Cyberaanvallen 2019 – 2022. Top 5 lessons learned voor gemeenten

“Het is niet de vraag óf je wordt gehackt, maar wannéér”. Hoe vaak hebben we zo’n uitspraak al gehoord? Hoewel het een cliché dreigt te worden, blijft het de waarheid. Daar waar onze techniek steeds geavanceerder, complexer en innovatiever wordt, worden hackers slimmer, creatiever en professioneler. Het kat- en muisspel tussen deze twee gaat dan ook onverminderd door. Laat de hacker nu alleen vaker flexibel zijn en engelengeduld hebben om, zodra het ergens een ingang gevonden heeft, te wachten tot een kwetsbaarheid misbruikt kan worden.

Hoewel nog relatief vaak de aanname wordt gedaan dat commerciële bedrijven aantrekkelijker zijn voor hackers, laten de trends in de afgelopen jaren zien dat ook gemeenten in toenemende mate een doelwit worden van cyberaanvallen. Binnen de overheid kennen we al handreikingen en kaders, zoals de BIO (Baseline Informatiebeveiliging Overheid), die ertoe dienen om overheidsorganisaties richting te geven aan het veilig houden van de eigen systemen. Daarbij verantwoorden gemeenten zich sinds 2017 via de ENSIA-systematiek. Toch blijkt het implementeren van de maatregelen uit de BIO geen garantie te bieden voor afdoende bescherming tegen dreigingen van buitenaf. Zo heeft er in 2021 een verdubbeling plaatsgevonden van het aantal beveiligingsincidenten bij gemeenten.

Bovendien blijken niet alleen gemeenten een interessant doelwit, ook de (toe)leveranciers van gemeenten zijn aantrekkelijk voor het verkrijgen van toegang tot data die u liever binnenshuis houdt. En laten de meeste organisaties nu juist in toenemende mate diensten uitbesteden. De kwetsbaarheden bij Abiom (2021), Citrix (2020), Log4J (2021) en de softwareleverancier van vijf Limburgse gemeenten (2022) hebben aangetoond dat de afhankelijkheid van een leverancier zorgt voor nieuwe risico’s.

De gemeente Buren (2022), de universiteit Maastricht (2019), het Hof van Twente (2021) en de gemeente Lochum (2019) zijn de afgelopen jaren transparant geweest over de hacks op hun organisaties. Zij hebben hierbij gedeeld welke lessen ze hebben geleerd. Op basis hiervan heb ik een top 5 aan “lessons learned” samengesteld van kwetsbaarheden waar deze organisaties tijdens de hack mee werden geconfronteerd. De top 5 sluit af met een “checklist” aan activiteiten die kunnen worden uitgevoerd om het de hacker zo moeilijk mogelijk te maken uw organisatie binnen te dringen.

Les 1: Mijn_Wachtwoord_Is_Niet_Te_Raden

Van alle methoden om in een systeem in te breken, blijkt het onvoldoende inregelen van de logische toegangsbeveiliging met stip bovenaan te staan. Hierbij ligt de nadruk op de kwetsbaarheid rondom wachtwoorden en het -ontbreken van het- gebruik van multifactor authenticatie (MFA), oftewel inloggen met ander authenticatiemiddel.

Zo kunnen hackers bijvoorbeeld gebruik maken van een “brute-force attack”. Voor deze methode kan iedereen een potentiële hacker zijn. Ga naar Github, download een tool die oneindig vaak verschillende combinaties van wachtwoorden uitprobeert en… bingo! De tool raadt een wachtwoord goed. Bij voorkeur een wachtwoord van iemand met veel/kritische toegangsrechten. Deze methode blijkt bijzonder effectief bij eenvoudige en korte wachtwoorden.

Het wordt dan nog extra eenvoudig gemaakt wanneer MFA niet is ingeregeld. Op deze wijze is het wachtwoord alleen voldoende om toegang te krijgen tot uw data.

Les 2: Back-ups, zijn deze wel veilig?

Een ander onderwerp dat naar aanleiding van de bovengenoemde hacks genoemd werd, betreft het goed op orde hebben van de back-ups. Een belangrijke les hierbij is het eerder genoemde engelengeduld van cybercriminelen. Gezellig tijd doorbrengen op het interne netwerk van uw organisatie zonder hierbinnen actie te ondernemen, kost hen weinig moeite en kunnen ze gerust maanden volhouden.

Intussen kan document voor document en systeem voor systeem worden geïnfecteerd. Totdat er geen weg meer terug is. Zeker wanneer er alleen gebruik wordt gemaakt van online back-ups, zullen deze mettertijd ook geraakt worden door de hacker. Een juiste back-up strategie, gecombineerd met onveranderbare back-ups zijn dan ook noodzakelijk om het risico op de infectie van uw back-ups zoveel als mogelijk te minimaliseren.

Les 3: Detectives in the house?

Nu kunnen we verschillende maatregelen doorvoeren zoals MFA, wachtwoordkluizen of de juiste inrichting van de back-ups. Echter, if all else fails, wilt u toch zo snel mogelijk op de hoogte zijn van een aanwezigheid in uw systeem die er niet thuis hoort. Hoeveel protectiemaatregelen er ook getroffen zijn, het is nooit volledig waterdicht. Er bestaat altijd een kans dat een medewerker een phishing mail aanklikt, een onveilig wachtwoord kiest, een patch te laat doorvoert of dat een leverancier is gehackt.

Daarom is het van belang om niet alleen in te zetten op protectieve maatregelen, maar ook op detectieve maatregelen en reactieve maatregelen. Hoe effectiever deze maatregelen, des te groter de kans dat een inbreker snel wordt opgemerkt en de schade beperkt kan blijven. Ook zal het herstel dan sneller kunnen plaatsvinden.

