De perikelen bij stad Antwerpen lezen als het draaiboek ‘Hoe omgaan met cyberaanvallen?’. Op basis van de input van onder meer de Antwerpse cdo valt veel te leren hoe je cyberaanvallen kan bestrijden en voorkomen. ‘Die backups bleken heel bepalend voor het verdere verloop van het verhaal.’
Onder meer Youri Segers (chief digital officer en ceo Digipolis) en Bart Bruelemans (chief resilience officer) geven in de mate van het mogelijke inzicht in de cyberaanval in het Antwerpse, en ook welke lessen er kunnen getrokken worden. Wij halen er deze vijf uit.
Vijf lessen
- Timing is alles
Al sinds vorig jaar was de stad Antwerpen bezig om hun niveau van cyberveiligheid op te vijzelen. Maar de stad werd in snelheid genomen. Zo blijkt dat de noodzakelijke multi-factorauthenticatie nog niet in voege was, maar wel op stapel stond. Bij Digipolis (de it-partner van de stad Antwerpen) werd multi-factor wél al ingevoerd, maar bij de andere stadsdiensten nog niet. Ook andere initiatieven zoals een anti-phishing-campagne binnen de stadsdiensten was er nog niet op het moment van de aanval. Of hoe cyberbeveiliging in de praktijk ook een race tegen de klok blijkt.
Tegelijk is cyberbeveiliging is een marathon, zo klonk het tijdens de toelichtende persconferentie. ‘Maar sommige aanpassingen zullen nu in maanden moeten gebeuren in plaats van jaren. En door die aanpassingen zal ook het gebruiksgemak bij bepaalde diensten verminderen. Dat is onvermijdelijk.’
- Back-up is alles
Segers beschrijft als cdo hoe ransomware toesloeg, op basis van de ervaring bij stad Antwerpen. ‘Die software zoekt naar kwetsbaarheden in uw systemen. Zodra dat is gebeurd en opgespoord, zet ze zogenaamde beacons uit. Die toepassingen kunnen ze dan achteraf activeren en zo interessante bedrijfsdata opspeuren. Die data worden dan uit uw systeem gehaald, gekopieerd en er worden maximaal sporen gewist’, legt hij uit. ‘De volgende stap is dan dat hackers de backups gaan encrypteren en mogelijk compromitteren. Maar dat is bij ons niet gebeurd en dat is heel bepalend voor verloop van dit verhaal’, aldus Segers.
De volgende stap bij ransomware is dat de hackers de systeem-accounts overnemen, om het encryptievirus los te laten. Maar dat was net op het moment dat de stadsdiensten onraad roken. ‘Wij hebben een response team ingeschakeld, met behulp van externe experts. En we hebben ook het cert gecontacteerd en de crisiswerking geactiveerd.’
- Snel handelen is noodzakelijk
Een cyberaanval vereist snelle en diverse actie. ‘We hebben zo snel mogelijk de internettoegang afgesloten, backups afgezonderd zodat het virus niet tot daar kon geraken. Ook de connecties met andere partijen en partners hebben we verbroken’, zo licht Segers enkele van de eerste noodacties toe. ‘Zodra de omgeving terug onder controle was hebben we systeemaccounts overgenomen en ons serverpark onbereikbaar gemaakt. We hebben vervolgens monitoring opgeschaald op de it-infrastructuur van de stad.’
Segers benadrukt dat het in deze omstandigheden vaak behelpen was. ‘Zo hebben we aan de eindgebruikers gevraagd om hun virusscan manueel op elke pc op te starten. Centraal kon dat niet meer’, licht hij toe. ‘En vervolgens hebben we onder meer ook onze eigen soc uitgebouwd, zeg maar de figuurlijke wachters op de muren.’ Dit om proactief te kunnen inspelen op mogelijk nieuw gevaar.
- Selectief communiceren is noodzakelijk
Cruciaal bij zo’n cyberaanval bij een instantie als stad Antwerpen, die omvattend is en in de kijker loopt, is dat je karig moet zijn met informatie. ‘Je kan geen procesinformatie geven en dat is vervelend’, vertelt Bart Bruelemans, chief resilience officer bij stad Antwerpen. ‘We konden enkel nog communiceren over wat er nog wel werkte.’ Daartegenover staat de noodzakelijke communicatie. Zoals aangifte doen bij de Vlaamse Toezichtcommissie en de Gegevensbeschermingsautoriteit. En ook een aangifte bij de politie bij de Computer Crime Unit. ‘Dat onderzoek loopt nog, waardoor communiceren er ook niet eenvoudig op wordt.’
- Volledige veiligheid bestaat niet
Dat is de pijnlijke waarheid die bij alle betrokkenen duidelijk wordt. ‘Geen enkel systeem van lokale overheid is waterdicht. Eigenlijk verre van’, aldus de Antwerpse burgemeester Bart De Wever. Ook federale instanties, zoals de Kanselarij van de eerste minister en Defensie, kregen onlangs nog hackers over de vloer. ‘Zelfs de beste beveiliging is nooit honderd procent veilig, onafgezien van het budget dat daar tegenover staat.’
