Cyber aardbeving bij gemeente Hof van Twente, had dit voorkomen kunnen worden?

Geschreven door Han Veldwijk (hveldwijk@skopos.ai)

Het is weer raak. Afgelopen week werd de gemeente Hof van Twente geraakt door een ransomware aanval.

Ik heb te doen met burgemeester Ellen Nauta. Ze spreekt van ‘een nachtmerrie die werkelijkheid wordt‘. Kernfuncties van de lokale overheid zijn onbeschikbaar. Rijbewijzen en paspoorten kunnen niet worden aangevraagd of verlengd. Voor inwoners die afhankelijk zijn van een uitkering is onzeker of ze geld ontvangen in deze decembermaand. Nog meer heb ik te doen met de 35.000 burgers van de gemeente. Hun persoonlijke gegevens zijn mogelijk in handen van criminelen. Zij kunnen zich de komende jaren zorgen maken om een gros aan ‘digitale ziektes’. Denk aan identititeitsfraude, belastingfraude, impersonatie en phishing. Om een paar DOAs te noemen – digitaal overdraagbare aandoeningen.

Wat ging er mis?

Veel informatie is vernietigd, “informatie die soms zeer privacygevoelig is”. De gemeente staat naar eigen zeggen voor de “immense taak om een nieuwe infrastructuur voor onze gegevens te bouwen”. Dat is nogal wat. Een digitale aardbeving. Er zijn volgens de burgemeester geen aanwijzingen dat de gegevens zijn bekeken of verspreid. Dat is een snelle conslusie, iedereen die beetje filosfisch onderlegd is weet ‘absence of evidence is not evidence of absence’. Je kunt afleiden dat de gemeente geen offline back–up van de gegevens beschikbaar had of een disaster recovery proces. Een basis vereiste in deze digitale tijd. Vergelijkbaar met een noodaggregaat voor een IC-afdeling op een ziekenhuis.

Geesten bestaan niet

De ransomware aanval op de gemeente heeft alles in zich als een georganiseerde actie, vergelijkbaar met de Universiteit van Maastricht, een jaar geleden. Deze aanvallen worden goed voorbereid en nemen tijd in beslag. Aanvallers zijn geen onzichtbare geesten die door de muren van het gemeentehuis zweven. Het zijn criminelen met IT kennis die het internet afspeuren op zwakke slachtoffers. Is een slachtoffer geidentificeerd dan zullen de criminelen op afstand tests uitvoeren, emails verzenden, logins proberen. Kortom, ze maken geluid en laten sporen achter. De burgemeester schrijft echter dat experts haar hebben laten weten dat het iedereen had kunnen overkomen. Ik ben benieuwd welke experts dit zeggen, het is een snelle conclusie.

Nachtmerries voorkomen

Een cyber aanval is niet onontkoombaar zoals een een aardbeving is. Je huis kan altijd in de brand vliegen maar met een rookmelder en brandwerend materiaal is de impact minder erg. Zo is het ook op cyber gebied. Cyber nachtmerries kun je voorkomen met degelijk informatie beveiligingsbeleid en continue testen. Als jouw voordeur goed op slot zit, gaan inbrekers verder zoeken. Je geeft de inbreker immers ook niet de schuld als er bij je huis ingebroken is.

Je hebt als bestuurder een toenemende verantwoordelijkheid. De tijd van je handen wassen in onschuld of, IT de schuld geven is echt voorbij. Elke bestuurder heeft de plicht zich te informeren over informatiebeveiliging en te sturen op de juiste indicatoren. Ik roep bestuurders dan ook op om actie te ondernemen. Nodig je CISO of cyber experts met regelmaat uit aan de bestuurderstafel, laat je ethisch hacken, stel kritische vragen en als je van lezen houdt: een boektip voor Sint, over hoe cyber de wereld gaat beinvloeden.

Cyber security kan door bestuurders ook ingezet worden als een kracht, een kracht die steeds belangrijker wordt. Volgens onderzoek van Massachusetts Institute of Technology | edX blijkt dat bestuurders voor het incident cyber security af doen als ‘IT’. Na een incident worden de nu ervaren bestuurders voorstanders van security beleid. Ze zien de strategisch voordelen die informatiebeveiliging biedt1. Ik raad elke bestuurder aan om dit soort artikelen te bestuderen. Want afwachten tot je huis afbrandt is een dure strategie voor veel organisaties. Holistisch beleid is beter – voor reputatie en nachtrust.

Hoe kwetsbaar zijn laptops, medewerkers, smartphones in jouw organisatie? Wij geven een holistisch antwoord op de vraag “aan welke risico’s is jouw organisatie blootgesteld?”. Krijg het antwoord via de unieke security assessment.

1 https://shop.sloanreview.mit.edu/store/make-cybersecurity-a-strategic-asset