Let's talk about hacks 2: Ik ben gehackt, wat nu?

Dit is de tweede podcast in de serie 'Let’s talk about hacks live', die RADIO heeft gemaakt met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in het kader van de Overheidsbrede Cyberoefening.

Robin Rotman gaat  in gesprek met Dave Maasland, CEO bij ESET Nederland en  Dennis Lacroix - Gemeentesecretaris van het Hof van Twente.

Let's talk about hacks 2: Ik ben gehackt, wat nu?

LACROIX: Ik sta op de ruïnes van het gemeentehuis.
Er is een bom afgegaan. Alles stuk.
ROTMAN: Welkom bij 'Let's talk about hacks'. Ik ben Robin Rotman
en in dit programma praat ik met deskundigen en betrokkenen over hacken.
Hoe voorkom je het en wat moet je doen als het je overkomt?
Waar zitten eigenlijk die risico's?
MAASLAND: Er gaan miljarden euro's in om.
Je hebt groeperingen die zich richten op het inbreken.
Groeperingen die toegang verkopen.
Groeperingen die zeggen: Wij rollen de ransomware uit.
Dit is een ecosysteem, Robin, dit is serieuze misdaad.
Wij vergelijken zulke groeperingen met maffiafamilies.
ROTMAN: Dit is een podcast in het kader van de overheidsbrede cyberoefening.
Vandaag praat ik met Dennis Lacroix, gemeentesecretaris bij Hof van Twente.
Jullie zijn gehackt. Ben je een beetje bijgekomen?
LACROIX: Nog steeds niet. Ik ben bijgekomen van de schrik,
maar we zijn nog bezig met het opbouwen van onze systemen.
ROTMAN: Het is even geleden, hè? LACROIX: 1 december.
ROTMAN: Jeetje. We gaan 'm zo afpellen.
Dave Maasland, ESET, jij bent de CEO van ESET Nederland. Zo zeg ik het goed?
Ben jij nou zo'n typische voormalige puber
die het geschopt heeft tot cyberbeveiliger?
MAASLAND: Nee, ik heb niet dat pad bewandeld. Gelukkig.
ROTMAN: Want jij bent begonnen als securitymedeweker en opgeklommen?
MAASLAND: Ja, onderaan begonnen in security.
Veel lezen, leren en op een gegeven moment kom je erachter:
Misschien is het tijd om wat we geleerd hebben te delen.
Zo ben ik doorgegroeid.
ROTMAN: We zijn op jouw kantoor. Bedankt voor de gastvrijheid.
Dennis, we gaan de hack bespreken.
We eindigen met de lessen, of die komen tussendoor.
Wat voor schade hebben die hackers aangericht bij jullie?
Wat doet het met een organisatie? LACROIX: Die schade is enorm.
Dat kun je je niet voorstellen als het je niet is overkomen.
Het gekke is: In Goor staat nog ons gemeentehuis.
Gelukkig kunnen we heel veel producten en diensten weer leveren.
De etalage ligt weer vol.
Maar achter de schermen sta ik op de ruïnes van het gemeentehuis.
Er is een bom afgegaan. Alleen zie je het niet.
ROTMAN: Er is een virtuele bom afgegaan. Wat betekent dat? Back-ups kapot?
LACROIX: Alles stuk. Alles wat we niet in de cloud hadden, is weg.
De systemen zijn vernietigd, de data is vernietigd,
en alle back-ups zijn of vernietigd of versleuteld
zodat we er niet meer bij kunnen komen.
ROTMAN: Data, de hele financiële huishouding van de gemeente?
LACROIX: Helaas wel. Onze financiële administratie is verdwenen.
Hetzelfde geldt voor onze Burgerzaken-administratie.
Een deel van de administratie van de Sociale Dienst. Dat is echt enorm.
ROTMAN: Er wonen 35.000 mensen? LACROIX: Ja.
ROTMAN: Allemaal gegevens LACROIX: Kapot, weg.
Weg is dus vernietigd, voor de goede orde.
ROTMAN: Was het versleuteld? Of was het weg?
