Cyberaanval Lochem gaat de hele overheid aan

In zelden aangedurfde openheid deelt Lochem haar ervaringen met een indringer die vorig jaar maandenlang het computernetwerk onveilig maakte, en vooral de daaruit getrokken lering. Want, vindt Sebastiaan van 't Erve, de burgemeester van de Achterhoekse gemeente, aan beveiligingsbewustzijn bestaat bij bestuurders een gevaarlijk tekort. “Iedereen was betrokken, maar niemand verantwoordelijk.”

Beeld: Jelle Schaap

Lochem heeft met enkele tientallen organisaties een dataverbinding om daarmee digitaal te communiceren. Ook eentje met het ministerie van Justitie en Veiligheid. Toen bekend was geworden dat onbevoegden een halfjaar lang onopgemerkt op het gemeentelijk computernetwerk hadden gerommeld om een geraffineerde gijzelaanval op touw te zetten, informeerde het ministerie of het nog wel veilig online met Lochem kon communiceren.

Als burgemeester Sebastiaan van ’t Erve in een bijeenkomst over informatiebeveiliging bij de overheid vertelt dat het departement twee weken na het eerste bericht over de ransomware-aanval naar de veiligheid van de verbinding vroeg, veroorzaakt dat weleens schamper gelach. Justitie en Veiligheid, toch al niet best bekend staand qua ICT, laat er dus twee weken overheen gaan alvorens zich op de hoogte te stellen van een mogelijke bedreiging van zijn gegevensintegriteit.

Waar de lachers met hun primaire reactie lijken te demonstreren zelf over meer beveiligingsbewustzijn te beschikken, zetten zij zichzelf juist te kijk met een gebrek daaraan. Want veel ernstiger dan dat JenV daar veertien dagen voor nodig heeft, is dat die andere tientallen organisaties niet bij Lochem aan de bel trokken. Die hebben zich kennelijk niet afgevraagd welke impact de hack had voor de keten, waarvan zij met Lochem deel uitmaken.

Van ’t Erve, buiten burgemeester van de Achterhoekse gemeente sedert de cyberinfiltratie ook gedreven informatiebeveiligingsmissionaris, wil met de spiegel die hij zijn toehoorders voorhoudt, indringend illustreren dat het nog hevig ontbreekt aan bewustzijn over de kwetsbaarheid van de overheidsinformatie-infrastructuur. En daarmee over de risico’s voor het hele overheidsfunctioneren. Informatie is immers grondstof en product van zowat alle overheidshandelen.

Geen spelletje

Donderdag 6 juni 2019, tegen 22.00 uur. Lochems Chief Information Security Officer belt de burgemeester. Hij is zojuist gealarmeerd door het landelijke Team High Tech Crime van de politie: er is verdacht verkeer waargenomen rond het Lochemse ICT-netwerk. Dat is mogelijk gehackt. Of iemand THTC-cyberspecialisten op het gemeentehuis wil binnenlaten. Experts van het Nationaal Cyber Security Centrum (NCSC) zijn ook al onderweg.

Van ’t Erve belt De Winter Information Solutions. Dat bedrijf en hijzelf zijn betrokken bij de VNG cybergame 2.0, die eind oktober gelanceerd gaat worden om bestuurders er in vijf kwartier van te doordringen dat zij een taak hebben op beveiligingsvlak. Eerder die avond heeft hij over het spel telefonisch gesproken met consultant Brenno de Winter, die dat nu semirealistisch in praktijk lijkt te brengen. Denkt hij. Maar nee, hij kan het telefoontje van zijn CISO beter serieus nemen.

Specialisten van de landelijke organisaties doorvorsen een nacht lang de Lochemse systemen. Details van wat ze precies uitvoeren blijven onduidelijk, ze doen kennelijk hun eigen ding. Maar als ze vrijdagochtend vertrekken is helder: Lochem is gehackt.

