Nieuws

Wat hebben Overijsselse gemeenten geleerd een jaar na de hack bij Hof van Twente?

"Hello, need data back? Contact us fast." Die boodschap ontving de systeembeheerder van de gemeente Hof van Twente op 1 december 2020. De tekst ligt op meerdere printers. Een combinatie van beveiligingsfouten maakten dat hackers lange tijd ongestoord hun gang konden gaan. Uit onderzoek van RTV Oost blijkt dat de meeste gemeenten in Overijssel lessen hebben getrokken naar aanleiding van de hack op de gemeente Hof van Twente.
De cybercriminelen vroegen zevenhonderdvijftigduizend euro aan losgeld, uit te betalen in bitcoins. Hiermee zou de gemeente haar data weer terug krijgen. Burgemeester Ellen Nauta weigerde principieel te betalen aan criminelen. Een jaar na de hack heeft de gemeente 78 procent van de programmatuur en data weer hersteld. Een deel van de data is voor altijd weg. Kosten tot nu toe: 3,9 miljoen euro. Daarmee koos de gemeente een oplossing waarbij niet alleen het herstel lang duurt, maar ook de schade in de miljoenen euro's loopt.
Lees meer:
De gemeente Hof van Twente dacht dat ze alles voor elkaar hadden en goed beveiligd waren. Een zwak wachtwoord, 'Welkom2020', stelde de hackers echter in staat om de systemen binnen te dringen. Gemeenten hebben een grote verantwoordelijkheid om hun informatievoorziening te beveiligen en veilig te houden. Uit onderzoek dat RTV Oost uitvoerde onder Overijsselse gemeenten, blijkt dat de gemeentelijke organisaties denken alles zo goed als mogelijk onder controle te hebben. Toch blijft burgemeester Ellen Nauta waarschuwen: "Het kan ons allemaal overkomen".

Bewustwording

Op de vraag aan de Overijsselse gemeenten of de hack in de gemeente Hof van Twente aanleiding is geweest voor extra bewustwording zijn de antwoorden wisselend. Over het algemeen is de hack voor de meeste gemeenten aanleiding geweest om het incident bij de bewustwordingscampagne te betrekken. Een aantal gemeenten, zoals Zwartewaterland, Dalfsen en Kampen hebben een symposium bijgewoond specifiek naar aanleiding van de hack op de gemeente Hof van Twente. Ook burgemeester Nauta was daarbij aanwezig.
Bewustwording en “weten hoe” is de beste garantie tegen datalekken, hacks en dergelijke
Gemeente Zwolle
In Hardenberg is er een e-learning opgezet voor medewerkers en voor het management zijn er sessies belegd. Ook in buurgemeente Rijssen-Holten is de hack aangegrepen om extra aandacht te vragen voor dit onderwerp om medewerkers bewuster te maken. De gemeente Haaksbergen heeft een speciale workshop voor medewerkers ontwikkeld naar aanleiding van de hack in Hof van Twente.
Het onderzoek van RTV Oost bestond uit tien vragen. Een klein aantal gemeenten wilde geen vragen beantwoorden of alleen een algemeen antwoord geven uit veiligheidsoverwegingen. Om gemeenten niet extra kwetsbaar te maken, kiest RTV Oost ervoor om sommige antwoorden niet herleidbaar weer te geven.
De gemeente Zwolle schrijft: "Bewustwording op het gebied van informatiebeveiliging is niet eenmalig, maar wordt constant onder de aandacht gebracht. Hierbij ligt de focus op de kennis, houding en het gedrag van de interne organisatie. Daarnaast worden alle medewerkers binnen de gemeente tijdens een intensieve workshop getraind om veiligheidsrisico’s te herkennen en te voorkomen. Bewustwording en “weten hoe” is de beste garantie tegen datalekken, hacks en dergelijke."

