Bij de hack in Buren hadden criminelen ransomware geïnstalleerd, met software werden bestanden gegijzeld en de gemeente werd afgeperst. | beeld: Shutterstock
De lessen van de IBD komen onder meer voort uit de conclusies van het onderzoek dat de gemeente Buren eerder deelde met alle gemeenten in Nederland. Uit het onderzoek van Hunt & Hackett (juni 2022) bleek dat criminelen zich toegang verschaften tot de ICT-omgeving van de gemeente met inloggegevens van een leverancier. Omdat 2-factorauthenticatie ontbrak, zelfs bij de accounts met verhoogde rechten en de VPN-accounts, stond de deur wijd open. En omdat er intern geen proces was ingericht om adequaat om te gaan met meldingen uit detectiemechanismen, zoals antivirus, was het mogelijk voor de aanvaller om ongemerkt door het netwerk te bewegen en grote hoeveelheden informatie van de organisatie te stelen. De buitgemaakte gegevens werden uiteindelijk ook gepubliceerd.
Hoger beveiligingsniveau
Met een hoger beveiligingsniveau was de aanval aanzienlijk moeilijker geweest om succesvol uit te voeren, concludeert het onderzoeksbureau. Multi-factor authenticatie en wachtwoordcomplexiteit zijn hierbij van essentieel belang. Echter, de ervaring leert ook dat aanvallers bijna altijd wel een point-of-entry vinden waarmee ze toegang tot een ICT-omgeving krijgen. Dan komt het aan op de mate waarin een organisatie in staat is om de aanval vroegtijdig te detecteren.
Ketenkwetsbaarheid
Een andere belangrijke conclusie uit het Dreigingsbeeld van de IBD is de toenemende ketenkwetsbaarheid. Bij de hack van Buren maakten de hackers gebruik van de inloggegevens van de leverancier. Een van de lessen is daar niet alleen afspraken maken met leveranciers over de beveiliging, maar die afspraken ook controleren. ‘De gemeente kan nog zo veilig zijn, maar de keten is zo sterk als de zwakste schakel.’
Veel en transparant communiceren
‘Zoals bij alle grote incidenten is (crisis)communicatie een belangrijke component van de incidentrespons.,’ schrijft de IBD. Er is bij een informatiebeveiligingsincident geen zichtbare component, zoals bij een fysiek incident, en het is een technisch en complex onderwerp. Veel en transparant communiceren is daarom belangrijk, niet alleen richting de inwoners, maar ook richting ondernemers, medewerkers, ketenpartners en de gemeenteraad. ‘Door snel, veel en transparant te communiceren straalde de gemeente Buren daadkracht en betrokkenheid uit.’
