Klik hier, alles kwijt

Elke gemeente heeft te maken met mailtjes die na opening computers plat leggen. Je teweer stellen tegen deze cryptoware is lastig. ‘De afzenders werken steeds professioneler.’

Gemeenten ten strijde tegen cryptoware

Nietsvermoedend open je de bijlage van een e-mail van een gerenommeerd bedrijf. Luttele seconden later gaat je pc op zwart en verschijnt er een tekst waarin wordt gedreigd dat je al je bestanden kwijtraakt als je geen geld overmaakt. Diverse ambtenaren zijn inmiddels slachtoffer geworden van ransom- en cryptoware. Voorlopig lijkt er aan de eenvoudig uit te voeren hackvorm geen einde te komen.

Hoeveel gemeenten er precies last hebben gehad wil de informatiebeveiligingsdienst (IBD) niet met Binnenlands Bestuur delen. ‘Die informatie is vertrouwelijk. Wat we wel kunnen stellen is dat er in ieder geval géén sprake is van een afname in het aantal gemeenten dat melding maakt van crypto- of ransomware’, aldus een woordvoerder. Dat de virusbestanden voor problemen zorgen bij de overheid zal niemand ontkennen.

Het Nationaal Cyber Security Centrum (NCSC) constateert dat de overheid veelvuldig doelwit is van diverse vormen cryptoware. De ransomware-variant Cryptowall kon in 2014 in vijf maanden tijd wereldwijd ongeveer 625 duizend computersystemen infecteren, waarvan er zich vermoedelijk 5.000 in Nederland begaven. De variant ‘Kovter ransomware’ besmette op zijn hoogtepunt zo’n 40 duizend pc’s per dag. De trend zette zich in 2015 voort, zo blijkt uit monitoring van NCSC.

Specifieke cijfers van het aantal getroffen gemeenten worden door het cybersecuritycentrum niet bijgehouden, maar dat crypto- en ransomware in vele gemeentelijke mailboxen binnenstroomt is zeker. Onlangs werden Vianen, Den Haag, Lochem, Dronten en een aantal Friese gemeenten nog slachtoffer.

Crypto- of ransomware behoort in gemeenteland tot de meest voorkomende hackpogingen. Dat merken strategisch adviseur Ruud Danen en ict-medewerker Raoul Tjin Liep Shie van de gemeentelijke samenwerking ICT West-Brabant West, bestaande uit Bergen op Zoom, Etten-Leur, Roosendaal en Moerdijk. ‘De cryptolocker, die bij openen onmiddellijk duizenden bestanden versleutelt, is verreweg de meest voorkomende manier om gemeenten te hacken’, legt Tjin Liep Shie uit. ‘Hiervoor hoeven hackers relatief weinig moeite te doen.’

Een cryptolocker is een vorm van ransomware. Het bestand komt via e-mail binnen. Bij het openen gijzelt het virus de computer en versleutelt het gelijk alle bestanden, waardoor je er als gebruiker niet meer bij kunt. Soms wordt geld gevraagd om de bestanden weer beschikbaar te krijgen. ‘Dankzij sterke firewalls, de inzet van nieuwe technieken en het op orde houden van de rechtenstructuur lukt het steeds beter om dit type bestanden tegen te houden’, licht Tjin Liep Shie toe. ‘Maar er zijn verschillende digitale infrastructuren bij gemeenten en ook verschillende typen cryptoware. Soms lukt het zo’n bestand dan toch om het netwerk binnen te dringen.’

Draaiboek
Mocht zich onverhoopt een cryptoware- geval voordoen, dan heeft ICT West-Brabant West een draaiboek klaarstaan waarin de vereiste procedures staan beschreven. Wanneer er cryptoware wordt aangetroffen, wordt er eerst bekeken bij welke pc dit het geval is. De gebruiker wordt vervolgens afgemeld waarna de pc een systeemherstel (restore) krijgt. De bestanden op de computer worden hersteld in de staat waarin ze op een eerder tijdstip waren opgeslagen. Daardoor wordt het geïnfecteerde bestand, dat dan nog maar net geopend is, verwijderd.

Volgens Danen en Tjin Liep Shie is zoiets vrij eenvoudig te doen. ‘We bekijken daarna welke bestanden bij het systeemherstel verloren zijn gegaan. Vanaf het moment van constatering is er frequent overleg met de chief information security officer van de gemeente om te zien welke gevolgen dit heeft.’ Het vervelendste scenario voor gemeenten is als er gegevens van personen in gevaar komen door cryptoware. Niet alleen dreigt er dan een boete van de Autoriteit Persoonsgegevens, het kan ook leiden tot flinke imagoschade.

Binnendringende cryptoware kan elke gemeente weleens voorkomen. ‘Van de bij ons aangesloten gemeenten hebben sommige het in twee jaar nog nooit keer meegemaakt, andere al meerdere keren. Er zijn gemeenten die minder strikt zijn in hun beveiliging. Daardoor is het resultaat per gemeente verschillend’, aldus Tjin Liep Shie.

Zijn college Danen ziet een duidelijke toename in het aantal cryptoware-aanvallen bij gemeenten. ‘Voor gemeenten die bang zijn te worden getroffen is het belangrijk om een proactieve houding aan te nemen. Het bewustzijn van medewerkers is van groot belang. Je kunt niet alles met techniek voorkomen. De procedures moet je klaar hebben staan. Je moet de bijbehorende risico’s al in kaart hebben gebracht. Ook het evalueren en leren van incidenten vinden we erg belangrijk.’

