Hoe Antwerpen de hack te boven kwam

Van het ene moment op het andere werkte niets meer. Niet alleen de gemeentelijke administratie van Antwerpen, ook de poortjes van het zwembad en de uitleensystemen van de bibliotheken deden error. De stad kreeg twee weken de tijd om de aanvallers te betalen. Annelien Kuppens, projectleider IT bij de stad Antwerpen, vertelt wat er toen gebeurde...

Surprise

Op 6 december 2022, Sinterklaasavond in België, kreeg de stad Antwerpen een onaangename verrassing: alle computersystemen lagen plat. De hackers hadden hun aanval zorgvuldig opgebouwd. ‘Via een geslaagde phishingactie bij de juiste eindgebruiker namen hackers ons serverpark over, om vervolgens te beginnen met het extraheren en versleutelen van data,’ vertelt Annelien Kuppens, projectleider IT bij de stad Antwerpen, tijdens een workshop op het VNG-congres Samen digitaal veilig: Gemeenten aan de slag!. ‘Op een dag werd alles geblokkeerd en vroegen ze om losgeld.’

Niet betalen

In overleg met experts besloot stad Antwerpen om niet te betalen. Uit onderzoek bleek dat de gestolen data niet van die aard waren dat ze grote nadelige gevolgen zouden hebben voor burgers en medewerkers. De stad beschikte over een back-up van de data, zodat de applicaties konden worden hersteld. Bovendien betekent betalen niet dat de gestolen data later niet alsnog kunnen worden misbruikt. 

De stad voerde dus geen onderhandelingen met de hackers over het ontsleutelen en vrijgeven van data, maar besloot in plaats daarvan om zo snel mogelijk een nieuwe cyberveilige omgeving in te voeren.

Dag en nacht doorwerken

Het cyberveiligheidsprogramma  dat in 2022 startte, had de ambitie om Antwerpen op het niveau ‘minimale veiligheid en weerbaarheid’ te brengen. Door de cyberaanval werd besloten om meteen over te schakelen naar een veel hoger veiligheidsniveau. ‘De eerste dagen organiseerden we alles met pen en papier,’ vertelt Kuppens. ‘Er werd een crisiscel opgericht, met de chief resilience officer en chief digital officer aan het hoofd. We schakelden externe hulp in. En we hadden een 24/7 organisatie nodig, met een slaapzaal en maaltijden om dag en nacht door te kunnen.’

Systeemlandschap in zones

In totaal moeten circa 600 toepassingen worden hersteld of herbekeken. Kuppens laat zien hoe ze het systeemlandschap opdeelden in drie zones: de gehackte rode zone moet zo snel mogelijk worden afgebouwd. Een nieuwe, meer beveiligde oranje zone is een tussenoplossing om de dienstverlening te kunnen garanderen. Een groene zone is de definitief veilige zone, verdeeld in meer compartimenten dan het oorspronkelijke systeem.

Impact voor eindgebruikers voorbij

Pas deze week is de impact voor eindgebruikers voorbij. De IT’ers werken nu verder aan de recovery van wat vernield is en het opzetten van de groene zone. Ondertussen is versneld een veilige werkomgeving (MS 365) voor medewerkers uitgerold. Er geldt een strenger wachtwoordbeleid, alle medewerkers volgen phishing-trainingen en er wordt een security operations center (SOC) ingericht. Ook staat het pc-park voortaan onder beheer van Digipolis, het zelfstandige gemeentebedrijf dat als IT-partner van de stad Antwerpen opereert.

Crisis biedt kansen 

Bijkomen van een hack is niet allemaal kommer en kwel. Het biedt ook kansen, vindt Kuppens. Zo is het IT-landschap van Antwerpen ondertussen flink vereenvoudigd (‘een oefening in wat er niet meer nodig is’). De stad is versneld naar de cloud gegaan. Kuppens: ‘De fundamenten zijn verstevigd, er is een nieuwe organisatie uit de grond gestampt en er is tegenwoordig vanuit bestuurders veel meer begrip voor de IT-afdeling.’

