De schaamtecultuur rondom cyberincidenten binnen de overheid moet verdwijnen. Dat vindt burgemeester Sjoerd Potters van de Utrechtse gemeente De Bilt. Hij pleit ervoor dat gemeenten informatie over aanvalsmethoden van hackers delen via een centrale database.
Dat zegt de bestuurder in een interview met Digitale Overheid, dat is een door het ministerie van Binnenlandse Zaken opgezet platform voor ambtenaren en personeel dat werkt aan digitalisering van de overheid.
Potters: ‘Een cyberincident kan grote gevolgen hebben die je niet zomaar terugdraait. Met even de server uitzetten en weer door ben je er natuurlijk niet.’ Volgens Potters zijn gemeenten zich steeds meer bewust van de risico’s van cyberaanvallen, zeker nu de dienstverlening steeds vaker online plaatsvindt. ‘En als dat niet goed werkt, wordt de burger hard geraakt.’
Hij wil dat hackmethodes verzameld worden in een centrale database, zodat gemeenten kunnen zien met welke pogingen en aanvallen andere gemeenten te maken krijgen. Die informatie is op dit moment te veel versnipperd of wordt niet gedeeld, stelt hij. Potters roept ook andere gemeenten op om deel te nemen aan een jaarlijkse cyberoefening. Tijdens de 2020-editie was Potters voorzitter van het crisisteam van die overheidsbrede cyberoefening. Dit jaar wordt die oefening gehouden op 1 november.
Digitale brandoefening
‘Bij een fysieke ramp, zoals een brand, is er al een goed werkende structuur waarop je kunt vertrouwen. Bij een digitaal probleem ligt dat bij veel gemeenten nog anders’, stelt Potters.
Door de oefening maken gemeenten en overheden mee wat het is om middenin een cyberincident te zitten. ‘Het is een goede manier om te ervaren wat je moet doen bij een cyberincident. Met de opgedane kennis is de gemeente kritisch naar de eigen protocollen gaan kijken en zijn ze aangepast.’
Maar Potters blijft realistisch: ‘Honderd procent veiligheid bestaat niet. Ondanks dat onze systemen regelmatig worden getest, kom je toch kwetsbaarheden tegen.’ Zo had zijn gemeente onlangs een datalek met een camerasysteem dat kentekens registreert voor een inrijverbod. Buitenstaanders konden die gegevens inzien door configuratiefouten en het schenden van bewaartermijnen door leverancier ARS Traffic & Transport Technology.
Onderzoeksjournalisten van Argos brachten het nieuws over het lek op aangeven van securitybedrijf Eset naar buiten. De gemeente De Bilt meldde het incident in een bericht op haar website. Potters roept aan de hand van dit voorbeeld op om naast de eigen ict-omgeving ook de cyberveiligheid van samenwerkingsverbanden, leveranciers en partners na te gaan.
‘Schaamtecultuur moet vedwijnen’
Volgens Potters proberen gemeenten hun systemen met privacygevoelige data van burgers zo goed mogelijk te beschermen. Maar, om bijvoorbeeld de tijdens de corona-pandemie fors toegenomen phishing-aanvallen aan te pakken, zijn extra stappen gezet.
De gemeente is samen met de politie en banken voorlichting gaan geven over die digitale valstrikken. Bijvoorbeeld in wijken waar die aanvallen veel voorkomen zijn bijeenkomsten opgezet.
Potter kijkt uit naar de Overheidsbrede Cyberoefening van 2021. ‘Alles verandert razendsnel dus ik verwacht dit jaar weer nieuwe dingen te horen. Maar wat ik ook hoop is dat de schaamtecultuur rondom dit onderwerp verdwijnt. Eén moment van onoplettendheid is genoeg om in de trucs van internetoplichters te trappen. En dat kan iedereen gebeuren, niemand is altijd alert.’
Waar we nu eindelijk eens over moeten ophouden is stoerdoenerig te spreken van ‘cyberaanval’. Het is geen oorlog en je bent geen generaal.
In het overgrote deel van de incidenten gaat het om eigen nalatigheid of slordigheid. En doorgaans het gevolg van niet voldoen aan elementaire wettelijke verplichtingen, al dan niet gecombineerd met ontbreken van veiligheidsbewustzijn bij medewerkers.
@P.J. kan het niet beter verwoorden! Ook mooi om te zien dat het probleem en de oplossing in één alinea staat. “Hij pleit ervoor dat gemeenten informatie over aanvalsmethoden van hackers delen via een centrale database” Wat een kortzichtige reactie. Huur fatsoenlijke expertises in die toegang hebben tot mondiale informatiesystemen. Alsof die access database van de gemeente het verschil gaat maken (die overigens ook gehackt kan worden ;-))… Ik zie het al voor me. Gemeente Uden ziet een poortscan vanuit Verweggistan. Gemeente Den Bosch ziet ook een poortscan … eens even kijken in de database … ‘hé in Uden hebben ze ook een poortscan gehad’… is hier fundamenteel niet iets anders mis? Waarom is iedere gemeente exposed? Waarom is er geen verplichting tot centralisatie van gemeentelijke systemen en daarbij een fatsoenlijk budget om dit veilig te houden?