LACROIX: Nee, onze systemen zijn echt helemaal vernietigd.
De back-ups zijn versleuteld. We hebben vooralsnog geen indicatie
dat de data het pand heeft verlaten.
Dat is natuurlijk ook wel weer een belangrijk gegeven.
ROTMAN: Dat het niet op straat komt... Dave, is dit nou een typische hack?
MAASLAND: Ja, ik zou haast zeggen:
Dit is cybercrime anno 2020, 2021.
De impact gaat bijna altijd over businesscontinuïteit.
Aanvallers willen maximale schade aanrichten,
zijn lang niet altijd uit op gegevens, maar willen chanteren,
zorgen dat je betaalt, omdat je anders geen kant op kan.
Zo'n voorbeeld horen we hier.
ROTMAN: Een puinhoop creëren. Oké, neem me mee naar het moment
dat jij je realiseerde: Nee, dit is foute boel.
LACROIX: Dat moment ontstaat geleidelijk.
Om jullie mee te nemen:
Op 1 december werd duidelijk dat we gehackt waren.
Je weet niet meteen dat je gehackt bent. Het was een dinsdag.
Net als in veel gemeentes vergadert op dinsdag ons College.
Dan is mijn dag dat ik nog even de College-vergadering voorbereid.
Dan start je je systeem op, en je kunt niet inloggen.
Dat zal wel vaker bij organisaties gebeuren.
Vaak na een paar minuten lukt het alsnog.
ROTMAN: Je start opnieuw op. LACROIX: Maar dat lukte niet.
Na een half uur kreeg ik al het eerste signaal:
We hebben een probleem. We hebben een serieuze storing.
Toen dachten we dat het een storing was.
MAASLAND: Je had crisisgesprekken met de IT-mensen?
LACROIX: De IT-mensen. De IT- manager komt melden. De Cisco.
Vervolgens zat ik om negen uur in m'n eerste crisisteamvergadering
om te kijken: Wat is er aan de hand?
Dan gaat het, zoals eerder gezegd, over bedrijfscontinuïteit.
Op dat moment kun je je paspoorten en rijbewijzen niet meer uitgeven.
ROTMAN: Langzaam begint de dag vormen aan te nemen dat je denkt:
Hé wacht, er staan klanten, burgers, bij die balies
en die kunnen geen paspoort... Dus het gaat stapelen.
LACROIX: En dan is de belangrijkste vraag: wat is er aan de hand?
Wat is dat voor storing en hoe snel kunnen we die oplossen?
Dat heeft even geduurd voor je in de gaten hebt:
Wacht even, we zijn gehackt. Wacht even, de gegevens zijn weg.
ROTMAN: Kun je er nog bij, dat punt:
Wacht, dit is geen storing. Dit is een hack.
LACROIX: Ja, ik zal niet herhalen wat ik toen heb gezegd,
maar dat is echt een heel heftige.
Het feit dat je je realiseert
dat vreemden in ons systeem hebben zitten grasduinen,
dat is een heel heftige. Vervolgens daalt het in.
De financiële administratie is verdwenen.
Wat gaat dit betekenen? Hoe betalen we onze facturen?
Er zijn bedrijven van afhankelijk.
Hoe betalen we uitkeringen? Nog belangrijker.
Dan gaat het over of mensen inkopen kunnen doen.
Het was december en we moesten de uitkeringen bevoorschotten.
ROTMAN: Dat komt binnen, stapelt in je hoofd. Er komen belletjes.
Mensen willen wat van je: En dit en dit, hoe is dit?
Allemaal fout en dan bel je meteen het incident response team.
LACROIX: Ja, absoluut. MAASLAND LACHT
LACROIX: Kijk, wij hadden gelukkig...
ROTMAN: Hadden jullie die onder de knop?
LACROIX: Nee, onvoldoende. Onvoldoende.
Wij beschikten gelukkig over een bedrijfscontinuïteitsplan.
Ook een actueel plan.
ROTMAN: Uitgeprint, hoop ik. LACROIX: Ook uitgeprint.
MAASLAND: Heel goed.
