Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

Wat is er zoal gebeurd?

Ook het afgelopen jaar waren de risico’s rond de informatievoorziening van gemeenten weer op verschillende manieren zichtbaar en tastbaar. Zo werd de gemeente Buren op 1 april getroffen door een ransomware-aanval. Bij de hack zijn gegevens van de gemeente gestolen. Vervolgens is een grote hoeveelheid privacygevoelige data gepubliceerd op het darkweb. Ook waren er andere incidenten bij gemeenten:

• Zo was de website Stadspas Apeldoorn offline na een datalek. Een ethische hacker klopte bij de gemeente aan dat hij de gebruikersnamen en wachtwoorden van 4.600 mensen kon bekijken.
• De gemeente Zutphen heeft met een datalek te maken gekregen nadat er bij migratie van digitale documenten van een oud naar een nieuw systeem bestanden zijn vernietigd.
• Bij gemeente Horst aan de Maas waren weggelakte gegevens uit documenten toch gewoon te lezen. Een actiegroep heeft melding gemaakt van dit datalek bij de gemeente.
• Ook was er een datalek bij gemeente Leeuwarden. Hier konden subsidieaanvragers van TOZO elkaars gegevens inzien. De TOZO werd opgezet om ondernemers in de coronatijd te helpen.
• En een onbekend aantal inwoners van Voorschoten en Wassenaar heeft verkeerde uitkeringsspecificaties ontvangen waardoor privacygevoelige informatie op straat kwam te liggen.

Een informatiebeveiligingsincident kan grote impact hebben op de organisatie en zeer grote gevolgen hebben voor de bedrijfsvoering en dienstverlening van de gemeente (o.a. imago- of financiële schade). Ook kan het zorgen voor ontwrichting van alledaagse processen, zoals doorstroming van het verkeer, regulering van de waterstand of de toegangsverlening tot gebouwen. Daarnaast kan het grote gevolgen hebben voor getroffen burgers, zoals identiteitsfraude in het geval persoonsgegevens zijn gelekt en in verkeerde handen komen. Kortom, voorkomen is beter dan genezen.

Dreiging neemt toe

De gemeentelijke informatievoorziening is kwetsbaar en de digitale dreiging op het niveau van de organisatie is voor gemeenten de afgelopen jaren spectaculair groter geworden, zo schrijft de Informatiebeveiligingsdienst voor gemeenten (IBD). Ook de NOS heeft hierover bericht en schreef o.a. dat het aantal cyberaanvallen op gemeenten het afgelopen jaar is verdubbeld. Vorig jaar zaten we op 150 incidenten, nu op 300. Gemeenten zijn dus kwetsbaar. Het aantal incidenten neemt toe en het wordt steeds complexer om ze het hoofd te bieden. Ook is de impact is steeds ernstiger. Zo aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren. Het is dus niet meer de vraag óf je te maken krijgt met een cyberincident, maar wanneer.

Oorzaken?

De oorzaak van deze toename heeft te maken met het feit dat cybercriminelen steeds meer geavanceerde en geautomatiseerde mogelijkheden hebben om systemen aan te vallen en wachtwoorden te ‘raden’. Er zitten namelijk altijd kwetsbaarheden in soft- en hardware die uitgebuit kunnen worden, waarbij cybercriminelen altijd kiezen voor de makkelijkste weg. Ook een aantal veelgemaakte fouten maakt het voor cybercriminelen mogelijk om binnen te dringen in de IT-systemen van organisaties. Deze fouten worden bij aanvallen misbruikt of maken aanvallen juist mogelijk. Daarnaast kunnen ook leveranciersportalen een ingang zijn tot gemeentelijke data. Kijk maar naar de hack bij gemeente Buren, waarbij hackers toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat multifactorauthenticatie (MFA) op dit account ontbrak, was het mogelijke voor de hackers om binnen te komen in de ICT-omgeving van de gemeente.

Het is dus belangrijk dat je afspraken maakt met leveranciers over te nemen beveiligingsmaatregelen in een Service Level Agreement (SLA), verwerkingsovereenkomst of raamovereenkomst en hier ook controle op houdt.

