeente voor te bereiden op het worst-case-scenario, The Big Hack. Wacht ook niet tot de voorjaarsnota maar ga er in de eerste weken van Januari 2020 mee aan de slag.

De allerlaatste tip is misschien wel de belangrijkste. Ik noemde reeds het asymmetrische kenmerk van het kat en muis spel waarin hackers en organisaties zich bevinden. Je kunt beveiligen tot je een ons weegt maar winnen doe je het spel nooit. Dit leidt tot frustratie en burnout bij de mensen die het spel spelen en hier op afgerekend worden.

Zie informatiebeveiliging dan ook als een oneindig spel waarbij het continue leren op de eerste plaats staat en je zo lang mogelijk aan het spel blijft meedoen. Informatiebeveiliging is ook niet bedoeld voor het winnen op de korte termijn. Het is een lange termijn strategie met vallen en opstaan.

De aanhouder wint niet, de aanhouder blijft in het spel. Dat vergt een nieuwe mind-set in het college waarbij cyber security en cyber resilience een vast onderdeel moet gaan worden van de bestuurlijke agenda!

Ik wens u alvast een fijne jaarwisseling toe en een veilig 2020!

CC BY 3.0 NL, Dimitri van Zantvliet Rozemeijer

--

--

Dimitri van Zantvliet
Dimitri van Zantvliet

Written by Dimitri van Zantvliet

dad, husband, friend, explorer, cyber geek, wonderer..and CISO of Dutch Railways