Terugblik: NCSC in actie bij gijzelsoftware aanval veiligheidsregio Noord- en Oost-Gelderland

Het komt zelden voor dat het NCSC vertelt over zijn betrokkenheid bij een specifiek incident. Bij hoge uitzondering en met toestemming van de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) kunnen we ditmaal wel een kijkje geven in onze incident response.

De VNOG heeft het Instituut Fysieke Veiligheid (IFV) gevraagd onderzoek te doen naar de crisisaanpak van het incident. Dit onderzoek en daarbij behorende rapportage, en deze blog, geven geen inzicht in forensische informatie, mogelijke kwetsbaarheden of attributie. Het is bedoeld om van het incident te leren en andere organisaties te informeren over wat er destijds gebeurde en mogelijk in de toekomst kan gebeuren.

De Waakdienst

In de nacht van zaterdag 12 september 2020 wordt de waakdienst van het NCSC gebeld door de veiligheidsregio Noord- en Oost Gelderland (VNOG). Zij melden een incident en vragen om hulp. De waakdienstmedewerker beoordeelt de situatie en schakelt direct met de coördinator en technisch specialist van dienst. In gezamenlijk overleg wordt de strategie bepaald.

Op basis van de impact van het incident en taken van deze organisatie wordt al snel besloten om in te gaan op het hulpverzoek. De VNOG stuurt de brandweer aan. De veiligheidsregio coördineert bij grote incidenten, zo hebben ze een grote rol bij de aanpak van COVID-19 in de regio. Daarom is op dat moment het crisisteam van corona opgeschaald (GRIP 4), waarin meerdere ketenpartners verenigend zijn, zoals GGD GHOR en politie. Hoewel de primaire taak van het NCSC is om de Rijksoverheid en vitale aanbieders te adviseren en ondersteunen bij digitale dreigingen en incidenten m.b.t. hun netwerk- en informatiesystemen (Wbni, art. 3), kan het NCSC op grond van een vrijwillige melding ook andere organisaties, zoals de VNOG, ondersteunen (Wbni, art. 16). Vanwege de mogelijke ernst van de situatie heeft het NCSC besloten een aantal incident respons experts naar VNOG te sturen. Deze medewerkers worden zaterdagnacht nog geïnformeerd over de situatie en verzocht om de volgende ochtend op locatie te zijn.

Op locatie

Bij aankomst op locatie kregen de NCSC-ers een goed beeld van de situatie. Het NCSC adviseert om extra incident response capaciteit aan te trekken, waarna de VNOG besluit om Fox-IT in te schakelen. Er is onderling een taakverdeling gemaakt, waarbij het NCSC zich vooral richt op het assisteren bij de coördinatie en herstel en Fox-IT op het forensische deel.

Vervolgens kregen de technische experts een eigen ruimte waar een schone omgeving, die afgesloten was van het kantoornetwerk, opgezet kon worden voor de laptops en werkstations. Om deze omgeving ook echt geïsoleerd te houden waren soms wat creatieve oplossingen nodig, zoals het leggen van lange kabels naar een ander deel van het pand waar zich de serverruimte bevond.

Inperking verdere schade

Om te beginnen was het belangrijk om verdere schade te beperken en de mogelijke toegang van de aanvallers af te snijden, zoals verbindingen naar het internet, andere vestigingen en interne verbindingen. Daarbij werden ook systemen geïsoleerd die nog niet geraakt waren door de gijzelsoftware en voorkomen dat schone systemen verbinding konden maken met het geïnfecteerde netwerk. Voor lokale systemen kun je vrij simpel de stekker eruit trekken, maar voor SAAS en/of cloud gebaseerde diensten die rechtstreeks gebruik maken van bijvoorbeeld Active Directory is dat een stuk lastiger.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Het NIST CyberSecurity Framework als kans?
Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.
Waar gaat de Wet digitale overheid over?
Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?
Beleid voor informatiebeveiliging in bredere context
Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Meer recente berichten

Uitfasering uitgifte publiek vertrouwde webcertificaten PKIoverheid
Verder lezen
Ollongren: Gemeenten onvoldoende bewust van AVG
Verder lezen
Gepubliceerd: Werkdocument Audit Wet politiegegevens voor gemeenten
Verder lezen
Cyberaanvallen kunnen leiden tot een grote ramp
Verder lezen
Dit is wat er met je privégegevens kan gebeuren na een datalek
Verder lezen
Joost de Jong, wethouder Eindhoven: Security is kerntaak
Verder lezen
Investeer in cybersecurity, niet eenmalig maar blijvend
Verder lezen
Zorgverzekeraar CZ verandert werkwijze na onderzoek privacy-autoriteit
Verder lezen
Handreiking Wgs in samenwerking met de AP
Verder lezen
Audio blog: De succesfactoren voor een goede implementatie van informatiebeveiliging
Verder lezen