Van der Burg: leren van hack Epe
Staatssecretaris Van der Burg (BZK, VVD) betreurt de gevolgen van het datalek in Epe, waarbij persoonsgegevens van vrijwel alle inwoners op straat kwamen te liggen, schrijft hij in de Kabinetsreactie. Hij prijst de gemeente voor het openbaar publiceren van het evaluatierapport.
Het datalek in Epe ontstond nadat er op 10 maart 2026 via een zogeheten ClickFix-methode vond een cyberaanval plaatsvond. Een ClickFix-methode houdt in dat medewerkers door misleidende berichten of instructies worden aangezet om handelingen uit te voeren die de beveiliging omzeilen. Het account van de gemeentemedewerker was beveiligd met multifactorauthenticatie (MFA), maar dat helpt niet als de medewerker zelf (zonder het te weten) schadelijke code uitvoert op zijn eigen werkplek.
Eenmaal binnen gingen de aanvallers op zoek naar andere ingelogde gebruikers, is te lezen in het evaluatierapport (onder: documenten). Het lukte om een wachtwoord van een ingelogde beheerder te kraken, waarmee ze een toegangsticket tot het systeem in handen hadden. Ook dit account had wel MFA. De aanvallers kregen ook nog toegang tot een noodaccount met ruime toegangsrechten, zonder MFA. Zo’n noodaccount is eigenlijk bedoeld als achterdeur als normale toegang niet mogelijk is.
De hackers kregen toegang tot een bestandsserver op het gemeentelijke netwerk. Eenmaal binnen kopieerden ze ongeveer 871 GB aan data, ruim 550.000 bestanden, naar externe cloudopslag. Twee dagen na de aanval ontdekte de gemeente de inbraak en werd toegang tot systemen geblokkeerd.
Grootschalig datalek
Er zijn geen aanwijzingen zijn dat kernsystemen, zoals belasting- en vergunningensystemen, zijn geraakt, zo blijkt uit het forensisch onderzoek. Wel werden vrijwel alle inwoners van Epe getroffen door het datalek. Van hen zijn basisgegevens zoals naam, adres, woonplaats, geboortedatum, geboorteplaats en het BSN gestolen door de inbrekers. In sommige gevallen hebben zij daarnaast ook contactgegevens, bankrekeningnummers en/ of kopieën van identiteitsbewijzen in handen.
De staatssecretaris benadrukt in de Kabinetsreactie dat het aan de gemeente zelf is om te onderzoeken wat er is gebeurd, zich te verantwoorden tegenover de gemeenteraad en maatregelen te nemen om herhaling in de toekomst te voorkomen. Hij onderschrijft ‘van harte’ de oproep van Epe aan de inwoners op alert te zijn op mogelijk misbruik van hun gegevens.
De staatssecretaris onderschrijft ‘van harte’ de oproep van Epe aan de inwoners op alert te zijn op mogelijk misbruik van hun gegevens.
Geleerde lessen
De uitkomsten van het forensisch onderzoek, en de zogeheten indicators of compromise (tekenen van inbraak), zijn gedeeld met de Informatiebeveiligingsdienst voor gemeenten (IBD) en via hen met het Nationaal Cyber Security Centrum (NCSC). In het evaluatierapport deelt de gemeente geleerde lessen. De conclusie is onder meer dat technische maatregelen zoals MFA niet voldoende zijn. De hack vond plaats door social engineering, het verleiden van mensen om ergens op te klikken of een wachtwoord af te geven. Het is dus belangrijk dat ambtenaren leren om verdachte situaties te herkennen en te melden. Het beheerderswachtwoord kon worden gekraakt en was dus niet veilig genoeg. Het noodaccount was bovendien onvoldoende aanvullend beveiligd.
De impact van een cyberaanval hangt vaak af van een combinatie van technische, organisatorische en menselijke factoren, schrijft ook Van der Burg. ‘Dit onderstreept het belang van een integrale aanpak van digitale weerbaarheid, waarbij niet alleen wordt geïnvesteerd in technische beveiligingsmaatregelen maar ook in bewustwording, opleiding, monitoring en het regelmatig oefenen van incidentrespons’. Hij spoort overheden aan om onderling gebruik te maken van elkaars kennis, expertise en ervaring, onder andere door aansluiting te zoeken bij het Centrum voor Informatiebeveiliging en Privacybescherming (CIP).
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.