In maart 2017 werd de BEL Combinatie (gemeenten Blaricum, Eemnes en Laren) getroffen door een ransomware-aanval. De IT-systemen lagen er anderhalve dag (Burgerzaken) tot drie dagen uit. Gemeentesecretaris Else Ruizeveld de Winter en Chief Information Officer Caroline Algra vertellen wat er op dat moment gebeurde. En wat anderen daarvan kunnen leren, want dit kan elke organisatie overkomen.
De BEL Combinatie voert vooral regie over haar IT. Ze heeft haar IT volledig uitbesteed (zowel de infrastructuur als het beheer ervan) en de gebruikersondersteuning geïnsourcet (met een skilled IT-servicepunt). Dat werkt goed en tijdens de ransomware-aanval (ransomware is een virus dat bestanden versleutelt en losgeld eist voor de sleutel, red.) bewees deze keuze zich opnieuw, want zonder de expertise van onze partners hadden we er nooit zo snel op kunnen reageren. Hun specialisten werkten 24 uur per dag om alles weer operationeel te krijgen. Als je IT in eigen huis hebt, dan heb je niet voldoende mensen om dat te kunnen, laat staan de expertise die daarvoor nodig is.
Eenduidig inzicht in informatieveiligheid
Dit artikel is deel 3 in een serie over informatieveiligheid bij gemeenten (hier vindt u deel 1 en 2) waarin gemeentesecretarissen hun ervaringen delen. Gemeenten leggen jaarlijks verantwoording af over hun informatieveiligheid. Dat gebeurt vanaf 2017 voor het eerst met behulp van ENSIA (Eenduidige Normatiek Single Information Audit), de nieuwe verantwoordingsmethodiek voor informatieveiligheid. ENSIA geeft de gemeenteraad eenduidig inzicht in informatieveiligheid. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier beter op sturen. Met ENSIA wordt ook verantwoording afgelegd aan nationale toezichthouders over het gebruik van zes registratiesystemen, onder meer DigiD, PUN (paspoorten) en Suwinet (sociale zaken).
Meer informatie over de invoering van ENSIA bij gemeenten, klik hier.
Stekkers eruit
Op maandag 27 maart aan het eind van de middag kregen we van het IT-servicepunt een melding. In eerste instantie ging het om een foutmelding op een documentserver. Enkele minuten later kwamen er andere foutmeldingen en werd snel vastgesteld dat ransomware actief was. Uit verschillende problemen kon worden vastgesteld dat een medewerker op een besmette link had geklikt en daarmee verschillende systemen had geïnfecteerd. Onze IT-partner heeft een standaard protocol voor dit soort situaties, dat meteen in werking trad. Het betekende dat letterlijk de stekkers uit de geïnfecteerde systemen werden getrokken en er werd geëscaleerd naar de CISO (Chief Information Security Officer) en CIO (Chief Information Officer) en betrokken leveranciers, zodat alle systemen direct in quarantaine kwamen. Een andere optie is er niet, want alles via de software uitschakelen duurt te lang. De ransomware verspreidde zich razendsnel, elke minuut werden er meer bestanden versleuteld. Door de stekkers eruit te trekken stopten we de aanval, maar schade was er wel. Diverse bestanden waren versleuteld en daarmee ontoegankelijk geworden. Ook servers waren geïnfecteerd. Onze IT-systemen waren uitgezet, waardoor de gemeentelijke digitale dienstverlening tot stilstand kwam.
Crisisteam
Onze IT-partner regelde het technische deel: onderzoeken wat er precies geïnfecteerd was, alle systemen in quarantaine (laten) zetten om zeker te weten waar de besmetting was. Ook de uitwijkomgevingen, want ook die waren besmet. Het toegangsplatform en verschillende servers moesten opnieuw worden geïnstalleerd en de back-ups van alle gegevens teruggezet. Dat duurt lang, het ging om vier terabyte aan gegevens. Ondertussen riepen wij het crisisteam op, dat die maandag direct bij elkaar kwam. Het was de eerste keer dat we te maken kregen met ransomware, maar er zijn natuurlijk wel eerdere crises geweest. We hebben hier dezelfde manier van crisisbeheersing toegepast en dat werkte goed. Het gaat om korte lijnen, een duidelijke structuur wie wat doet, om snel de juiste informatie te hebben zodat je goed kunt oordelen en beslissingen kunt nemen. Je kunt in een crisis uren zoet zijn met roddels en emoties, maar dat schiet niet op. In zo’n geval moet je juist kalm blijven en met een heldere structuur en verantwoordelijkheden werken. Een ransomware-aanval is een crisis, die moet je als zodanig behandelen.
Cyberpolitie
We deden aangifte en kregen hulp van de cyberpolitie. De geïnfecteerde omgeving is door onze IT-partner apart gezet en overgedragen aan de politie. Uit onderzoek van de politie bleek dat het om het virus Cryptolocker ging, dat leidde naar een website in Polen. Die website is geblokkeerd, zodat computercriminelen deze niet meer kunnen gebruiken. Deze variant van ransomware versleutelde alleen gegevens, er werden geen gegevens gestolen. Dat konden we zien omdat we de datalijnen en de mailomgeving urenlang hadden gemonitord en de log-files gelezen. Toen alles veilig leek hebben we eerst alleen intern verkeer toegelaten, daarna pas extern verkeer. Met continue monitoring. Ook uit de analyse van het soort ransomware konden we afleiden dat het hier uitsluitend ging om versleuteling van bestanden. Er is onderzocht welke bestanden versleuteld zijn en we hebben kunnen vaststellen dat er geen datalek was. We hebben geen losgeld betaald, mede op aanraden van de politie.
Communicatie en planning
Onze IT-partner deed het technische werk, voor ons waren communicatie en planning het belangrijkste. We hebben iedereen wel naar het werk laten komen, want ook al lagen de systemen plat, er was genoeg te doen. We vroegen iedereen om te inventariseren wat ze maandag hadden gedaan, want die data was wellicht verloren gegaan. Ook vroegen we de functioneel beheerders standby te staan, want zodra de applicaties weer in de lucht kwamen zijn deze eerst getest. We pelden af wat als eerste weer operationeel moest gaan. Dat vergt goede communicatie en begeleiding, want het betekende dat een team weer aan de slag kon terwijl een ander team nog moest wachten.
De wereld verandert snel van analoog naar digitaal, maar daar hebben veel gemeenten hun organisatie nog niet op aangepast.
Als directie is het belangrijk om hierover goed te communiceren. Inwoners en ondernemers hebben we via social media en onze website laten weten dat er geen dienstverlening was. De telefoon werkte wel, maar de systemen van het klantcontactcentrum deden het ook niet, dus die konden niet meer doen dan inwoners vertellen wat er aan de hand was. Woensdagmiddag waren de sleutelapplicaties van Burgerzaken operationeel, op donderdag deden alle systemen het weer. Het was heel mooi om te merken hoe iedereen zich inzette. Een incident als dit kan een organisatie lamslaan, maar het tegendeel gebeurde. Mensen kwamen terug van verlof en functioneel beheerders stonden dag en nacht stand-by om te kunnen testen zodra een applicatie weer operationeel werd. De hands-on mentaliteit was echt ongelooflijk. We vonden het fantastisch om dat te merken, dan zie je wat een kracht er in een organisatie zit.
Expertise
Terugkijkend kunnen we een aantal dingen concluderen. We investeerden al in i-bewustzijn van medewerkers, daar hebben we daarna extra aandacht aan besteed. We lieten aan iedereen zien hoe de aanval verliep en wat je in zo’n geval op je scherm krijgt. Zo’n incident helpt enorm om het bewustzijn te vergroten. Heel belangrijk bleek ook de rol van de functioneel beheerders. Daar kan nog wel wat verbeterd worden. De wereld verandert snel van analoog naar digitaal, maar daar hebben veel gemeenten hun organisatie nog niet op aangepast. Het is echt belangrijk om in de hele organisatie goede functioneel beheerders aan te stellen, mensen die hun vak verstaan en verstand hebben van de processen en de applicaties die deze ondersteunen. Verder bleek hoe belangrijk het is om een goede CIO, CISO en FG (Functionaris Gegevensbescherming) te hebben. Dat soort mensen zijn nu nog schaars bij gemeenten. Het lijkt ons een goed idee om op deze taken als gemeenten samen te werken. Alleen dan haal je de expertise in huis die je nodig hebt.
Geef een reactie