“Toen begonnen de problemen pas echt”, zegt Van ’t Erve. Vastgesteld was dat door de aanval gegevens in de computers mogelijk onbetrouwbaar waren geworden, maar wat betekende dat concreet? Stond van verstrekte paspoorten de juiste houder geregistreerd? Waren bijstandsuitkeringen correct verstrekt, vergunningen rechtmatig afgegeven? Klopten wachtwoorden nog? Konden geplande huwelijken doorgaan? Geen onderdeel van het gemeentelijk opereren dat niet geraakt kon zijn. Je weet niet wat je niet weet. Detectie en mitigatie hadden nu de hoogste prioriteit: vaststellen wat er precies is gebeurd en welke schade dat heeft veroorzaakt (of nog kan veroorzaken), en deze herstellen (of voorkomen).
Lochem huurde daarvoor het bedrijf NFIR in (Nederlands Forensisch Incident Response). Ook de Informatiebeveiligingsdienst van de VNG (IBD) was betrokken. De Winter begeleidde het proces en zou in een ‘duidingsrapportage’ bevindingen en de reactie daarop toelichten en daaruit leerpunten destilleren.

Poort open

Vrijdag 14 december 2018 al was de indringer binnengekomen. Hoe, was niet meer met zekerheid vast te stellen. Mogelijk heeft een account met de gebruikersnaam-wachtwoord-combinatie ‘social’/’social’ daar een faciliterende rol in gespeeld. Accounts worden uitgegeven door de beheerder. Ook stond een RDP-poort open (Remote Desktop Protocol, voor externe toegang van bijvoorbeeld thuiswerkers), die niet open mocht staan. En back-ups waren onbetrouwbaar. Je zou denken dat de ICT-afdeling dan het een en ander heeft uit te leggen, ook over het maandenlang niet signaleren van een indringer. Maar volgens Van ’t Erve verandert de situatie niet door een ‘schuldige’ aan te wijzen. Hij vindt leren van de gebeurtenissen belangrijker.

Iedereen was betrokken, maar niemand verantwoordelijk

Daarbij komt dat het ontstaan van het social/social-account niet met volledige zekerheid viel te traceren, net zo min als hoe de RDP-poort geopend kon zijn. En dat de indringer maar af en toe actief was en dan slechts kleine stapjes zette in een ‘Advanced Persistent Threat’. De Winter wijst op de technisch hoge kwaliteit van deze APT en zegt: “Als je met vier man op de ICT-afdeling tientallen systemen draaiende moet zien te houden, ga je collega’s niet belasten door zelf op cursus te gaan.” In zijn rapportage (‘Door het oog van de naald’) stelt hij wel dat betere preventie en detectie nodig zijn, maar hij rekent het tekortschieten daarvan de kleine ICT-afdeling niet aan. Hij koppelt er wel de aanbeveling aan om de slagkracht te vergroten door samenwerking met andere gemeenten, waarvan er veel volgens hem evenmin tegen een APT opgewassen zijn.

Golden ticket

In bezoekjes met een frequentie van eens per week of nog minder werkte de indringer geleidelijk toe naar gijzeling van Lochem. Als de gemeente geen computers meer kon gebruiken omdat alle gegevens versleuteld waren, zou het totale lokale-overheidsfunctioneren stilvallen. Begin juni 2019 koerste de indringer daar met verhoogde snelheid op aan. De forensische experts zagen dat een bestand met persoonsgegevens van ambtenaren en raadsleden was gekopieerd, mogelijk mét wachtwoorden, ransomware (gijzelsoftware) was geïnstalleerd, zij het nog niet volledig geactiveerd, en ook al ransomnotes (losgeldbrieven) waren achtergelaten. In het profiel van gebruiker ‘social’ was al iets versleuteld. Het kwam nu aan op snel handelen.

Het was dinsdag 11 juni – een dag na het Pinksterweekend waarin continu was doorgewerkt – dat Van ’t Erve met zijn crisisteam concludeerde dat ‘het lek boven’ was. Maar uit een daaropvolgende bijeenkomst met de fractievoorzitters in de raad, die ’s avonds zou vergaderen, werd hij door de gemeentesecretaris weggeroepen. De vraag of viel uit te sluiten dat de indringer over een ‘golden ticket’ beschikt (dat toegang verschaft tot de totale infrastructuur) moest negatief worden beantwoord.

De volgende dag kon de Lochemer zijn paspoort niet verlengen of wat dan ook van de gemeente gedaan krijgen waar deze een computer bij nodig had. Na de raadsvergadering, nog via livestream te volgen, werd de hele digitale informatievoorziening uitgezet en de dagen daarna geleidelijk weer opgebouwd: alle programmatuur opnieuw installeren en inrichten, en alle data, gecontroleerd op correctheid en volledigheid, terugzetten. Een gigantische klus, aldus Van ’t Erve, die slechts stapsgewijze hervatting van het computergebruik toeliet. Voor het sein ‘alles hersteld en weer veilig’ waren enkele weken nodig.