LACROIX: We lachen erom, maar dat is wel wat er bij ons gebeurde.
Die systemen werkten niet meer. Maar onze Outlook werkte ook niet meer.
ROTMAN: De mail?
-De mail doet het niet meer.
ROTMAN: Communiceren kan niet.
-Dat lukt niet.
Ik heb die eerste paar dagen regelmatig tegen m'n secretaresse gezegd:
Joh, kun je even een afspraak inplannen? 'Ja, hoe dan?'
WhatsApp en ons social intranet, wat we in de cloud hadden georganiseerd,
dat waren toen de belangrijkste manieren van communiceren.
ROTMAN: Je moet aan de voorkant van alles doen om dit te voorkomen.
Daar gaan we het zo over hebben.
Dave, dit overkomt mensen natuurlijk. Wat moet je doen? Stekker eruit?
DAVE: Een van de belangrijkste dingen
is dat je vooraf bepaald hebt wat je gaat doen.
Bij ransomware is een van de belangrijkste zaken,
dat is iets wat bij veel organisaties nog te weinig bekend is:
Alsjeblieft, zet geen systemen uit. Iets wat ik las in de rapportage...
Je moet goede dingen uitlichten. We hebben het vast over verbeterpunten.
Die zijn er, maar er was nog logging.
Er was informatie in een logboek van vroeger.
Zoals een kapitein schreef wat er gebeurd was. Dat was er nog.
Het is belangrijk dat Hof van Twente zaken aan had staan,
maar hou je systemen aan.
ROTMAN: Dan kun je sporen vinden van de daders?
MAASLAND: Ja. Verbreek wel de verbinding.
Dus zorg dat je pc's geen verbinding maken met andere systemen.
ROTMAN: Schakel je wifi uit.
MAASLAND: Maar zet ze niet uit, want als je bij een bedrijf komt,
dat hebben we ook gehad, waar geen sporen zijn,
kom je als rechercheur binnen bij een moordzaak zonder lijk.
Dan kan je niks. ROTMAN: Even kort:
Niet je stekkers eruit trekken, je systeem platgooien.
Je zet je wifi uit, maar laat je systeem staan.
Je belt natuurlijk je IT-baas om te kijken wat er aan de hand is.
Bel je de politie en een response team? Een groepje van die slimmeriken als jij,
die meteen kunnen zien wat er aan de hand is?
MAASLAND: Stap één is weten wie je belt. M'n suggestie is:
Als je een verzekeraar hebt, bel die. Die zetten vaak de hele keten in gang.
Heb je dat niet, bel inderdaad als eerste een beveiligingsbedrijf.
Maar wacht niet te lang met de politie erbij betrekken.
Zodra je een beetje rust in je kop hebt, bel gelijk de politie.
Die kunnen veel, zeker in zulke grote zaken. Als je ze er snel bij betrekt,
kunnen ze ook vaak onderzoeken of helpen informatie terug te vinden.
ROTMAN: Oké, dus je moet zorgen dat er mensen onder de knop staan.
Wat is er nou eigenlijk misgegaan? Er is een rapport verschenen.
Jij bent druk geweest om te ontdekken: Wat is hier gebeurd?
LACROIX: Hoe kon dit gebeuren? ROTMAN: Precies. Dat is de vraag.
Heb je daar inmiddels een goed beeld van?
LACROIX: Ja, helaas wel. Het is belangrijk om dat beeld te krijgen,
maar het is een heftige optelsom
van zaken die fout zijn gegaan.
Dat begint met menselijk handelen, het open laten staan van een poort.
Dat poorten worden opengezet, is in een netwerk normaal, maar sluit ze ook.
ROTMAN: Wat voor poorten zijn dat?
LACROIX: Poorten om op afstand op het netwerk te kunnen werken.
Maar die moet je wel weer dicht zetten.
En als ie open staat, zorg dan dat het beveiligd is met een goed wachtwoord.
Het wachtwoord was heel sterk
en heeft lang ongenode gasten buiten gehouden,
maar dat is aangepast in een simpel wachtwoord.
