‘Hackers bij gemeenten al binnen’

ICT-expert Brenno de Winter

Op het ene moment lijkt alles in orde, op het andere moment blijkt het oorlog te zijn én de vijand al binnen. Wie de vijand is die de gemeente Hof van Twente binnenviel, is nog niet duidelijk. Duidelijk is wel dat gemeenten zich nog te weinig realiseren dat ze online inmiddels tegenover serieuze tegenstanders staan. Wie de zaken niet goed op orde heeft, is kwetsbaar. Hof van Twente heeft de pech nu het boegbeeld te zijn van die digitale kwetsbaarheid.

Er ging zeker een hoop mis. Velen wijzen op het wachtwoord ‘Welkom2020’ waarmee de hacker toegang kreeg. Uit het forensisch onderzoek van cyberveiligheidsbedrijf NFIR bleek dat er miljoenen inlogpogingen zijn gedaan, een aanval met brute force oftewel brute kracht. Dat wijst er volgens NFIR op dat het wachtwoord simpelweg is geraden door veel te proberen.

‘Iedereen heeft het over dat wachtwoord, maar eigenlijk vind ik dat niet het belangrijkste’, zegt Brenno de Winter. De ict-deskundige schreef een duidend rapport om de bredere context van het forensisch onderzoek te schetsen. ‘Al was het een briljant wachtwoord geweest, het RDP stond open. Dan ligt de wereld aan je voeten.’ Met het RDP, oftewel Remote Desktop Protocol, kan een computer op afstand worden bediend. Als het niet nodig is om zo’n poort toegankelijk te maken vanaf het internet, doe het dan niet. En als het wel nodig is, zorg dan dat meerfactor-authenticatie aanwezig is. Dat voorkomt dat aanvallers simpelweg kunnen blijven raden. Zo kwam de vijand binnen. ‘NFIR heeft door middel van forensisch onderzoek vastgesteld dat de aanvallers initieel toegang hebben gekregen tot het netwerk van de gemeente op 9 november 2020’, schrijft het bedrijf. Vervolgens probeerden de aanvallers stapje voor stapje de omgeving te verkennen.

‘Bij de hack van Lochem duurde dat maandenlang’, zegt De Winter. ‘Bij Hof van Twente was het een kwestie van weken. Als je in kleine stapjes doet, langzaam de aanval uitvoert en de rechten oprekt, dan is de kans kleiner dat je wordt gedetecteerd.’ Het account dat de hackers overnamen had bovendien de gebruikersrechten van een systeembeheerder. Hierdoor konden de hackers onmiddellijk het volledige beheer van het netwerk overnemen. Een betere organisatie van de rechtenstructuur had dit kunnen voorkomen.

Grote pijn
Het netwerk was niet opgedeeld in segmenten, dus de hackers konden van de ene server naar de andere. NFIR schrijft: ‘Deze situatie had voorkomen kunnen worden door de servers op netwerkniveau van elkaar te scheiden (microsegmentatie) en enkel onderlinge communicatie toe te staan waar noodzakelijk.’ De hackers konden ook bij de servers waar back-ups op stonden en die verwijderen. De Winter: ‘Daar zit de grote pijn. Een overheid moet eigenlijk zeer regelmatig offline op een aparte locatie een back-up maken. Als je dat fatsoenlijk doet, ben je nooit meer dan een dag kwijt.’

Het ging snel op 30 november. Vanaf tien uur ‘s avonds uur worden verschillende systemen versleuteld en virtuele servers verwijderd. Kort na middernacht hebben de hackers hun doel bereikt. Op de lokale printers wordt een losgeldbrief uitgeprint. Vervolgens verwijderen ze de printerservers. Burgemeester Ellen Nauta besluit niet te betalen – dat is het gangbare beleid. Bovendien wil ze dit criminele verdienmodel niet in stand houden. ‘Het is heel bewonderenswaardig hoe Nauta is gegroeid door deze crisis’, vertelt De Winter. ‘Ze is het echt gaan begrijpen.’

Maar hoe kon deze situatie het college zo verrassen? Waren er geen signalen dat de beveiliging niet goed op orde was, dat er iemand aan het rondneuzen was in de systemen? Die waren er wel, maar die bereikten het college niet. Dat is volgens De Winter misschien wel het grootste leerpunt: ‘Als de bestuurder niet de juiste informatie krijgt, dan komt er geen verbetering.’

De ENSIA-beveiligingsaudits voldoen niet als stuurinformatie. ‘Als ik die stukken los zou krijgen en niet beter zou weten dan zou ik ook vinden dat het er best goed uitziet. Met kennis van de omgeving weet je dat het niet matcht, maar een bestuurder heeft dat niet door.’ De bevinding van tekortschietende stuurinformatie wijst volgens De Winter op een breder probleem.

‘Het is een alarmerend signaal dat iedere bestuurder op dit moment een dijk van een probleem heeft: je denkt het juiste te doen, maar krijgt geen reflectie op wat echt belangrijk blijkt.’ Want: ‘Je ziet aan de informatie of een systeem wel of niet functioneert, maar dat is voor de detectie van een aanval echt onvoldoende. Daar is aanvullende monitoring voor nodig. GGI-Veilig biedt dit, maar daar zijn maar weinig gemeenten op aangesloten. Wat veel overheden niet begrijpen is dat hun tegenstanders serieuze actoren zijn zoals staten. Je moet niet beveiligen als Hof van Twente, maar als Defensie.’

Pentest
Een verdere tekortkoming van de informatie was een penetratietest die niets opleverde. In een penetratietest, kortweg pentest, proberen beveiligingsonderzoekers zwakheden in het systeem te vinden. Een extern bedrijf voerde in de zomer van 2020 zo’n pentest uit bij Hof van Twente, maar daarbij zijn de problemen niet aan het licht gekomen. Momenteel is de gemeente juridisch aan het uitvechten hoeveel de leverancier had moeten doen.