Politieonderzoek

Vlak voordat de indringer meer gemeentedata versleutelde en losgeld ging eisen, in vergelijkbare gevallen meestal circa een half miljoen euro, kon hij van het netwerk worden verwijderd. Niet vastgesteld is dat hij aan andere dan genoemde gegevens heeft gezeten. Van ’t Erve en De Winter mogen geen opsporingsinformatie verstrekken en ook het cybercrimeteam van de politie zegt niets over het ingestelde strafrechtelijk onderzoek. Duidelijk is wel dat het politieteam het verdachte verkeer rond Lochem signaleerde in het kader van een lopend opsporingsonderzoek. Een eind vorig jaar door NOS Nieuws onthuld NCSC-rapport maakt melding van geavanceerde gijzelacties bij wereldwijd 1800 organisaties, waaronder ook Nederlandse.

Tot de Lochemse hersteloperatie behoorde een penetratietest, die 64 bevindingen opleverde. Samen met aanbevelingen uit rapportages had de gemeente 114 kwetsbaarheden weg te werken. Volgens de burgemeester is inmiddels 60 procent gedaan en de rest gepland. Complicerende factor is dat Lochem soms afhankelijk is van anderen of hoge kosten zou moeten maken. Tweefactorauthenticatie (wachtwoord/sms-code) maakt hacks zo goed als onmogelijk, maar onmiddellijke invoering nu zou kapitaalvernietiging impliceren omdat Lochem straks via het programma GGI-Veilig van VNG Realisatie de beschikking krijgt over zo’n beter beveiligde netwerktoegang.

Ingewikkelder ligt het met issues waarop de gemeente geen invloed heeft, omdat ze gesitueerd zijn in aangekochte systeemcomponenten of onlinediensten. Je weet niet welke kwetsbaarheden erin zitten. Leveranciers zouden daarover transparanter moeten zijn, vindt De Winter, al ziet hij ook verantwoordelijkheid aan klantkant. “Gemeenten moeten er zelf naar vragen. Leveranciersmanagement is nog niet zo sterk ontwikkeld.”

Citirx-crisis

Lochem stuitte in januari van dit jaar indringend op zulke leveranciersafhankelijkheid. De afdeling Financiën kon ineens niet meer werken omdat Centric de toegang tot de cloud had afgesloten waarin de administratie draait. Lochem zelf had er dan wel voor gezorgd geen Citrix te gebruiken voor systeemtoegang van afstand, dat bleek niet te gelden voor Centric. Zo werd de gemeente indirect slachtoffer van de wereldwijde Citrix-crisis, die voor NCSC en AIVD aanleiding was het gebruik van die toegangssoftware te ontraden.

Lochem, dat de cloudtoegang snel terugkreeg via een ‘workaround’, is de enige gemeente die met die perikelen in de publiciteit kwam. Zou Centric niet veel meer cloudklanten hebben die duimen moesten draaien? Nu lacht Van ’t Erve een beetje schamper. Dat andere gedupeerden zich stilhouden ziet hij als teken dat het onderwerp gemeentelijke gemoederen meer zou moeten bezighouden.

En niet alleen gemeentelijke gemoederen, zie de keteninformatisering tussen verschillende bestuurslagen. Op landelijk niveau signaleert hij een achterstand ten opzichte van calamiteiten in de fysieke wereld. Voor dijkdoorbraken en gif-emissies liggen draaiboeken klaar, is coördinatie minutieus geregeld en kent ieder zijn taak; een situatie die bij ICT-rampen node wordt gemist. Dat geldt eveneens voor financiële bijstand van getroffen organisaties. Lochem gaf anderhalve ton uit aan ingehuurde forensische en herstelondersteuning. Met veel moeite wist Van ’t Erve in Den Haag 30.000 euro vergoeding los te praten. “Iedereen was betrokken, maar niemand verantwoordelijk.”

