Terugblik: NCSC in actie bij gijzelsoftware aanval veiligheidsregio Noord- en Oost-Gelderland

Het komt zelden voor dat het NCSC vertelt over zijn betrokkenheid bij een specifiek incident. Bij hoge uitzondering en met toestemming van de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) kunnen we ditmaal wel een kijkje geven in onze incident response.

De VNOG heeft het Instituut Fysieke Veiligheid (IFV) gevraagd onderzoek te doen naar de crisisaanpak van het incident. Dit onderzoek en daarbij behorende rapportage, en deze blog, geven geen inzicht in forensische informatie, mogelijke kwetsbaarheden of attributie. Het is bedoeld om van het incident te leren en andere organisaties te informeren over wat er destijds gebeurde en mogelijk in de toekomst kan gebeuren.

De Waakdienst

In de nacht van zaterdag 12 september 2020 wordt de waakdienst van het NCSC gebeld door de veiligheidsregio Noord- en Oost Gelderland (VNOG). Zij melden een incident en vragen om hulp. De waakdienstmedewerker beoordeelt de situatie en schakelt direct met de coördinator en technisch specialist van dienst. In gezamenlijk overleg wordt de strategie bepaald.

Op basis van de impact van het incident en taken van deze organisatie wordt al snel besloten om in te gaan op het hulpverzoek. De VNOG stuurt de brandweer aan. De veiligheidsregio coördineert bij grote incidenten, zo hebben ze een grote rol bij de aanpak van COVID-19 in de regio. Daarom is op dat moment het crisisteam van corona opgeschaald (GRIP 4), waarin meerdere ketenpartners verenigend zijn, zoals GGD GHOR en politie. Hoewel de primaire taak van het NCSC is om de Rijksoverheid en vitale aanbieders te adviseren en ondersteunen bij digitale dreigingen en incidenten m.b.t. hun netwerk- en informatiesystemen (Wbni, art. 3), kan het NCSC op grond van een vrijwillige melding ook andere organisaties, zoals de VNOG, ondersteunen (Wbni, art. 16). Vanwege de mogelijke ernst van de situatie heeft het NCSC besloten een aantal incident respons experts naar VNOG te sturen. Deze medewerkers worden zaterdagnacht nog geïnformeerd over de situatie en verzocht om de volgende ochtend op locatie te zijn.

Op locatie

Bij aankomst op locatie kregen de NCSC-ers een goed beeld van de situatie. Het NCSC adviseert om extra incident response capaciteit aan te trekken, waarna de VNOG besluit om Fox-IT in te schakelen. Er is onderling een taakverdeling gemaakt, waarbij het NCSC zich vooral richt op het assisteren bij de coördinatie en herstel en Fox-IT op het forensische deel.

Vervolgens kregen de technische experts een eigen ruimte waar een schone omgeving, die afgesloten was van het kantoornetwerk, opgezet kon worden voor de laptops en werkstations. Om deze omgeving ook echt geïsoleerd te houden waren soms wat creatieve oplossingen nodig, zoals het leggen van lange kabels naar een ander deel van het pand waar zich de serverruimte bevond.

Inperking verdere schade

Om te beginnen was het belangrijk om verdere schade te beperken en de mogelijke toegang van de aanvallers af te snijden, zoals verbindingen naar het internet, andere vestigingen en interne verbindingen. Daarbij werden ook systemen geïsoleerd die nog niet geraakt waren door de gijzelsoftware en voorkomen dat schone systemen verbinding konden maken met het geïnfecteerde netwerk. Voor lokale systemen kun je vrij simpel de stekker eruit trekken, maar voor SAAS en/of cloud gebaseerde diensten die rechtstreeks gebruik maken van bijvoorbeeld Active Directory is dat een stuk lastiger.

Verder lezen bij de bron
IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Wat kunnen we leren van gemeente Amersfoort?
Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?
Privacy: prioriteit of moetje?
Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe doe je dat?
Met de BIO bezig blijven: hoe lang?
De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Meer recente berichten

Belangen afwegen in de AVG
Verder lezen
Weerbare Digitale Overheid
Verder lezen
Kosten en kansen van ICT in de publieke sector
Verder lezen
Datalekken kosten financieel dienstverleners steeds meer geld
Verder lezen
Hoe ziet de toekomst eruit voor enterprise-encryptie?
Verder lezen
Europees modelcontract data-privacy krijgt update
Verder lezen
Minder privacyklachten en datalekken in 2020
Verder lezen
Nieuwe rol Agentschap Telecom in digitale veiligheid
Verder lezen
Beveiligen kritieke infra moet op identiteitsniveau
Verder lezen
Handreiking voor archiveren van algoritmes gepubliceerd
Verder lezen