Detectiemaatregelen en multi-factor authenticatie kunnen een hoop ellende voorkomen, maar ‘bestuurlijk en politiek gezien zijn dit operationele details voor de bedrijfsvoering’, constateert de Informatiebeveiligingsdienst (IBD). ‘Het is echter de vraag hoe politici en bestuurders hier grip op kunnen hebben en houden.’
Bij de hack in Buren hadden criminelen ransomware geïnstalleerd, met software werden bestanden gegijzeld en de gemeente werd afgeperst. | beeld: Shutterstock
De lessen van de IBD komen onder meer voort uit de conclusies van het onderzoek dat de gemeente Buren eerder deelde met alle gemeenten in Nederland. Uit het onderzoek van Hunt & Hackett (juni 2022) bleek dat criminelen zich toegang verschaften tot de ICT-omgeving van de gemeente met inloggegevens van een leverancier. Omdat 2-factorauthenticatie ontbrak, zelfs bij de accounts met verhoogde rechten en de VPN-accounts, stond de deur wijd open. En omdat er intern geen proces was ingericht om adequaat om te gaan met meldingen uit detectiemechanismen, zoals antivirus, was het mogelijk voor de aanvaller om ongemerkt door het netwerk te bewegen en grote hoeveelheden informatie van de organisatie te stelen. De buitgemaakte gegevens werden uiteindelijk ook gepubliceerd.
Hoger beveiligingsniveau
Met een hoger beveiligingsniveau was de aanval aanzienlijk moeilijker geweest om succesvol uit te voeren, concludeert het onderzoeksbureau. Multi-factor authenticatie en wachtwoordcomplexiteit zijn hierbij van essentieel belang. Echter, de ervaring leert ook dat aanvallers bijna altijd wel een point-of-entry vinden waarmee ze toegang tot een ICT-omgeving krijgen. Dan komt het aan op de mate waarin een organisatie in staat is om de aanval vroegtijdig te detecteren.
Ketenkwetsbaarheid
Een andere belangrijke conclusie uit het Dreigingsbeeld van de IBD is de toenemende ketenkwetsbaarheid. Bij de hack van Buren maakten de hackers gebruik van de inloggegevens van de leverancier. Een van de lessen is daar niet alleen afspraken maken met leveranciers over de beveiliging, maar die afspraken ook controleren. ‘De gemeente kan nog zo veilig zijn, maar de keten is zo sterk als de zwakste schakel.’
Veel en transparant communiceren
‘Zoals bij alle grote incidenten is (crisis)communicatie een belangrijke component van de incidentrespons.,’ schrijft de IBD. Er is bij een informatiebeveiligingsincident geen zichtbare component, zoals bij een fysiek incident, en het is een technisch en complex onderwerp. Veel en transparant communiceren is daarom belangrijk, niet alleen richting de inwoners, maar ook richting ondernemers, medewerkers, ketenpartners en de gemeenteraad. ‘Door snel, veel en transparant te communiceren straalde de gemeente Buren daadkracht en betrokkenheid uit.’
Maak een pas op de plaats. Er wordt nog altijd vanuit een panoptistisch, controle/management, top down model gedacht, met bestuurders verantwoordelijk voor de eigen informatiehuishouding, draaiend op een notie van infrastructuur, bestaande uit applicaties die bedoeld zijn voor mensen, waarin iemand content zit die beschermd moet worden door eens per jaar een check-in-a-box te zetten. Nu de echte wereld: de data staan overal, draaiend op virtuele machines, steeds meer bedoeld voor een holoptistische real time consumptie door machines over organisatiegrenzen heen onder per milliseconde muterende AI gestuurde dreigingsprofielen, te beschermen door een paar overwerkte mensen. Waarom niet een Staatsbrede real time monitoring en auditing aanpak? Van applicatie en contentcentrisch people-based processes naar data- en context centrische real time processing? Die middelen kosten een fractie van een paar jaarsalarissen, draaien lachend petabytes real time risico analyse tegen elk mogelijk model (MITRE etc). Voor een abonnement per maand. Geef elke bestuurder vanuit de eigen stovepipe daar nu eens een gewaarmerkt inzicht in, maar neem dan ook meteen de accountant, portfoliohouder en inkoper mee. Dit is de 21ste eeuw!