ROTMAN: Welkom2020. LACROIX: Welkom2020.
ROTMAN: Ik kan erom lachen, maar ik denk dat iedereen weet van zichzelf:
Ik heb ook ergens een wachtwoord van hetzelfde kaliber als Welkom2020.
Dus ik ga je niet uitlachen, hoor. Ik weet zeker dat iedereen dit heeft.
LACROIX: Ik ben ook thuis naar m'n wachtwoorden gaan kijken.
Daar zaten ook simpele wachtwoorden tussen.
ROTMAN: Poorten stonden open, niet dicht. Wachtwoord slap.
LACROIX: Dat betekent daarna dat mensen binnen kunnen komen.
Het is cruciaal dat in je netwerk segmentatie heeft plaatsgevonden.
Dat is eigenlijk het indelen van je netwerk in brandcompartimenten.
Dat als ergens brand ontstaat, het niet kan overslaan.
ROTMAN: Als de Titanic lek raakt, dat een deel van 't schip water binnenhaalt,
maar dat niet het hele schip... Compartimenteren.
MAASLAND: Precies. Er zit nog wel een kanttekening bij.
Ook als je dat hebt, die segmentatie,
op het moment dat allerlei gebruikers enorme rechten hebben
kunnen zij gebruikmaken van branddeurtjes.
Dan kun je het nog zo goed hebben ingedeeld in compartimenten,
op het moment dat je via die branddeurtjes
van het ene compartiment naar het andere compartiment
naar je eigen back-ups op afstand kunt komen, word je heel kwetsbaar.
Dus ze, we weten niet wie 'ze' zijn, komen overal meteen bij.
Hadden jullie een goed systeem om vast te stellen...
hoe noem je dat, monitoring of zo?
LACROIX: Dat is denk ik het laatste onderdeel dat als ze binnen zijn,
dat weet Dave beter, kun je vaststellen: Er gebeurt iets geks in je systeem.
Er gebeurt iets vreemds. MAASLAND: Afwijkingen.
LACROIX: De monitoring heeft onvoldoende gefunctioneerd.
ROTMAN: Is dit de klassieke cocktail van plekken waar het misgaat?
MAASLAND: Goed en slecht nieuws. Dit is de klassieke cocktail.
Ik betwijfel ook of er aanvallers zijn geweest die zeggen:
We gaan vandaag Hof van Twente pakken. Daar wijst niets op.
Het is een klassieke aanval.
De keuze die Hof van Twente heeft gemaakt om transparant te zijn
is belangrijk, want deze case kunnen we plotten op een groot deel van Nederland.
ROTMAN: Hoe werkt dat bij de hackers? Hof van Twente, met alle respect,
is toch niet een interessant doel voor een hacker?
MAASLAND: Nee, en dat woord doelwit...
Er zijn een paar bedrijven doelwit. Financiële instellingen, overheden.
De kans dat je doelwit bent, is heel klein.
Hoe werkt dat dan? Zijn dat dan mensen die thuis zitten met kwade bedoelingen
die bij gemeentes random kijken of ze binnen kunnen komen?
Verdomd, bij Hof van Twente lukt het per ongeluk.
Of is het een inwoner van de gemeente, een puber met te veel handigheid
die dit probeert? Hoe werkt zoiets? Wat is het motief?
MAASLAND: De kans is klein dat je doel bent, groot dat je slachtoffer wordt.
Cybercriminelen zijn lui, de meeste, en die hebben geautomatiseerde tools
om op afstand servers te scannen om te kijken:
Staat er ergens een voordeur open?
Alsof een inbreker met een apparaatje snel alle huizen in Nederland kan afgaan
en kan zeggen: Daar staat de voordeur open,
daar gebruiken ze een verkeerd slot, daar laten ze het raam 's avonds open.
Dat is wat criminelen doen.
ROTMAN: Het is niet: Nu is Hof van Twente. Het gaat geautomatiseerd.
MAASLAND: Gescand. Het enige wat dan hier is gebeurd...
