‘De impact van deze hack had enorm kunnen zijn’



Marion van Limpt, directeur werkbedrijf Senzer (links) en
Nausikaä Efstratiades, hoofd Informatiebeveiligingsdienst (rechts)

Afgelopen maart drongen cybercriminelen het netwerk van werkbedrijf Senzer binnen met als doel persoonsgegevens te stelen en losgeld eisen. Gelukkig kon er op tijd worden ingegrepen. Directeur Marion van Limpt: “Wij zijn heel goed weggekomen.”

Gehackt

Senzer is in zeven gemeenten onder andere verantwoordelijk voor het betalen van uitkeringen. Bij de reguliere ochtendcontrole van het netwerk werd ontdekt dat aanvallers bezig waren met inbreken. Marion van Limpt: “Ik kreeg een telefoontje van de teamleider dat er problemen in het netwerk waren geconstateerd. Toen gingen bij mij gelijk alle alarmbellen rinkelen. Op kantoor waren de stekkers er al letterlijk uitgetrokken en waren al onze systemen offline gezet. Gelijk ging door mijn hoofd: kunnen morgen die 3600 uitkeringen wel worden uitbetaald?”

IBD schiet te hulp

Senzer informeerde onmiddellijk de Informatiebeveiligingsdienst (IBD). Deze dienst helpt gemeenten bij incidenten rond informatiebeveiliging en zorgt voor preventie en detectie van algemene dreigingen. Hoofd van de IBD Nausikaä Efstratiades: “Als iemand ons in paniek belt proberen wij als eerste te zorgen dat de rust terugkeert. Daarna maken we gezamenlijk een eerste analyse van het incident plus een stappenplan. Vervolgens ging het crisis managementteam van Senzer met een gespecialiseerde partij hiermee aan de slag. Wij als IBD bleven betrokken.”

Onder controle

Marion: “De IBD heeft ons goed geholpen zo kregen we zelfs advies hoe we dit incident naar de media moesten brengen. Met de inzet van het Computer Emergency Response Team (CERT) kon de schade gelukkig beperkt blijven. De aanvaller had losgeld-softeware geplaatst maar we hebben geen losgeld betaald. Met de back-upbestanden kon ons netwerk relatief snel worden hersteld en liepen de uitkeringen geen vertraging op. Wel hebben we aangifte bij de politie gedaan.”

Openbaarheid

Deze aanval kan een leermoment voor andere organisaties zijn, daarom heeft Senzer het onderzoeksrapport openbaar gemaakt. Nausikaä vindt dat een goede zet: “Het beste dat kan voortkomen uit een incident is dat we ervan leren. Zo was deze aanval op Senzer een leermoment voor de IBD. Hoe verliep de communicatie, hoe is het georganiseerd in een samenwerkingsverband? Dit incident is ook leerzaam voor andere organisaties. Zie het als en een moment van bewustwording. Het is een aanleiding om het gesprek over informatiebeveiliging in je gemeente te beginnen. Vraag jezelf af: kan dit ook bij ons? Wat doen wij eigenlijk om zoiets te voorkomen? Zijn wij klaar voor een dergelijke situatie?”

Beveiligingsverplichting

Senzer heeft de kwetsbaarheden aangepakt en geleerd van dit incident. De directeur ziet graag een wettelijke verplichting: “Ik ben me nu nog bewuster van het belang van informatieveiligheid. Wij hebben helaas geen onbeperkte geldstroom voor beveiliging. Daar moet tegenover staan dat wij kunnen garanderen dat kwetsbare gegevens van inwoners veilig zijn bij ons. Mensen laten niet, zoals bij een webwinkel het geval is, vrijwillig hun gegevens achter. De Baseline Informatiebeveiliging Overheid (BIO) geeft houvast maar ik mis nog een wettelijke beveiligingsverplichting voor publieke organisaties. Als je ziet wat de impact van een hack kan zijn, dan schrik je daar van. Doordat wij nog op tijd konden ingrijpen en goede back-ups hadden, zijn we goed weggekomen.”

Verhoog je digitale weerbaarheid

Zonder wettelijke verplichting zijn er wel manieren om je weerbaarheid te verbeteren vertelt Nausikaä: “Risicobesef is essentieel. Om gemeenten hierbij te helpen brengt de IBD periodiek een dreigingsbeeld uit. En om te helpen met het verhogen van de digitale weerbaarheid heeft de Informatiebeveiligingsdienst een ondersteuningspakket ontwikkeld met een basale set van technische en organisatorische maatregelen. Pas als je de basis op orde hebt zijn de risico’s beheersbaar.”