Skip to main content

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar


Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

Wat is er zoal gebeurd?

Ook het afgelopen jaar waren de risico’s rond de informatievoorziening van gemeenten weer op verschillende manieren zichtbaar en tastbaar. Zo werd de gemeente Buren op 1 april getroffen door een ransomware-aanval. Bij de hack zijn gegevens van de gemeente gestolen. Vervolgens is een grote hoeveelheid privacygevoelige data gepubliceerd op het darkweb. Ook waren er andere incidenten bij gemeenten:

Een informatiebeveiligingsincident kan grote impact hebben op de organisatie en zeer grote gevolgen hebben voor de bedrijfsvoering en dienstverlening van de gemeente (o.a. imago- of financiële schade). Ook kan het zorgen voor ontwrichting van alledaagse processen, zoals doorstroming van het verkeer, regulering van de waterstand of de toegangsverlening tot gebouwen. Daarnaast kan het grote gevolgen hebben voor getroffen burgers, zoals identiteitsfraude in het geval persoonsgegevens zijn gelekt en in verkeerde handen komen. Kortom, voorkomen is beter dan genezen.

Dreiging neemt toe

De gemeentelijke informatievoorziening is kwetsbaar en de digitale dreiging op het niveau van de organisatie is voor gemeenten de afgelopen jaren spectaculair groter geworden, zo schrijft de Informatiebeveiligingsdienst voor gemeenten (IBD). Ook de NOS heeft hierover bericht en schreef o.a. dat het aantal cyberaanvallen op gemeenten het afgelopen jaar is verdubbeld. Vorig jaar zaten we op 150 incidenten, nu op 300. Gemeenten zijn dus kwetsbaar. Het aantal incidenten neemt toe en het wordt steeds complexer om ze het hoofd te bieden. Ook is de impact is steeds ernstiger. Zo aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren. Het is dus niet meer de vraag óf je te maken krijgt met een cyberincident, maar wanneer.

Oorzaken?

De oorzaak van deze toename heeft te maken met het feit dat cybercriminelen steeds meer geavanceerde en geautomatiseerde mogelijkheden hebben om systemen aan te vallen en wachtwoorden te ‘raden’. Er zitten namelijk altijd kwetsbaarheden in soft- en hardware die uitgebuit kunnen worden, waarbij cybercriminelen altijd kiezen voor de makkelijkste weg. Ook een aantal veelgemaakte fouten maakt het voor cybercriminelen mogelijk om binnen te dringen in de IT-systemen van organisaties. Deze fouten worden bij aanvallen misbruikt of maken aanvallen juist mogelijk. Daarnaast kunnen ook leveranciersportalen een ingang zijn tot gemeentelijke data. Kijk maar naar de hack bij gemeente Buren, waarbij hackers toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat multifactorauthenticatie (MFA) op dit account ontbrak, was het mogelijke voor de hackers om binnen te komen in de ICT-omgeving van de gemeente.

Het is dus belangrijk dat je afspraken maakt met leveranciers over te nemen beveiligingsmaatregelen in een Service Level Agreement (SLA), verwerkingsovereenkomst of raamovereenkomst en hier ook controle op houdt.

Continu proces

Informatiebeveiliging en privacybescherming is een continu proces en iets van de lange adem. Iedere stap is er één. Het moet een standaard onderdeel zijn van het ‘gewone’ bedrijfsproces. Zo nam gemeente Haarlem de nodige maatregelen tegen cyberaanvallen na een eerdere hack. Hierdoor kan zij nu veel sneller en adequater reageren op incidenten. Een cruciaal onderdeel hierbij is dat iedere medewerker een incident herkent, weet wat hij/zij moet doen in het geval van een incident en bij wie ze moeten zijn (herkennen, erkennen en reageren). Zorg dus voor bewustwording: iedere medewerker moet zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en privacy. Zo is phising tegenwoordig (bijna) niet meer van echt te onderscheiden en wordt het vaak gekoppeld aan social engineering. Hierbij maken cybercriminelen misbruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen en onwetendheid. Zorg dus dat al je medewerkers weten wat ze moeten doen als ze op een verkeerde link hebben geklikt: dus niet wegklikken, maar melding maken middels een duidelijke meldprocedure. Bewuste medewerkers veroorzaken minder incidenten en kunnen sneller risico’s signaleren en hierdoor kunnen incidenten worden voorkomen.

Wat kan je zelf doen?

Volgens de IBD is de situatie ernstig en vraagt het om actie. Hieronder daarom een aantal tips die je morgen al kan oppakken.

1. Maak het hackers moeilijk

Dwing op de kortst mogelijke termijn multifactorauthenticatie (MFA) af op beheeraccounts (zowel intern als extern), e-mail, kantoorautomatisering en cloudapplicaties. Zorg dat er geen open-deurtjes zijn! Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is heel eenvoudig; je stuurt een paar phishing-e-mails met een link naar een neppe inlogpagina en als je er genoeg hebt verstuurd is er altijd wel iemand die hapt. Als je eenmaal een wachtwoord gestolen hebt, kan je op een netwerk binnendringen en heel veel narigheid aanrichten zonder dat het wordt opgemerkt. Door het afdwingen van MFA wordt dit lastiger. Als een aanvaller dan toch inloggegevens in handen krijgt, dan moet er voor een geslaagde aanval nog een extra stap worden gezet. Namelijk het verkrijgen van de aparte beveiligingscode die toegestuurd wordt aan gebruikers, of het invoeren van een fysieke beveiligingssleutel om toegang te krijgen tot het account.

2. Maak duidelijke afspraken

Maak met leveranciers duidelijke afspraken over beschikbaarheid en wat te doen bij calamiteiten in het Service Level Agreement (SLA) en hou ze er ook aan (bijvoorbeeld via een jaarlijkse evaluatie BIO 15.2.1.1). Het is daarbij belangrijk dat je weet welke taken de organisatie moet uitvoeren en welke taken er bij de leverancier liggen.

3. Tijdig signaleren is key

Een incident is nooit helemaal te voorkomen, 100% veilig bestaat immers niet. Daarom is het belangrijk dat je als gemeente voorbereid bent als zich toch een incident voordoet. Zo kan je met goede voorbereiding snel reageren op incidenten en de schade zoveel als mogelijk beperken. Dit doe je door het proces van incidentmanagement in te richten, te oefenen en regelmatig te actualiseren. Want, een goede voorbereiding is het halve werk. Zorg dus voor goede draaiboeken en oefen regelmatig een informatiebeveiligingsincident. Ook met je medewerkers. Leg uit wat een goede reactie is en waarom. Hierbij is het belangrijk dat mensen die een mogelijk incident melden ook terugkoppeling krijgen wat er mee gedaan is en of het uiteindelijk een incident was. Doet zich toch een incident voor? Handel dan snel en informeer ook altijd de IBD. Tot slot is het belangrijk elk incident te registreren. Hierdoor kan in de toekomst eenzelfde soort incident sneller verholpen worden.

4. Maak gebruik van de 3-2-1 back-up regel:

  • Maak 3 kopieën van je belangrijkste data.
  • Bewaar deze back-ups op minstens 2 verschillende media.
  • Zorg voor 1 kopie buiten de deur.

Test ook regelmatig de mogelijkheid van het herstellen van een kopie.

Lessons learned

Maak tot slot gebruik van de geleerde lessen van andere gemeenten. Veel gemeenten hebben hun bevindingen en lessen gedeeld, zodat ook anderen kunnen leren van deze incidenten:

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig bij bovenstaande punten? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.