‘Zij hebben verantwoordelijkheid in het beheer’, zegt De Winter. ‘Ze moeten relevante adviezen geven. Zij roepen nu dat de klant niet goed genoeg luisterde, maar dan hadden ze de opdracht terug moeten geven. Het vervelende is dat je leveranciers niet blind kunt vertrouwen.’

Het college vertrouwde op een leverancier met wie het een langlopende en goede relatie had. Was dat een vergissing? ‘Dat vind ik een ingewikkelde vraag. Je moet in zekere mate vertrouwen hebben, maar hier werd de leverancier niet door een onafhankelijke derde gecontroleerd. Zoiets kan in goede harmonie. Hof van Twente zegt het nu, maar eigenlijk moet dat in alle gemeenten gebeuren: laat het securitynetwerk door een onafhankelijke derde checken.’

‘U jokt vaak in deze raad’, vermaande PvdA-fractievoorzitter Fred Rijkens de burgemeester tijdens het eerste openbare debat over de inbraak. De burgemeester gaf aan sommige informatie wel te willen, maar niet te kúnnen delen in verband met een juridisch geschil met de leverancier en het nog af te ronden verbeterplan. ‘De gemeenteraad moet beseffen dat het hier om veel geld gaat’, zegt De Winter. ‘Als je kans wilt maken in de procedure, dan moet je luisteren naar je advocaat.’ De raad was kritisch op het rapport van het college dat de andere twee rapporten vergezelde. Dat meldt dat er verantwoording en lering nodig is, maar trekt snel de conclusie dat het iedereen kan overkomen. ‘Het leest alsof het is bedoeld om goed te praten’, sprak D66-fractievoorzitter Alice Olde Reuver of Briel.

‘Je zag dat de raad zich niet kon voorstellen dat het bij andere organisaties ook zo is gesteld’, merkt De Winter op. ‘Als je het op een rijtje zet dan is het ook veel, maar ik hoef alleen maar te wijzen op de NWO.’ In februari kreeg een hackersgroep toegang het netwerk van NWO en lekte interne documenten op het dark web. Wekenlang kon de organisatie de primaire taak, het financieren van wetenschappelijk onderzoek, niet uitvoeren. ‘Zo is het breed, bij overheden en bedrijven. Zouden Den Haag en Amsterdam het zo goed op orde hebben, zo groot als zij zijn gegroeid?’ Vorige week concludeerde de Utrechtse rekenkamer nog dat er ernstige risico’s zijn bij de informatieveiligheid van de gemeente.

Betere structuur
‘Ik heb zelf niet het gevoel dat wij ons achter iets verschuilen’, verdedigde Nauta zich tegenover de raad. In het debat werd het bedrag van 3,5 miljoen euro genoemd om een nieuw netwerk op te bouwen. ‘We hebben steeds meer zicht op de kosten en schrikken ook van dat bedrag. Uit deze puinhoop moet een betere structuur verrijzen. Nauta herhaalde vaak dat ze zich verantwoordelijk voelt, maar volgens Fred Rijkens gaat het erom wat de burgemeester heeft geleerd en gedaan. De burgemeester zegde daarom toe een aanvullende verantwoordingsrapportage te leveren om die vragen te beantwoorden.

De Winter vindt het een goed idee dat ze het collegerapport uitbreiden met de geleerde lessen. ‘Je moet altijd kijken naar wat er niet goed is gegaan. Ze hebben hun cultuur in no-time omgebouwd en dit stukje hoort daar nog even bij. Daar moet tegenover staan dat het ok is om fouten te maken.’ En niet proberen stil te houden wat er is misgegaan. ‘Stilzwijgen gebeurt heel veel. Het gebeurt geregeld dat ik bij een partij kom die niet naar buiten wil treden. Dat is gewoon niet goed.’

Het valt De Winter bovendien op dat veel organisaties waar hij komt de basiszaken niet op orde hebben. Daar begint een goede verdediging mee: netwerksegmentering, meerfactor-authorisatie. ‘Organisaties werken nog vanuit de Jericho-gedachte: buiten is onveilig, binnen is veilig. Als iemand de eerste horde heeft genomen dan zijn ze binnen.’ Hij waarschuwt daarom voor de Exchange-bug: relatief makkelijk kon er een onbeveiligde verbinding worden aangelegd met de servers van het Microsoft- mailsysteem. Er kwam een update, maar wie die destijds niet snel genoeg heeft geïnstalleerd, kan ervan uitgaan dat er aanvallers zijn binnengedrongen. De Winter: ‘Ik denk dat dit nog een hele grote hoos aan ransomware en platgelegde netwerken gaat opleveren.’

Aanbevelingen van de Informatiebeveiligingsdienst (IBD) naar aanleiding van Hof van Twente
1. Dwing op de kortst mogelijke termijn meerfactor-authenticatie af op beheeraccounts (intern- en extern), e-mail, kantoorautomatisering en cloudapplicaties.
2. Breng de basis op orde (meer informatie op de website van de IBD).
3. Maak een overzicht van uw cruciale processen en prioriteer deze.
4. Actualiseer het bedrijfscontinuïteitsplan, het back-up- en restorebeleid en het incidentmanagementproces voor een grootschalige en langdurige uitval van cruciale processen.
5. Oefen regelmatig een informatiebeveiligingsincident.
6. Maak gebruik van de 3-2-1 methode bij back-ups: drie verschillende kopieën, twee verschillende media en één kopie offline / offsite. Test ook regelmatig de mogelijkheid van het herstellen van een kopie.