Tekst BKB
Foto ANP
Op zaterdag 12 september werd Diemer Kransen, algemeen directeur en regionaal commandant van de Veiligheidsregio Noord- en Oost-Gelderland (VNOG), gebeld dat er ‘iets’ met de systemen was. Het leek op een storing rond het mailverkeer, maar op zaterdagavond werd duidelijk dat er meer aan de hand was. De VNOG bleek geraakt door een forse hack. Wat doe je dan? Welke partners betrek je en hoe communiceer je? Een leerzame terugblik op een serieuze cyberaanval.
“We wisten niet precies wat er geïnfecteerd was en moesten besluiten nemen met relatief weinig informatie”, blikt Diemer Kransen terug. “We hebben onmiddellijk de crisisstructuur opgetuigd.” Iets waar de veiligheidsregio ruimschoots ervaring mee heeft, met als grote verschil dat VNOG nu zelf in de crisis zat, in plaats van dat ze anderen eruit helpen.
Op zondagochtend werden drie belangrijke stappen gezet. Het crisisteam van VNOG kwam bijeen en betrok in dit gesprek hun belangrijkste partners: KPN, FoxIT en het Nationaal Cyber Security Centrum (NCSC). Alle stekkers gingen direct uit de servers. En er werd besloten om de servers te vervangen. Kransen: “Dit bemoeilijkte wel de volgende essentiële stap: het veilig en open communiceren over wat er aan de hand was, zowel intern als extern. Het bleek een hele opgave om 1.700 medewerkers te bereiken die niet op de mailserver kunnen. Via Signal werden zij toch allemaal ingelicht, waarbij er meteen aan duidelijk en eerlijk verwachtingsmanagement werd gedaan, want dit kon nog wel even duren.”
Ook naar buiten toe koos VNOG voor transparantie. Er werd aangifte gedaan bij de politie en er werd contact gezocht met verschillende belanghebbenden: het ministerie van Justitie en Veiligheid, de 22 burgemeesters uit de veiligheidsregio en alle andere veiligheidsregio’s. Kransen: “We hebben alle partners ingelicht dat VNOG gehackt was, zonder al te veel in details te treden. Waarbij het belangrijkste punt was: de organisatiekracht van de VNOG was niet geraakt en VNOG kon zijn operationele taken blijven uitvoeren. Zo werd bewust voorkomen dat er paniek zou ontstaan.”
Samenwerking
Gevolg van deze vroege communicatie was dat er veel hulp kwam en er goede samenwerking ontstond met partners en leveranciers. Dankzij forensisch onderzoek, werd al snel duidelijk dat het criminelen betrof die snel geld wilden verdienen. Daarmee werd de angst voor een gerichte aanval op bijvoorbeeld geheime documenten weggenomen. Heeft VNOG overwogen om te betalen voor het vrijgeven van de bestanden? Een aanlokkelijk idee, geeft Kransen toe. “Het kost waarschijnlijk minder geld dan het compleet resetten en opnieuw beveiligen van je hele systeem. Toch lost het niks op. Want na betaling heb je geen zekerheid dat de criminelen niet meer terugkomen en je houdt hun verdienmodel in stand. Daarom hebben we niet betaald; de politie heeft ons goed ondersteund bij de afweging.”
Uiteindelijk heeft het snelle handelen ervoor gezorgd dat het gros van de medewerkers binnen drie weken weer normaal kon werken. Kransen: ‘’Cruciaal was het snel optuigen van de crisisstructuur en het direct betrekken van externe partners. En daarnaast hebben we onze medewerkers veel vertrouwen en vrijheid gegeven in het oppakken van taken. Dat betaalt zich echt uit: iedereen was extreem gemotiveerd om samen zo snel mogelijk uit deze crisis te komen. Dit in combinatie met transparante en eerlijke communicatie heeft ervoor gezorgd dat we de aanval op een effectieve manier konden opgevangen. De operationele werkzaamheden zijn nooit stil gevallen en de hele organisatie was binnen drie maanden weer volledig schoon.’’
Kwetsbaar
Ondanks dat de systemen van de VNOG goed beveiligd waren, geeft Kransen toe dat de VNOG niet goed was voorbereid op een digitale aanval. “We wisten vooral hoe we moesten handelen in een crisissituatie, vanuit onze rol als veiligheidsorganisatie. Daarom deel ik ook graag mijn ervaringen. Ik hoop dat met het delen van onze kennis andere organisaties beter voorbereid zijn op een dergelijke aanval. Voor een veiligheidsorganisatie als VNOG is dat een makkelijkere opdracht dan voor kleine organisaties. Maar, begin ermee en ga het gesprek aan. Weet wat je kunt verwachten van je partners en leveranciers en zorg dat er een protocol klaarligt voordat het moment is aangebroken.”
Want een cyberaanval valt niet te voorkomen, zegt Kransen. “Er vinden 6.000 hackaanvallen per minuut plaats en ik ben ervan overtuigd dat elke organisatie kwetsbaar is. De vraag is hoe je de kans op een geslaagde hackaanval minimaliseert. De helft van de organisaties geeft aan dat ze hun digitale weerbaarheid uitstekend op orde hebben. Terwijl dit in het gros van de gevallen absoluut niet zo is. Dit besef moet er eerst komen, om vervolgens te werken aan de weerbaarheid en de interne bewustwording.” De Cyber Security Raad vindt dat het nieuwe kabinet 833 miljoen moet investeren in digitale veiligheid, maar ondertussen schat Kransen de betalingen aan de hackers op het viervoudige. Hij pleit dan ook voor grote veranderingen: een ministerie van Digitale Zaken bijvoorbeeld en betere samenwerking tussen het private en het publieke domein om ons land weerbaarder maken tegen digitale dreiging. “De dreiging is er en het zal ongetwijfeld nog vaak fout gaan, dus laten we ons samen daar zo goed mogelijk op voorbereiden.”
Veiligheid en bewustwording
De VNOG werkt op twee manieren aan haar eigen weerbaarheid: door de veiligheidsmaatregelen te verscherpen en de bewustwording binnen het bedrijf te vergroten. Zo is de dijkbewaking van de IT-systemen op orde gebracht in samenwerking met FoxIT en zijn er ook afspraken gemaakt met leveranciers van apparaten waarin potentiële lekken kunnen zitten. Kransen: “Een andere stap in de veiligheidsstrategie betreft het zoveel mogelijk compartimenteren. Daarmee wordt het voor criminelen lastiger om de gehele organisatie te hacken. Als ze binnenkomen op plek A, zijn er nu digitale muren om te voorkomen dat ze moeiteloos door kunnen naar plek B en C.”
De bewustwording dat het digitale gevaar in een klein hoekje zit, wordt ook duidelijk gedeeld met medewerkers. Met awarenesstrainingen, maar ook door het verplicht stellen van tweestapsverificatie op zoveel mogelijk plekken. “Binnen elke organisatie werken mensen die fouten maken”, zegt Kransen, “fouten die kunnen leiden tot grote problemen. Het is aan de leidinggevenden om met dit soort maatregelen de kans op fouten zo klein mogelijk te maken.”