Continu proces

Informatiebeveiliging en privacybescherming is een continu proces en iets van de lange adem. Iedere stap is er één. Het moet een standaard onderdeel zijn van het ‘gewone’ bedrijfsproces. Zo nam gemeente Haarlem de nodige maatregelen tegen cyberaanvallen na een eerdere hack. Hierdoor kan zij nu veel sneller en adequater reageren op incidenten. Een cruciaal onderdeel hierbij is dat iedere medewerker een incident herkent, weet wat hij/zij moet doen in het geval van een incident en bij wie ze moeten zijn (herkennen, erkennen en reageren). Zorg dus voor bewustwording: iedere medewerker moet zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en privacy. Zo is phising tegenwoordig (bijna) niet meer van echt te onderscheiden en wordt het vaak gekoppeld aan social engineering. Hierbij maken cybercriminelen misbruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen en onwetendheid. Zorg dus dat al je medewerkers weten wat ze moeten doen als ze op een verkeerde link hebben geklikt: dus niet wegklikken, maar melding maken middels een duidelijke meldprocedure. Bewuste medewerkers veroorzaken minder incidenten en kunnen sneller risico’s signaleren en hierdoor kunnen incidenten worden voorkomen.

Wat kan je zelf doen?

Volgens de IBD is de situatie ernstig en vraagt het om actie. Hieronder daarom een aantal tips die je morgen al kan oppakken.

1. Maak het hackers moeilijk

Dwing op de kortst mogelijke termijn multifactorauthenticatie (MFA) af op beheeraccounts (zowel intern als extern), e-mail, kantoorautomatisering en cloudapplicaties. Zorg dat er geen open-deurtjes zijn! Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is heel eenvoudig; je stuurt een paar phishing-e-mails met een link naar een neppe inlogpagina en als je er genoeg hebt verstuurd is er altijd wel iemand die hapt. Als je eenmaal een wachtwoord gestolen hebt, kan je op een netwerk binnendringen en heel veel narigheid aanrichten zonder dat het wordt opgemerkt. Door het afdwingen van MFA wordt dit lastiger. Als een aanvaller dan toch inloggegevens in handen krijgt, dan moet er voor een geslaagde aanval nog een extra stap worden gezet. Namelijk het verkrijgen van de aparte beveiligingscode die toegestuurd wordt aan gebruikers, of het invoeren van een fysieke beveiligingssleutel om toegang te krijgen tot het account.

2. Maak duidelijke afspraken

Maak met leveranciers duidelijke afspraken over beschikbaarheid en wat te doen bij calamiteiten in het Service Level Agreement (SLA) en hou ze er ook aan (bijvoorbeeld via een jaarlijkse evaluatie BIO 15.2.1.1). Het is daarbij belangrijk dat je weet welke taken de organisatie moet uitvoeren en welke taken er bij de leverancier liggen.

3. Tijdig signaleren is key

Een incident is nooit helemaal te voorkomen, 100% veilig bestaat immers niet. Daarom is het belangrijk dat je als gemeente voorbereid bent als zich toch een incident voordoet. Zo kan je met goede voorbereiding snel reageren op incidenten en de schade zoveel als mogelijk beperken. Dit doe je door het proces van incidentmanagement in te richten, te oefenen en regelmatig te actualiseren. Want, een goede voorbereiding is het halve werk. Zorg dus voor goede draaiboeken en oefen regelmatig een informatiebeveiligingsincident. Ook met je medewerkers. Leg uit wat een goede reactie is en waarom. Hierbij is het belangrijk dat mensen die een mogelijk incident melden ook terugkoppeling krijgen wat er mee gedaan is en of het uiteindelijk een incident was. Doet zich toch een incident voor? Handel dan snel en informeer ook altijd de IBD. Tot slot is het belangrijk elk incident te registreren. Hierdoor kan in de toekomst eenzelfde soort incident sneller verholpen worden.

4. Maak gebruik van de 3-2-1 back-up regel:

• Maak 3 kopieën van je belangrijkste data.
• Bewaar deze back-ups op minstens 2 verschillende media.
• Zorg voor 1 kopie buiten de deur.

Test ook regelmatig de mogelijkheid van het herstellen van een kopie.

Lessons learned

Maak tot slot gebruik van de geleerde lessen van andere gemeenten. Veel gemeenten hebben hun bevindingen en lessen gedeeld, zodat ook anderen kunnen leren van deze incidenten:

• Lessen uit de hack van Hof bij Twente
• Rapport van bevindingen na de hack bij gemeente Lochem
• Lessen uit de hack en datalek bij gemeente Buren

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig bij bovenstaande punten? Laat ons dit dan weten en neem contact met ons op.