Het lijkt hierboven op dat slachtoffers niet gezien mogen worden als prooi van een cyberaanval. Nalatigheid, een verkeerde technische handeling of onwetendheid aan de kant van het slachtoffer of niet, men is wel slachtoffer van een cyberaanval. Men heeft er niet om gevraagd. Soms gebeurt dit door een handige puber, soms door een criminele organisatie, soms door een afdeling van een leger (waar men weldegelijk oversten heeft), soms door een terreurorganisatie (ook met bevelvoerders). Er wordt niet alleen rondgeneusd, maar er worden ook data gestolen, verminkt, versleuteld, er wordt gesaboteerd en / of gechanteerd. Het motief is soms baldadigheid, soms geld, soms een politiek conflict, soms een koude oorlog. Overigens, in het artikel spreekt men niet over een oorlog en ook niet over generaals. Maar cyberaanvallen op nucleaire installaties, computers van de Onderzoeksraad voor Veiligheid, of van de Organisatie voor het Verbod op Chemische Wapens, op nationale banken, enz., kunnen in het verlengde liggen van gewone oorlogen. Het gaat dan immers niet om het schieten, maar om het raken.
De opmerking “Huur fatsoenlijke expertises in”, geldt die ook voor al die gehackte bedrijven zoals in de zaak van Kaseya? Dit soort opmerkingen stimuleren een schaamtecultuur die hackers alleen maar helpt. De communicatie kan en moet constructiever.
Dhr. Van Belkum blaast het op tot het niveau van dhr. Potters.
Er is geen cyberaanval, geen cyberoorlog, geen aanval op nucleaire installaties of electriciteitcentrales, noch van ‘external actors or nation states’
Er is gewoon sprake van slordigheid cq. nalatigheid in de orde van het laten open staan van de achterdeur, verouderd hang- en sluitwerk, en algemene desinteresse voor andermans (= belastingbetalers) persoon en goed.
Nee, men is geen ‘prooi’. Men is ‘willig slachtoffer’. Dat de consequenties van zijn nalaten eenvoudigweg afwentelt op het wérkelijke slachtoffer. Nl. diegene wiens persoon en goed door de wet beoogd worden te worden beschermd.
Voor zover de gemeentelijke ICT al niet op een koopje is geoutsourced – zoals die van Potter’s De Bilt – en dús buiten zicht, interesse en regie van de eindverantwoordelijke gemeente is geraakt, wordt doorgaans nagelaten te luisteren naar Functionaris Gegevensbescherming en Hoofd Systeembeheer.
En dat is naast andere gemeenten (Amersfoort, Hof van Twente) en semi-overheden (GGD GHOR) weinig anders bij andere grote organisaties, zoals de Rotterdamse Containerterminal.
Niks ‘cyberattack’, gewoon smoezen. Het is niet ingewikkeld, het wordt ingewikkeld gemáákt.
En dat doe je onder andere door wéér een organisatie in het leven te roepen. Om daarmee de eigen verantwoordelijkheid zoveel mogelijk te verdoezelen, en zo ver mogelijk wég te leggen.
‘Not my money, not my problem’. Niks ‘schaamtecultuur’, maar ‘Naming & Shaming’.
@P.J Westerhof
Gaarne uw praktische advies hier hoe om om te gaan met een zero day vulnerability als in het geval van de Kaseya-attacks.
Gezelligheid kent geen tijd hier. Digitaal vliegen afvangen voert de boventoon.
Vind het wel zinnig wat deze meneer zegt. Je hoeft er niet voor te schamen als de digitale narigheid op het pad komt. Het delen van de kennis helpt. Externe expertise helpt maar is geen garantie. De computer is veel, onoverzichteljk en de ellende kan van alle kanten komen. Wat mij belangrijk lijkt om voor ogen te hebben wat te doen om de zaken draaiend krijgen nadat onverlaten de boel vernaggeld hebben. Dat zou het mooiste zijn, gegijzeld zijn door ransomware, alles leegvegen en met een paar drukken op de knop verder gaan waar je gebleven bent.
@KJ
Direct oplossingen schetsen is altijd gevaarlijk. Maar ik wil er wel een paar geven voor de Kaseya- attacks,
1) Gebruik waar mogelijk een afgescheiden (firewalled) out of band management netwerk voor beheer (je te beheren CIs),
2) Gebruik een afgezonderde (firewalled+IDS) management enclave voor beheer (je management machines),
3) GUI van de beheertools alleen zichtbaar middels een steppingstone / VDI die in de management enclave staat en niet op de laptop van de beheerder.
4) Beoordeel kritisch wie toegang mag hebben tot je management enclave,
5) Never Never Never direct internet exposure!
6) Implement 2 factor authentication op minimaal de management enclave laag,
7) Audit het systeem door reguliere Pen-Tests,
8) Last but not least. Backup naar een immutable backup target.