Hof van Twente heeft een server met een zwak wachtwoord
zonder instelling dat het na 15 keer verkeerd inloggen geblokkeerd wordt.
En het ontbreken van tweestapsverificatie.
Dat is het probleem van verdedigers.
Als verdediger moet je alles op orde hebben.
Als aanvaller hoef je maar één ding te vinden.
Dat lukt vaak.
ROTMAN: Als ik je nou een week voor 1 december had gevraagd:
Joh, Dennis, hebben jullie je digitale zaken op orde?
Wat was dan je antwoord geweest?
LACROIX: Daar had ik positief op geantwoord.
ROTMAN: Had je gezegd: Het is een veilige omgeving.
We hebben het best modern ingericht. LACROIX: Ja.
Ik denk ook dat het belangrijk is om te duiden.
Wij hebben de afgelopen jaren veel geïnvesteerd, ook in aandacht,
in onze ICT, in onze informatieveiligheid.
We zijn een kleine gemeente.
Dus om onze kwetsbaarheid en kwaliteit te waarborgen
hebben wij ons systeembeheer uitbesteed
aan een commerciële marktpartij om het zo op orde te brengen.
We hebben met jaarplannen gewerkt aan informatieveiligheid.
Dat betekent dat we onze informatie op orde hadden.
Ons beleid hadden we op orde. Verordeningen vastgesteld.
We hebben trainingen in de organisatie verzorgd, phishing mails,
juist om die awareness goed tussen de oren te krijgen.
En we hebben audits gedaan.
We hebben natuurlijk de verplichte audits, de NCA.
Daar zagen we ook elk jaar dat we weer beter scoorden.
De laatste keer, over 2019, 92 procent.
Als je dan de vraag stelt: Heb je het op orde?
Het is nog geen 100 procent, maar we zijn goed op weg.
En we hebben penetratietesten laten uitvoeren
die geen van alle verontrustende uitkomsten gaven.
ROTMAN: Mag ik jullie drie stellingen voorleggen? Waar of niet waar.
De toelichting komt daarna.
Je kan de techniek nog zo op orde hebben,
meestal zijn het menselijke fouten die tot een hack leiden. Waar of niet waar.
MAASLAND: Niet waar. LACROIX: Niet waar.
ROTMAN: De kans is groot dat de hackers van Hof van Twente
geen doorgewinterde criminelen zijn,
maar irritante jongeren met veel tijd, te veel handigheid met computers
en een slecht moreel kompas. Waar of niet waar?
BEIDEN: Niet waar.
ROTMAN: Soms is losgeld betalen de beste oplossing.
MAASLAND ZUCHT: Robin, het is oneerlijk om dit op audio....
Niet waar. LACROIX: Niet waar.
ROTMAN: Niet waar. Is er een stelling waar jullie op terug willen komen?
LACROIX: De eerste. ROTMAN: Menselijke fouten. Vertel.
LACROIX: Wat ik al zei: Het is een combinatie.
We zien gewoon bij ons,
maar ik heb me ook laten informeren...
Ja, in die afgelopen maanden word je bijna security-specialist.
Overal waar dingen fout gaan, speelt menselijk handelen een belangrijke rol.
ROTMAN: Dat moet ook haast wel...
want je zegt net dat jullie het goed geregeld hadden.
Goede penetratietesten, alles goed geregeld. Audit.
Het is toch ook niet erg om te erkennen dat de mens de zwakke schakel is?
LACROIX: Dat is een zwakke schakel. MAASLAND: Daar ga ik op terugkomen.
LACROIX: Maar je kunt ook in je systemen talloze manieren,
vangnetten, organiseren dat al is er sprake van verkeerd menselijk handelen
dat je niet meteen zo gehackt wordt. ROTMAN: Dave?
MAASLAND: Ik wil een onderscheid maken
tussen de medewerker, want die klikt toch wel, dus die doet altijd...
Wat er gezegd wordt, is 100 procent waar.
De techniek is er om dingen goed te regelen.
Maar het inregelen van die techniek en zorgen dat het op elk punt...
Verdediging is in lagen.