Les 4: Wie is koningin?

En dan hebben we de admins. In het geval van interne netwerken is niet de klant koning, maar de admin. Een “administrator” heeft -veel- meer rechten op een systeem dan een reguliere gebruiker. Dat zijn bijvoorbeeld systeembeheerders, functioneel beheerders, applicatiebeheerders of superusers. De admin kan wijzigingen aanbrengen op niveaus waar de dagdagelijkse gebruiker nooit toegang toe krijgt. Waarom zou de hacker kiezen voor de rol van pion als hij ook koningin kan zijn? Indien de hacker admin toegang weet te verkrijgen, kan deze meer schade aanrichten binnen het netwerk dan een reguliere gebruiker. Denk aan het wijzigen of teniet doen van systeeminrichtingen. Zo kan de hacker bijvoorbeeld wachtwoordinstellingen omzeilen of logbestanden wijzigen. Zorg daarom voor aanvullende maatregelen voor de admin accounts.

Les 5: Wat leuk, een gratis USB-stick!

Een laatste maar evenzo belangrijke les betreft de mate van security awareness binnen de organisatie. Social engineering wordt veel toegepast bij cyber aanvallen. Social engineering is een vorm van psychologische manipulatie waarbij wordt ingespeeld op de basale reactie in het menselijk gedrag. Social engineering kent zowel fysieke als digitale varianten. Fysieke varianten betreffen onder andere het meekijken op het beeldscherm van een ander, afval doorzoeken of het verspreiden van besmette USB-sticks. Vormen van digitale social engineering zijn bijvoorbeeld het versturen van phishingmails, het plegen van telefoonfraude of misbruik van sociale media. Het is van belang dat medewerkers zich hiervan bewust zijn.

Checklist: wat nu?

Hoe kunt u het voor de hacker zo onaantrekkelijk mogelijk maken om uw organisatie aan te vallen? Op basis van de geleerde lessen, zijn er een aantal te treffen maatregelen die hieraan kunnen bijdragen.

Wachtwoord eisen. Stel complexe eisen aan wachtwoorden. Wellicht goed om toch nog eens te herzien of “Winter2022” niet beter vervangen kan worden voor een moeilijker te kraken alternatief. Een veel gehoorde klacht hierbij is dat een langer wachtwoord moeilijker te onthouden is voor de eindgebruiker. Om de eindgebruiker hierin te helpen, kan daarom gebruik gemaakt worden van “wachtzinnen”, in combinatie met een wachtwoordkluis. Slechts één moeilijk wachtwoord dient dan nog onthouden te worden, zoals: “Ikb3nmijns0kkenvergetenaantetrekken!” (nee, deze zou ik niet hergebruiken).
Wilt u het de hacker nog extra lastig maken om middels uw toegangscodes in te breken, maak dan gebruik van MFA. Dit kan op verschillende manieren. De meest gebruikte vorm betreft een extra code die opgehaald moet worden (in een app op de telefoon, e-mail, of anders) en slechts kort bruikbaar is. Dit zorgt ervoor dat de hacker niet alleen het wachtwoord, maar ook het apparaat nodig heeft om toegang tot uw data te krijgen. Dan zal de hacker zich waarschijnlijk eerder achter de oren krabben met de vraag of het de moeite en energie wel waard is. Aangenomen tenminste dat uw telefoon geen post-it met het complexe wachtwoord bevat en onbeheerd wordt achtergelaten.
Back-ups. Bewaar allereerst, naast online back-ups, ook offline back-ups. Het NCSC raadt aan gebruik te maken van de 3-2-1 regel waarin drie versies van de data (1x origineel + 2x back-ups), op twee apparaten worden bewaard waarvan één op een andere fysieke locatie. Wilt u nog meer zekerheid over de integriteit van de back-ups, maak dan gebruik van zogenaamd “immutable back-ups”. Deze back-ups werken volgens het WORM-model (write-once-read-many), waarbij de back-ups simpelweg niet overschreven kunnen worden.
Detectieve en reactieve maatregelen. Wees goed op de hoogte van de gegevens die verzameld worden binnen uw organisatie en de plek waarin deze staan opgeslagen. Maak gebruik van een Security Operations Center (SOC) en een bijbehorende SIEM-oplossing om doorlopend te monitoren op verdachte gedragingen in het netwerk.
Admin accounts. Monitor in ieder geval het netwerk gedrag van admin accounts. Wanneer deze verdachte gedragingen laten zien, bestaat er een kans dat dit account is gehackt. Voer aanvullend verscherpte regels door voor de toegang van admins. Dit kan bijvoorbeeld ingeregeld worden door Identity and Access Management (IAM) te implementeren waarbij er in ieder geval een scheiding wordt aangebracht tussen gebruikersaccounts en admin accounts. Hierbij is het van belang dat Priviledged Access Management (PAM) onderdeel uitmaakt van de IAM inrichting óf daarop een aanvulling biedt.
Werken aan awareness kan op verschillende wijzen. Het begint bij het creëren van bewustwording over kritische processen binnen uw organisatie. Organiseer daarom binnen de specifieke domeinen aparte risico-sessies waarin hier met elkaar over gesproken wordt. Geef aanvullend trainingen, deel informatie via het intranet, maak informatievellen voor de fysieke locaties, organiseer crisisoefeningen, zet mystery guests in, organiseer phishing campagnes en herzie deze activiteiten periodiek. Genoeg om uit te kiezen, hoewel mijn persoonlijke voorkeur nog altijd uit gaat naar die mystery guest die rond 5 december verkleed als Sinterklaas probeert in zoveel mogelijk fysieke ruimten pepernoten uit te delen (en stiekem mee te lezen op beeldschermen).