Kost allemaal paar centen … en daar zit ook meestal het probleem.
P.J. je mag de algemene vakliteratuur beter bijhouden. Extreme aanvallen komen weldegelijk voor. De Siemens SCADA-systemen van ultracentrifuges van Iran zijn een aantal keren door cyberaanvallen ernstig ontregeld zodat een deel van de ultracentrifuges kappot is gegaan. Israël zou samen met de VS de opwerking in 2009 hebben gesaboteerd m.b.v. een variant van Stuxnet. In 2020 en in 2021 heeft Israël de ultracentrifuges in Natanz weer gesaboteerd; dat zeggen ze zelf. Deze acties ziet Israël als het milde alternatief voor bombardementen en andere gewapende acties. Diverse sleutelfiguren van het nucleaire programma van Iran zijn verdwenen, opgeblazen of doodgeschoten, waarschijnlijk door de Mossad. In 1980 en in 1981 heeft Israël de kerncentrale in aanbouw van Irak gebombardeerd. Je kan deze cyberaanvallen zien in het verlengde van conventionele oorlogen. Elektriciteitscentrales kunnen ook aangevallen worden. In 2015 en in 2016 zijn er in de Oekraïne cyberaanvallen geweest op elektriciteitscentrales die stroomstoringen hebben veroorzaakt. Daar kijkt men richting de grote oosterbuur. Verder kan je de voorbeelden zelf opzoeken.
De één is veel beter voorbereid op het voorkomen en van het beperken van cyberschade dan de ander. Sommige bedrijven en instellingen nemen onverantwoorde risico’s, ook naar derden. Maar ook zij die cybersecurity heel serieus nemen, die kunnen slachtoffer worden van criminele it-ers. Katten kunnen niet alle muizen vangen in het kat-en-muisspel. Slachtoffers van cyberaanvallen, willige slachtoffers van hun smoezen noemen, gaat mij te ver. Je zegt toch ook niet dat vrouwen ’s avonds maar niet op straat moeten lopen? We kunnen beter naar reële dreigingen en praktisch oplossingen kijken, zoals hierboven door anderen gedaan is.
@Van Belkum.
Beetje goedkope reactie van JvB. Ook slecht geïnformeerd.
Ik houd mij bij de grondbeginselen zoals vastgelegd in het Tallinn Manual 2.0
“Extreme aanvallen”? Ik ken ze niet.
‘Externe aanvallen’ is nu juist waar het hier om gaat. Het gaat om de huichelachtige rol van het ‘slachtoffer’. Dat is geen slachtoffer van een ‘aanval’ maar van eigen stupiditeit. En dan met name het duur betaalde topmanagement. Het duur betaalde topmanagement dat door de wet als verantwoordelijke wordt benoemd, maar deze verantwoordelijkheid uit de weg gaat en consequenties distribueert.
Deze ‘bestuurders’ worden zogenaamd duur betaald vanwege hun grote verantwoordelijkheid. Een verantwoordelijkheid die in realiteit ver te zoeken is.
En doorgaans is geen enkele sprake van ‘externe aanvallen’, maar van interne stupiditeit ondanks de vele duurbetaalde cursussen.
‘Iedereen maakt fouten’, natuurlijk, maar daar zijn bijna zonder uitzondering derden het slachtoffer van. Een USB-stick in de trein laten liggen, of klikken op een phishing mail. Nauwelijks te verdedigen, maar ook gefaciliteerd door een uitgeknepen ICT-infrastructuur.
Als we jaar op jaar moeten constateren dat organisaties – (semi-)overheid én bedrijfsleven – niet voldoen aan de meest elementaire, wettelijk vastgelegde beveiligingseisen en dat het ‘beveiligingsbewustzijn’ onder de maat is. Wat is er dan te doen? Welke genoegdoening krijgt het slachtoffer als zelfs de rechter privacy waardeert op enkele tientjes?
Op gegeven moment zijn we toch écht uitgepraat.
“We kunnen niet zónder jullie, maar we zijn gedwongen het tóch te gaan proberen”.
P.J. we zijn het eens dat organisaties zich te houden hebben aan beveiligingswetten en -normen. De AVG, de Wgmc, de bewaarplicht vanuit diverse wetten, de BIO , BIR, BIG en IBI richtlijnen voor overheden, de NEN710 richtlijn voor de zorg, die zijn er niet voor niets. Contractueel kan men ook gebonden zijn aan normen of weten in het buitenland. Ik ben ook felle voorstander van beveiliging, controlle en handhaving. Boetes mogen daarom ook gegeven worden, mensen ontslagen. Maar behalve onverantwoorde risico’s nemen, kan iedereen een foutje maken, te maken hebben met een Zero-day gaten, een gat bij de partner, kan er een niet te voorziene inside job zijn.
Cyberaanvallen zijn geen natuurverschijnselen, maar criminele opzet. Je kan ook niet zeggen dat een ransomware crimineel een dief van eigen portemonnee zou zijn als deze niet gebruik zou maken van de gelegenheid.