Het komt zelden voor dat het NCSC vertelt over zijn betrokkenheid bij een specifiek incident. Bij hoge uitzondering en met toestemming van de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) kunnen we ditmaal wel een kijkje geven in onze incident response.

De VNOG heeft het Instituut Fysieke Veiligheid (IFV) gevraagd onderzoek te doen naar de crisisaanpak van het incident. Dit onderzoek en daarbij behorende rapportage, en deze blog, geven geen inzicht in forensische informatie, mogelijke kwetsbaarheden of attributie. Het is bedoeld om van het incident te leren en andere organisaties te informeren over wat er destijds gebeurde en mogelijk in de toekomst kan gebeuren.

De Waakdienst

In de nacht van zaterdag 12 september 2020 wordt de waakdienst van het NCSC gebeld door de veiligheidsregio Noord- en Oost Gelderland (VNOG). Zij melden een incident en vragen om hulp. De waakdienstmedewerker beoordeelt de situatie en schakelt direct met de coördinator en technisch specialist van dienst. In gezamenlijk overleg wordt de strategie bepaald.

Op basis van de impact van het incident en taken van deze organisatie wordt al snel besloten om in te gaan op het hulpverzoek. De VNOG stuurt de brandweer aan. De veiligheidsregio coördineert bij grote incidenten, zo hebben ze een grote rol bij de aanpak van COVID-19 in de regio. Daarom is op dat moment het crisisteam van corona opgeschaald (GRIP 4), waarin meerdere ketenpartners verenigend zijn, zoals GGD GHOR en politie. Hoewel de primaire taak van het NCSC is om de Rijksoverheid en vitale aanbieders te adviseren en ondersteunen bij digitale dreigingen en incidenten m.b.t. hun netwerk- en informatiesystemen (Wbni, art. 3), kan het NCSC op grond van een vrijwillige melding ook andere organisaties, zoals de VNOG, ondersteunen (Wbni, art. 16). Vanwege de mogelijke ernst van de situatie heeft het NCSC besloten een aantal incident respons experts naar VNOG te sturen. Deze medewerkers worden zaterdagnacht nog geïnformeerd over de situatie en verzocht om de volgende ochtend op locatie te zijn.

Op locatie

Bij aankomst op locatie kregen de NCSC-ers een goed beeld van de situatie. Het NCSC adviseert om extra incident response capaciteit aan te trekken, waarna de VNOG besluit om Fox-IT in te schakelen. Er is onderling een taakverdeling gemaakt, waarbij het NCSC zich vooral richt op het assisteren bij de coördinatie en herstel en Fox-IT op het forensische deel.

Vervolgens kregen de technische experts een eigen ruimte waar een schone omgeving, die afgesloten was van het kantoornetwerk, opgezet kon worden voor de laptops en werkstations. Om deze omgeving ook echt geïsoleerd te houden waren soms wat creatieve oplossingen nodig, zoals het leggen van lange kabels naar een ander deel van het pand waar zich de serverruimte bevond.

Inperking verdere schade

Om te beginnen was het belangrijk om verdere schade te beperken en de mogelijke toegang van de aanvallers af te snijden, zoals verbindingen naar het internet, andere vestigingen en interne verbindingen. Daarbij werden ook systemen geïsoleerd die nog niet geraakt waren door de gijzelsoftware en voorkomen dat schone systemen verbinding konden maken met het geïnfecteerde netwerk. Voor lokale systemen kun je vrij simpel de stekker eruit trekken, maar voor SAAS en/of cloud gebaseerde diensten die rechtstreeks gebruik maken van bijvoorbeeld Active Directory is dat een stuk lastiger.

Deze versturen we 3-4x per jaar.