Bij VNG’s Informatiebeveiligingsdienst loopt al enige tijd het programma ‘Verhogen Digitale Weerbaarheid’. Een vraag daarover brengt de burgemeester weer bij de bestuurlijke verantwoordelijkheid. Want dat programma richt zich volgens hem op de verkeerde doelgroep. “ICT’ers hoef je niet te overtuigen. Het gaat primair om bestuurders. Die moeten hun verantwoordelijkheid nemen.” En om nog eens te onderstrepen dat informatiebeveiliging permanent de hoogste alertheid vereist: “Je kunt duizend gaatjes dichten, maar een kwaadwillende heeft er maar één nodig.”

Dit artikel staat ook in iBestuur magazine 34

  • kriebels | 8 november 2021, 09:48

    Het zou mooi zijn als de VNGIBD hier iets van had WILLEN leren.
    Maar men blijft aan struisvogelpolitiek doen, omdat het IFV en NCSC adviezen blijft geven waarvan bekend is dat het niet werkt.
    Daarbij zijn er velen fincanciele belangenverstrengelingen in het spel.
    Zo is het bijzonder vreemd dat Brenno betrokken is als “adviseur”, een journalist die zijn eigen systemen tot op heden niet eens heeft kunnen beveiligen, maar zichzelf wel aan tafel heeft weten te kletsen onder de titel ‘specialist’.

    De cyber oefeningen van VNG ism IFV en bevriende ‘advies’ BV’tjes, zijn een aanfluiting!
    Zo word er geadviseerd aan burgemeesters en CISO’s om vooral Niet te reageren op responsible disclosure meldingen, want ook zo’n melding zou wel eens een slim aanvals trucje kunnen zijn steld men. Hoe verknipt kan men redeneren?

    Er is ongeveer 2 jaar voor die aanval meermaals aan de gemeente Lochem en VNGIBD gemeld dat er erg veel mis is met de beveiliging. Maar men was van mening dat alles prima op orde was omdat de VNGIBD en CISO dat zouden vinden van hun eigen werk.

    Maanden nadat het gemeente bestuur i.s.m. VNGIBD weer groen licht gaf via de media, met de melding dat alles nu dan wel echt op orde zou zijn.
    Zijn er nog RDP meldingen binnen gekomen bij de gemeente, …en ook die zijn weer genegeerd door de eindverantwoordelijken. [buiten automatische leesbevestiging van de burgemeester, vanuit de te kwetsbare interne Micro$oft exchange server]

    Tot op heden zijn er daardoor vele [zeer eenvoudig te voorkomen] tekortkomingen/gaten publiek zichtbaar, waar kwaadwillenden dan ook nog steeds gebruik van blijken te maken zonder dat dat opgemerkt kan worden door de ivoren toren prestige project specialisten van VNGIBD, NCSC/NCTV, AIVD, Politie HTCT, enz.

    De situatie bij alle gemeenten en daarmee ook de veiligheidsregio’s, is tot op heden bijzonder treurig gesteld. Omdat men in de eigen ivoren toren bubbel blijft zitten. Een bubbel die ontstaan is door de keuze van de overheid om commercie en prestige projecten een vele malen hogere prio te geven dan gezond verstand en integeriteit. Waardoor CISO’s niets anders meer mogen doen met dat mooi weer spelletje mee spelen, tegen beter weten in.

    Kern van het probleem zit in het feit dat het ‘cyber-security probleem’ op zichzelf te lucratief is geworden!
    Zo lucratief dat men “het probleem” liever niet gewoon zeer eenvoudig WIL verhelpen door de alg bekende Basis Regels daadwerkelijk volledig te gaan handhaven. Want dan zet met die gans met de gouden eieren buiten de deur. De VoC mentaliteit :(

    Journalist: “Moet de overheid niet voor de veiligste oplossing kiezen en vervolgens rest-risico’s beperken?
    VNG: “De veiligste oplossing is niet het doel. Het gaat erom dat je de risico’s onderkent en dan zoveel maatregelen neemt dat die risico’s acceptabel worden.”
    >> De VNGIBD security adviseurs vinden dat blijkbaar geen symptoombestrijding?
    Bron: http://www.trouw.nl/economie/de”:http://www.trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor-veilige~ba71a0b3

    =====================
    “Waar de lachers met hun primaire reactie lijken te demonstreren zelf over meer beveiligingsbewustzijn te beschikken, zetten zij zichzelf juist te kijk met een gebrek daaraan. “

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren