De dienstverlening van de Gooise gemeenten Blaricum, Eemnes en Laren (BEL) komt langzaam weer op gang. Sinds afgelopen maandag hebben de drie gemeenten last van een ransomware-aanval met het virus Cryptolocker. Daarbij raakte zestien van de 66 gegevensservers geïnfecteerd en twee van de drie Citrix-netwerkservers. Die zijn opnieuw ingericht met data van de back-up van afgelopen zondag. De ransomaanval was mogelijk omdat een ambtenaar in een phishing-mail trapte.
De BEL Combinatie, het shared-servicecenter achter de drie gemeenten, kreeg afgelopen maandag aan het eind van de middag te maken met een virusaanval. Het betrof het virus Cryptolocker, een variant van ransomware. Als een computer wordt geïnfecteerd met ransomware, worden de bestanden erop versleuteld en wordt van de eigenaar losgeld geëist om de computer weer vrij te geven.
Kort na de aanval zijn alle systemen uitgezet om erger te voorkomen. Daarna hebben ict’ers van de BEL Combinatie de beschadigde servers hersteld, waardoor het weer mogelijk werd back-ups terug te zetten. Vervolgens zijn de e-mails gecheckt op mogelijke virusmeldingen, waarna de mailserver weer operationeel werd voor mobiele apparatuur. Losgeld is er nooit betaald, aldus een zegsvrouw.
Terugzetten
De ict-organisatie startte met het terugzetten van de niet beschadigde bestanden uit de back-up van afgelopen zondag. Gezien de grote hoeveelheid data gaat dit enkele dagen duren. Alle onderdelen worden getest door de functioneel beheerders van de BEL Combinatie.
Gefaseerd worden de diverse diensten weer geactiveerd. Prioriteit had het in de lucht krijgen van de meest belangrijke processen, waaronder de aangiften van geboorte en overlijden en zorgaanvragen (jeugdzorg, Wmo). Woensdag gingen de balies van Burgerzaken wel weer open; in de loop van donderdag draaiden alle systemen weer.
Aangifte
Gelijktijdig worden de achterstanden en het verlies van documenten, veroorzaakt door dit virus, in kaart gebracht. Ook de behandeling van e-mailberichten behoort daartoe. Wat de uiteindelijke schade is, blijkt pas wanneer alle data weer zijn teruggeplaatst en de verschillende applicaties zijn getest, laten de gemeenten weten.
De drie Gooise gemeenten melden verder dat er aangifte is gedaan bij de politie van cybercriminaliteit. De politie is inmiddels bij het opsporingsproces betrokken. Ook is er melding van de aanval gemaakt bij de landelijke Informatiebeveiligingsdienst (IBD). Een melding bij het Meldpunt datalekken was niet nodig, omdat er geen gegevens zijn gelekt, aldus een woordvoerster.
Phishing is vaak de eerste stap van een reeks in een cyber-aanval. Ook in dit voorval lijken de aanvallers de techniek ten volle te hebben benut. Je krijgt op een gemakkelijke manier de beschikking over een systeem en de bijbehorende gebruikersrechten. Vervolgens kun je vrijwel ongezien je slag slaan. De aanval wordt pas opgemerkt als de meeste schade al is aangericht. Het is een treffend voorbeeld van hoe aanvallers te werk gaan. Ditmaal lijkt het om een slachtoffer in de organisatie zelf te gaan, maar het had net zo goed een toeleverancier of andere derde kunnen zijn met enige toegang tot het netwerk. De controle en het beheer van deze privileged accounts zijn veelal de zwakke schakels in een beveiliging, en vormen zo open achterdeurtjes voor de criminelen.