Een goede verdediging is geen 100 procent werkende laag,
maar meerdere lagen die het moeilijk maken voor aanvallers.
Er worden gewoon fouten gemaakt met configuraties.
Op dat gebrek, Robin, je hebt gelijk: Mensen maken fouten met handelen.
Maar medewerkers moeten een fout kunnen maken.
Die moeten kunnen klikken zonder dat je bedrijf plat ligt.
We moeten dus stoppen met zeggen: Die zijn de zwakste schakel.
'Want je kan het zo goed doen, maar ze klikken toch een keer.'
Nee, als je één klik doet en je bedrijf ligt plat, heb je andere problemen.
ROTMAN: Een goed veilig systeem is waar je een foutje mag maken.
Oké, toch even terug naar die hack. Het is dus een zootje.
Je schrikt je rot.
Meteen wordt de impact je duidelijk. Dan wordt het een soort filmscenario.
Er rolt een briefje uit de printer.
De printers waar jullie geen controle over hebben.
Dan is er een vraag om losgeld.
LACROIX: Ja. Nou ja, geen vraag om losgeld.
Daaruit bleek dat we gehackt waren.
Of we contact wilden opnemen om de data terug te krijgen.
ROTMAN: Dan zit je in een B-film.
LACROIX: Je zit in een situatie waar je als gemeentesecretaris, als overheid,
nooit rekening mee hebt gehouden.
ROTMAN: Wat was de deal? Bitcoins overmaken?
LACROIX: Wij hebben niet onderhandeld met de hackers.
We hoorden in de media dat er 50 bitcoins werden gevraagd.
ROTMAN: Wat was toen de stand van de bitcoin?
LACROIX: Iets van 800.000 euro.
ROTMAN: Wat zouden jullie terugkrijgen?
LACROIX: Ik veronderstel de data.
MAASLAND: Was dat uw beslissing? Meteen stellig zijn: We gaan niet betalen.
LACROIX: Nee, dat is de beslissing van het College.
Het College neemt dat besluit.
Wat dat betreft is een duidelijk uitgangspunt:
De Nederlandse overheid onderhandelt niet met criminelen,
betaalt ook geen losgeld.
Tegelijkertijd is dat wel een heel complexe beslissing
die je dan moet nemen als College.
ROTMAN: Jij kreeg het je mond niet uit dat het misschien soms niet gek is.
Ik snap ook dat je dat niet op camera... in een podcast wil roepen.
Je wil die boeven niet belonen.
Je moet het nooit doen. Maar ken jij scenario's dat er wel betaald is
en dat mensen daadwerkelijk hun spulletjes teruggekregen hebben?
MAASLAND: Ja, het businessmodel werkt ook vrijwel altijd.
Wij zeggen ook: Betaal nooit. Maar we snappen dat het soms gebeurt.
Waar wij een probleem mee hebben, is te snel betalen.
Dat je niet al je opties hebt afgewogen.
Er zijn gevallen bekend waarin een ondernemer plat ligt...
alles heeft bekeken, en zijn keuze is, Robin:
Ga ik failliet of ga ik betalen?
Ik kan vinden, ethisch, dat je ze betaalt om terug te komen met grotere wapens.
Dat is wat je doet.
Maar Robin, jij bent ook ondernemer. Je hebt een keuze:
Je bent morgen failliet of je betaalt 100.000 euro. Wat doe je?
ROTMAN: Het is een vreselijk dilemma.
-Wat doe je?
Je hebt geen tijd, ze dwingen je. Je moet het nu zeggen, wat doe je?
ROTMAN: Ik kan me voorstellen dat je wil betalen.
Weet je wat ik sympathieker vind?
Dat zijn die organisaties en overheden, die kunnen hackers veranderen
in ethische hackers door te zeggen: 'Als je bij ons binnenkomt,
en je toont het aan met een mooi rapport, krijg je een beloning.'
Dan nodig je die gasten uit
om hun truc te doen en hun talenten te benutten.
Maar wel ten goede. Dan werk je samen.
Ik denk dat dit niet grote boeven zijn altijd.