Ethisch hacker

Om hackers buiten de deur te houden en systemen op zwakheden te controleren wordt er tegenwoordig veel gebruik gemaakt van ethische hackers. Dat zijn hackers die op legale wijze mogen proberen systemen van bedrijven of overheden binnen te dringen. Als zij zwakheden ontdekken, geven ze die lekken door aan de systeembeheerder zodat deze opgelost kunnen worden.
RTV Oost vroeg in het onderzoek of gemeenten in Overijssel gebruik maakten van een ethisch hacker na de hack op de Hof van Twente en hoe vaak. Ongeveer de helft van de 25 gevraagde gemeenten antwoordt dat ze minimaal één keer per jaar een ethisch hacker inzetten. De gemeente Hardenberg staat ook toe dat scholieren proberen kwetsbaarheden te vinden.
Acht gemeenten willen deze informatie niet geven uit veiligheidsoverwegingen. Vier gemeenten geven aan geen ethisch hacker te hebben ingehuurd, omdat dat niet nodig werd geacht bij het onderzoek.
Lees meer:

Geen honderd procent veiligheid

De informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) ondersteunt gemeenten op het gebied van informatiebeveiliging. In ons onderzoek geven nagenoeg alle gemeenten aan zich te houden aan de Baseline Informatiebeveiliging Overheid (BIO). Volgens de IBD is het volgen van de BIO een minimale vereiste om beveiliging te waarborgen.
RTV Oost heeft de gemeenten de volgende stelling voorgelegd: 'Een hack zoals bij de gemeente Hof van Twente kan ons niet gebeuren'. Alle gemeenten zeggen dat honderd procent veiligheid niet bestaat. Een hack kan dus elke gemeente overkomen.
Ondanks alle inzet op ICT-beveiliging en alle beveiligingsmaatregelen die we nemen, kunnen wij helaas niet uitsluiten dat een hack ook de gemeente Enschede kan treffen
Gemeente Enschede
De gemeenten Deventer, Olst-Wijhe en Raalte, die de digitale diensten gebundeld hebben, sluiten een hack niet uit, maar zeggen dat een hack op exact dezelfde wijze als bij Hof van Twente niet bij hen kan plaatsvinden.
De gemeente Enschede schrijft: "Ondanks alle inzet op ICT-beveiliging en alle beveiligingsmaatregelen die we nemen, kunnen wij helaas niet uitsluiten dat een hack ook de gemeente Enschede kan treffen. Door het nemen van de juiste beveiligingsmaatregelen, passend bij het dreigingsbeeld, proberen we de risico's voor de gemeente Enschede zo klein mogelijk te houden."

Crisis

Burgemeester Ellen Nauta pakte de hack aan als een crisis. De veiligheidsregio werd er bij betrokken en een crisismanager werd aangesteld. Uit ons onderzoek komt naar voren dat veel gemeenten al oefenen met een digitale ramp.
Maar nog niet bij alle gemeenten is dat het geval. Soms zijn er oefeningen uitgesteld of nog in ontwikkeling. De gemeente Hardenberg zegt dat de gebeurtenissen in Hof van Twente ervoor hebben gezorgd dat dit scenario extra aandacht in de crisisoefening heeft gekregen.
Dit is hoe cybercriminelen  te werk gaan
Dit is hoe cybercriminelen te werk gaan © Tesorion
In 2020 is in Nederland 517% méér schade veroorzaakt door cybercrimininaliteit dan in 2019 (The Hiscox Cyber Readiness Report 2020). Sinds COVID-19 is er een stijging van 127% (300 per week) in aangiftes van cybercriminaliteit (Autoriteit Persoonsgegevens 2020). 46% van de MKB-bedrijven heeft te maken gehad met gijzelsoftware. Daarvan heeft 73% van de ondernemers gekozen voor het betalen van het losgeld (Helpnetsecurity (2020). Het kost een bedrijf gemiddeld meer dan 9 maanden om een besmetting op te lossen nadat deze gevonden is.

Heb je een nieuwstip of nieuwe informatie? Tip de redactie via WhatsApp of via de mail.