Het datalek bij de gemeente Buren, waardoor in april gegevens van burgers en medewerkers op het darkweb belandde, ontstond door een fout van een ict-leverancier. Die gebruikte geen twee-factorauthenticatie. Ook had de gemeente de monitoring van systemen niet op orde. Dat meldt de gemeente na onderzoek naar het lek.
De ransomware-aanval vond plaats nadat criminelen toegang kregen door misbruik te maken van inloggegevens van een leverancier. Omdat twee-factorauthenticatie op dit account ontbrak, konden de hackers binnenkomen in de ict-omgeving, aldus de gemeente. In een artikel op haar website wordt de naam van de ict-leverancier niet genoemd.
Burgemeester Josan Meijers laat over de monitoring weten dat er ten tijde van de hack nog een inkooptraject liep. ‘Samen met de experts hebben we inmiddels de monitoring van systemen ingericht.’ Ze meldt verder dat de gemeente na de ransomware-aanval meteen kon doordraaien, omdat de backupstrategie op juiste wijze is ingericht, namelijk via de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO).
Meteen na het ontdekken van de hack heeft de gemeente aangifte gedaan bij de politie en het Openbaar Ministerie. De Informatiebeveiligingsdienst van de VNG en externe specialisten zijn ingeschakeld om te assisteren met de beperking van verdere schade. Ook hielpen zij bij het herstellen van systemen en onderzoek naar de daders en de oorzaak van het datalek. Er is ook een melding gedaan bij de Autoriteit Persoonsgegevens.
Losgeld
Het onderzoek is uitgevoerd door experts van Hunt & Hackett, het security-adviesbedrijf van Fox-IT-oprichter Ronald Prins. De gemeenteraad is inmiddels over de uitkomsten geïnformeerd. Later moet er ook een openbare versie van het onderzoeksrapport verschijnen
De gemeente Buren laat verder weten dat er geen contact met de hackers is geweest over losgeld voor de gestolen data. ‘Op advies van specialisten is niet ingegaan op verzoeken tot contact. Naar alle waarschijnlijkheid zou er om losgeld zijn gevraagd.’ De rijksoverheid heeft zich uitgesproken tegen betaling van losgeld bij datadiefstal.
Id-bewijzen
Inmiddels is er ook meer bekend over de omvang en gevolgen van de gestolen bestanden. Op de systemen van de gemeente stonden 1.331 kopieën van geldige identiteitsbewijzen. Om ieder risico van misbruik uit te sluiten heeft de gemeente de circa duizend burgers aangeboden om die id-bewijzen kosteloos te vervangen. Dat is nog niet in alle gevallen gebeurd. De gemeente verwacht dat voor het begin van de zomervakanties er ‘duidelijkheid is voor alle betrokkenen’.
De hackers hebben aangegeven vijf terabyte aan gegevens in hun bezit te hebben. Eind april vond de gemeente 130 gigabyte aan gestolen gegevens terug op het darkweb,
Misbruik van inloggegevens van een leverancier is niet echt een verhelderende uitleg want hiermee kan bedoeld worden dat een service account met een standaard wachtwoord gebruikt is. Ik heb het over de achterdeur die vaak wagenwijd open staat want services account hebben sowieso geen 2FA en vaak verhoogde rechten waardoor deze interessant zijn voor hackers. Iets met een meerlaagse beveiliging waarbij je niet alleen de voordeur op slot doet maar ook alle kamers en de kasten in die kamers.
“Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO)”
Dat er nog een inkooptraject liep voor de monitoring zegt iets over de ‘vinkjes-compliance’ en de pragmatische prioriteiten in beveiliging want aangaande de rechtmatigheid voor 1.331 kopieën van geldige identiteitsbewijzen ben ik benieuwd naar het oordeel van AP. Het opslaan van een kopie in een dossier is een gebruikelijke werkwijze binnen gemeenten en dat zou dus betekenen dat er 1.331 dossiers gelekt zijn met mogelijk nog veel meer gevoelige informatie.
“Helaas kunnen we niet uitsluiten dat meer gegevens opduiken op het darkweb.”
Wat fijn dat ze dankzij BIO meteen weer beschikbaar zijn om gehackt te kunnen worden.
Moeten we jullie nou betalen of die andere dieven zullen ze aan die specialisten zullen ze gevraagd hebben..
De 3-2-1 backupregel wordt ook steeds ingewikkelder, 3 door ransomware encrypted copieen waarvan 2 op darkweb en 1 op de maan. Voor alfa’s is 130 GB / 5 TB een onmogelijke opgave. Maar gelukkig kunnen ze misbruik uitsluiten door gewoon een nieuw ID te printen 🙂