Skip to main content

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar


Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

Wat is er zoal gebeurd?

Ook het afgelopen jaar waren de risico’s rond de informatievoorziening van gemeenten weer op verschillende manieren zichtbaar en tastbaar. Zo werd de gemeente Buren op 1 april getroffen door een ransomware-aanval. Bij de hack zijn gegevens van de gemeente gestolen. Vervolgens is een grote hoeveelheid privacygevoelige data gepubliceerd op het darkweb. Ook waren er andere incidenten bij gemeenten:

Een informatiebeveiligingsincident kan grote impact hebben op de organisatie en zeer grote gevolgen hebben voor de bedrijfsvoering en dienstverlening van de gemeente (o.a. imago- of financiële schade). Ook kan het zorgen voor ontwrichting van alledaagse processen, zoals doorstroming van het verkeer, regulering van de waterstand of de toegangsverlening tot gebouwen. Daarnaast kan het grote gevolgen hebben voor getroffen burgers, zoals identiteitsfraude in het geval persoonsgegevens zijn gelekt en in verkeerde handen komen. Kortom, voorkomen is beter dan genezen.

Dreiging neemt toe

De gemeentelijke informatievoorziening is kwetsbaar en de digitale dreiging op het niveau van de organisatie is voor gemeenten de afgelopen jaren spectaculair groter geworden, zo schrijft de Informatiebeveiligingsdienst voor gemeenten (IBD). Ook de NOS heeft hierover bericht en schreef o.a. dat het aantal cyberaanvallen op gemeenten het afgelopen jaar is verdubbeld. Vorig jaar zaten we op 150 incidenten, nu op 300. Gemeenten zijn dus kwetsbaar. Het aantal incidenten neemt toe en het wordt steeds complexer om ze het hoofd te bieden. Ook is de impact is steeds ernstiger. Zo aarzelen criminelen niet om privacygevoelige gegevens van inwoners, bedrijven en medewerkers online te publiceren. Het is dus niet meer de vraag óf je te maken krijgt met een cyberincident, maar wanneer.

Oorzaken?

De oorzaak van deze toename heeft te maken met het feit dat cybercriminelen steeds meer geavanceerde en geautomatiseerde mogelijkheden hebben om systemen aan te vallen en wachtwoorden te ‘raden’. Er zitten namelijk altijd kwetsbaarheden in soft- en hardware die uitgebuit kunnen worden, waarbij cybercriminelen altijd kiezen voor de makkelijkste weg. Ook een aantal veelgemaakte fouten maakt het voor cybercriminelen mogelijk om binnen te dringen in de IT-systemen van organisaties. Deze fouten worden bij aanvallen misbruikt of maken aanvallen juist mogelijk. Daarnaast kunnen ook leveranciersportalen een ingang zijn tot gemeentelijke data. Kijk maar naar de hack bij gemeente Buren, waarbij hackers toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat multifactorauthenticatie (MFA) op dit account ontbrak, was het mogelijke voor de hackers om binnen te komen in de ICT-omgeving van de gemeente.

Het is dus belangrijk dat je afspraken maakt met leveranciers over te nemen beveiligingsmaatregelen in een Service Level Agreement (SLA), verwerkingsovereenkomst of raamovereenkomst en hier ook controle op houdt.

Continu proces

Informatiebeveiliging en privacybescherming is een continu proces en iets van de lange adem. Iedere stap is er één. Het moet een standaard onderdeel zijn van het ‘gewone’ bedrijfsproces. Zo nam gemeente Haarlem de nodige maatregelen tegen cyberaanvallen na een eerdere hack. Hierdoor kan zij nu veel sneller en adequater reageren op incidenten. Een cruciaal onderdeel hierbij is dat iedere medewerker een incident herkent, weet wat hij/zij moet doen in het geval van een incident en bij wie ze moeten zijn (herkennen, erkennen en reageren). Zorg dus voor bewustwording: iedere medewerker moet zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en privacy. Zo is phising tegenwoordig (bijna) niet meer van echt te onderscheiden en wordt het vaak gekoppeld aan social engineering. Hierbij maken cybercriminelen misbruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen en onwetendheid. Zorg dus dat al je medewerkers weten wat ze moeten doen als ze op een verkeerde link hebben geklikt: dus niet wegklikken, maar melding maken middels een duidelijke meldprocedure. Bewuste medewerkers veroorzaken minder incidenten en kunnen sneller risico’s signaleren en hierdoor kunnen incidenten worden voorkomen.

Wat kan je zelf doen?

Volgens de IBD is de situatie ernstig en vraagt het om actie. Hieronder daarom een aantal tips die je morgen al kan oppakken.

1. Maak het hackers moeilijk

Dwing op de kortst mogelijke termijn multifactorauthenticatie (MFA) af op beheeraccounts (zowel intern als extern), e-mail, kantoorautomatisering en cloudapplicaties. Zorg dat er geen open-deurtjes zijn! Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is heel eenvoudig; je stuurt een paar phishing-e-mails met een link naar een neppe inlogpagina en als je er genoeg hebt verstuurd is er altijd wel iemand die hapt. Als je eenmaal een wachtwoord gestolen hebt, kan je op een netwerk binnendringen en heel veel narigheid aanrichten zonder dat het wordt opgemerkt. Door het afdwingen van MFA wordt dit lastiger. Als een aanvaller dan toch inloggegevens in handen krijgt, dan moet er voor een geslaagde aanval nog een extra stap worden gezet. Namelijk het verkrijgen van de aparte beveiligingscode die toegestuurd wordt aan gebruikers, of het invoeren van een fysieke beveiligingssleutel om toegang te krijgen tot het account.

2. Maak duidelijke afspraken

Maak met leveranciers duidelijke afspraken over beschikbaarheid en wat te doen bij calamiteiten in het Service Level Agreement (SLA) en hou ze er ook aan (bijvoorbeeld via een jaarlijkse evaluatie BIO 15.2.1.1). Het is daarbij belangrijk dat je weet welke taken de organisatie moet uitvoeren en welke taken er bij de leverancier liggen.

3. Tijdig signaleren is key

Een incident is nooit helemaal te voorkomen, 100% veilig bestaat immers niet. Daarom is het belangrijk dat je als gemeente voorbereid bent als zich toch een incident voordoet. Zo kan je met goede voorbereiding snel reageren op incidenten en de schade zoveel als mogelijk beperken. Dit doe je door het proces van incidentmanagement in te richten, te oefenen en regelmatig te actualiseren. Want, een goede voorbereiding is het halve werk. Zorg dus voor goede draaiboeken en oefen regelmatig een informatiebeveiligingsincident. Ook met je medewerkers. Leg uit wat een goede reactie is en waarom. Hierbij is het belangrijk dat mensen die een mogelijk incident melden ook terugkoppeling krijgen wat er mee gedaan is en of het uiteindelijk een incident was. Doet zich toch een incident voor? Handel dan snel en informeer ook altijd de IBD. Tot slot is het belangrijk elk incident te registreren. Hierdoor kan in de toekomst eenzelfde soort incident sneller verholpen worden.

4. Maak gebruik van de 3-2-1 back-up regel:

  • Maak 3 kopieën van je belangrijkste data.
  • Bewaar deze back-ups op minstens 2 verschillende media.
  • Zorg voor 1 kopie buiten de deur.

Test ook regelmatig de mogelijkheid van het herstellen van een kopie.

Lessons learned

Maak tot slot gebruik van de geleerde lessen van andere gemeenten. Veel gemeenten hebben hun bevindingen en lessen gedeeld, zodat ook anderen kunnen leren van deze incidenten:

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig bij bovenstaande punten? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?