ICT West Brabant West ontwikkelt een infrastructuur die er voor alle aangesloten gemeenten hetzelfde uit komt te zien. ‘Daardoor wordt het makkelijker om regie over cybersecurity te voeren. Samenwerking vergroot je expertise. Je kunt door overleg met andere gemeenten veel patronen herkennen en bekijken welke maatregelen er zijn genomen.’

Oplettende collega
Ook bij de gemeente Vianen veroorzaakt cryptoware het meeste overlast van alle hackpogingen, zo stellen informatiemanager Leonie Koning en adviseur ict Martin van der Mars. Ze maken deel uit van het team dat verantwoordelijk is voor de digitale beveiliging van de gemeentelijke systemen. ‘Afgelopen jaar hebben we één crypto wareincident gehad’, vertelt Van der Mars. ‘Een oplettende collega zorgde ervoor dat we snel konden ingrijpen. We hebben de diverse servers gelijk uitgeschakeld en gekeken waar het probleem zich bevond. Met een systeemherstel lukte het om de cryptoware te verwijderen en de schade te herstellen. Omdat we regelmatig een back-up maken was er niet te veel schade. Toch was het erg vervelend: zo’n honderd mensen konden een halve dag niet bij hun bestanden. Gelukkig had het geen invloed op onze dienstverlening.’

Vianen gaf het voorval aan bij de IBD. Ook is er advies gevraagd aan een externe partij die ervaring had met deze vorm van cryptoware. Inmiddels zijn er maatregelen genomen om herhaling zo veel mogelijk te voorkomen. Tekst in e-mail wordt gescreend op verdachte woorden. Bepaalde type bijlagen worden geblokkeerd. ‘Soms onhandig’, constateert Koning. ‘We kunnen nu bijvoorbeeld geen zip-bestanden ontvangen zonder de ict-afdeling in te schakelen. Onze medewerkers hebben er begrip voor. Iedereen heeft immers meegemaakt hoe het eerder misging.’

Professioneler
Ondanks de soms zware beveiliging is het gevaar cryptoware voor gemeenten nog niet voorbij, vreest Van der Mars. ‘De phishing-mails worden steeds professioneler en mooier. Niet alleen qua taalgebruik, de makers werken ook met professionele mailsjablonen van de bedrijven.’

Koning: ‘We sturen nu ook af en toe zelf phishing-mails waarin we bijvoorbeeld vragen om inloggevens, om de alertheid van onze medewerkers hoog te houden.’ Ook werd hun gemeente recent getroffen door DDOS-aanvallen, die websites tijdelijk onbereikbaar maken. Door de aanval was een gemeentelijke applicatie die ‘in de cloud draait’ tijdelijk uit de lucht.

Omdat steeds meer gemeentelijke ict in ‘de cloud’ komt van leveranciers wordt goed opdrachtgeverschap ook belangrijker. ‘Zorg ervoor dat leveranciers goede en duidelijke opdrachten meekrijgen. Afspraken zijn belangrijk, en check ook altijd wat er van een afspraak over bijvoorbeeld beveiliging is terechtgekomen.’

Koning en Van der Mars willen 100 procent bescherming tegen cryptoware zo goed mogelijk benaderen, maar ze realiseren zich tegelijk dat er voortdurend nieuwe vormen van hacking ontstaan. Ze blijven afhankelijk van beveiligingssystemen en hebben het uiteindelijk nooit helemaal zelf in de hand. ‘Vianen heeft er bij het laatste incident bewust voor gekozen om er aandacht aan te besteden met een persbericht. Met geheimhouden schiet je als gemeente niet veel op. Het is een risico dat we niet volledig kunnen uitsluiten. Maar we doen er alles aan om de kans op nieuwe incidenten zo laag mogelijk te houden.’

Overijverige gemeenten
Gemeenten zijn nogal eens overijverig in het melden van incidenten met crypto- en ransomware bij de Autoriteit Persoonsgegevens (AP). Cryptoware moet alleen worden gemeld bij ernstige datalekken, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. De gemeente Kaas en Braassem, onlangs getroffen door een ransomware-besmetting, heeft daar geen melding van gemaakt. Er was geen sprake van een datalek.

Korte cursus cybercrime

Phishing is misleiding met e-mails waarin slachtoffers worden geleid naar een kopie van een (bank)website. Wie inlogt geeft daarmee criminelen onder meer zijn inlognaam, wachtwoord en pasnummer.
Wie te maken heeft met ransomware ziet zijn computerbestanden gegijzeld worden. Toegang krijg je weer als je geld overmaakt naar de aanvallers. Ransomware is de overkoepelende term van virussen die software ‘gijzelen’ voor geld.
Een technisch geavanceerdere en veel voorkomende vorm van ransomware is cryptoware. Dit versleutelt door middel van encryptie bestanden op je harde schijf. Vaak wordt er vervolgens gevraagd om geld over te maken.
DDoS staat voor ‘Distributed Denial of Service’. Het betekent dat dienstverlening niet mogelijk is. Een websiteserver krijgt bij een DDOS-aanval een grote hoeveelheid verzoeken vanaf meerdere computers tegelijk, waardoor de website niet meer te bereiken is. Soms crasht de server.