Geleerde lessen

Deze geleerde lessen deelt Antwerpen tegenwoordig met andere overheden:

1. Start nú met basisbeveiliging, want cybercriminelen richten hun pijlen hoe langer hoe meer op openbare diensten. Stad Antwerpen begon, achteraf gezien, te laat met een cyberveiligheidsprogramma.
2. Richt een cyberrisico-stuurgroep op, die de spanning tussen gebruikers en specialisten kan aanpakken. De eerste groep is niet altijd blij met veranderingen, de tweede wil graag maximale veiligheid; zie hier een eeuwig terugkerend dilemma.
3. Neem cybersecurity op in het crisismanagement en neem een crisismanager aan. Zorg dat er een crisisteam klaar staat en dat er een strak plan ligt, met duidelijke trekkers.
4. Bespreek samen met de IT-partner de kroonjuwelen. Wat moet maximaal worden beveiligd? Zorg voor een back-up van de kroonjuwelen en werk aan een offline scenario voor als het fout gaat.
5. Breng de eindgebruikers bewustwording bij, bied hen versterking en voer discussies over gebruikersbeleving van veiligheidsmaatregelen.

Ga pannenkoeken bakken

Een meer praktische geleerde les voor als de systemen dan toch plat komen te liggen: iedereen kan meewerken in een cybercrisis. Ben je technisch werkloos? Word helpdeskmedewerker voor de inwoners, of zet je in voor je collega’s door pannenkoeken te bakken.

Externe hulp

De externe hulp kwam voor Antwerpen in drie gedaanten: het CERT van de overheid, het cybersecuritybedrijf dat de stad bijstond en juridische adviseurs. ‘Er komen onherroepelijk vragen en  klachten,’ zegt Kuppens. ‘Mensen moeten bijvoorbeeld langer in een huurhuis wonen omdat de stad geen bouwvergunning kan geven. Juridische ondersteuning is hard nodig.’

Communicatie is essentieel

Communicatie is essentieel tijdens een cybercrisis, maar tegelijkertijd één van de moeilijkste zaken om goed te regelen, zegt Kuppens. Tegenover de pers betrachtte Antwerpen terughoudendheid, om te voorkomen dat ze de aanvallers in de kaart zouden spelen. Geef wel duidelijk aan wat er wel en niet kan voor inwoners en maak ze wegwijs in aangepaste procedures en werkwijzen, raadt ze aan. Antwerpen deed dit consequent online (de website van de stad was niet geraakt door de aanval). Ook intern is communicatie zeer belangrijk. ‘Onze communicatiedienst heeft ons gered in die dagen.’

Praktische tips

Tot slot enkele praktische tips voor iedereen die te maken krijgt met een hack:

1. Houd een logboek bij van acties en beslissingen. Dat heb je achteraf nodig voor audits. Uit het hoofd weet je echt niet meer op welke dag welk systeem in de lucht ging.
2. Maak een (al dan niet tijdelijk) plan dat als houvast dient voor medewerkers. Houd je aan je plan, want na het initiële begrip volgt op den duur de irritatie, omdat sommige toepassingen nog steeds niet zijn hersteld.
3. Reken op een duurloop. Waar het team in eerste instantie dacht dat ze even flink moesten doorwerken tijdens de kerstvakantie, realiseerden ze zich later dat ze ook in de paasvakantie en de zomervakantie nog aan de bak moesten. ‘Het is extra zwaar als je je voorbereidt op een sprint en het blijkt een marathon te zijn,’ zegt Kuppens.

En de hackers? Die kregen al snel door dat er in Antwerpen niets te halen was. De gegijzelde data zijn nooit vrijgegeven. ‘Hangt dat gegeven niet als een zwaard van Damocles boven jullie hoofd?’ vraagt een congresdeelnemer, maar Kuppens ziet dat anders. ‘Als ze het hadden gewild, hadden ze het al lang gedaan.’