MAASLAND: Daar zit je echt mis. Daar gaan we echt op in.
ROTMAN: Wat zijn het voor gasten?
MAASLAND: Een serieuze industrie. Er gaan miljoenen, miljarden euro's in om.
We zien versplintering: groeperingen die zich richten op het inbreken.
Dan heb je groeperingen die toegang verkopen.
Dan heb je groeperingen, die rollen de ransomware uit.
Dit is een ecosysteem, Robin. Dit is echt serieuze misdaad.
ROTMAN: Ik ben dus naïef als ik dan zeg: Goh nodig... Prima.
Nodig ze uit om te hacken en beloon ze als ze het aantonen.
Die groep is daar niet gevoelig voor?
MAASLAND: Wij vergelijken zulke groeperingen met grote maffiafamilies.
Ieder heeft z'n eigen werkwijze, ze zijn enorm machtig.
Er zijn verhalen naar buiten gekomen: die verdienen zo veel geld.
Als je hen naar de good side wil halen...
Bij dit soort zware criminelen is dat heel lastig.
LACROIX: Het businessmodel is zo aantrekkelijk, heb ik me laten vertellen.
De pakkans is buitengewoon gering,
omdat ze op grote afstand via de digitale snelweg bij je komen.
Er wordt zo veel geld verdiend.
Dat maakt het zorgelijk dat we daar te weinig aandacht voor hebben.
LACROIX: En net als ik dus naïef. Ik dacht ook: Zo'n vaart zal het niet lopen.
Hoe staat het er nu voor bij jullie? LACROIX: Wij zijn sinds december
bezig met het opbouwen van een heel nieuw systeem.
Dat loopt nog steeds. Dat geeft ook aan hoe heftig de hack was.
Zeker in die eerste week hebben we een noodnetwerk ingericht.
Ja, en daar is het state of the art ingericht.
Maar ik ga absoluut niet garanderen dat wij nooit meer gehackt gaan worden.
Het is een oneerlijke strijd. Je loopt continu achter de feiten aan.
Dus ja, we hebben het top ingericht...
ROTMAN: Net als de week voor 1 december, maar dan nog beter.
Financiën op orde, burgerzaken, alles loopt weer.
Je hebt dingen terug? LACROIX: Nou, burgerzaken...
kunnen we vanuit de back-ups landelijk terughalen.
ROTMAN: Dat is fijn. LACROIX: Dat loopt gelukkig weer.
We zijn er ook in geslaagd, binnen een paar dagen...
Begin december, moet je voorstellen, mensen gaan hun kerstinkopen doen.
Sinterklaasinkopen. Dan wil je uitkeringen bevoorschotten.
Dat kun je niet doen. Met kunst- en vliegwerk...
Dat is ook wel weer mooi om te zien in zo'n crisis,
dat de saamhorigheid en creativiteit die dan ontstaat enorm is.
Wij konden op 4 december, met kunst- en vliegwerk, de uitkeringen uitbetalen.
ROTMAN: Het brengt ook het beste in mensen naar boven.
LACROIX: We doen het nog steeds met heel veel workarounds.
Allemaal veilig, want dat is het grote risico, dat vanuit die creativiteit
iedereen met Gmail en Hotmail gaat werken.
ROTMAN: Dan heb je nieuwe problemen. Wat heeft dit gekost, dit geintje?
LACROIX: Op dit moment gaan we uit van tussen de 3 en 4 miljoen euro.
ROTMAN: Ik sprak eerder met ethisch hacker Rickey Gevers.
Hij heeft een vraag voor Dennis. Luister even mee.
Misschien kan Dave er ook wat mee.
RICKEY: Ik wil van Dennis weten wat de belangrijkste les is
die de gemeente hier geleerd heeft.
LACROIX: De belangrijkste les zijn eigenlijk twee lessen.
ICT, cyber security, is een specialistisch vakgebied.
Dat betekent dat je je deskundigheid hebt te organiseren.
Dat heb je te organiseren in je organisatie.
Maar wat ik al zei: Wij zijn een organisatie van 200-300 medewerkers.
Dan is de vraag of je dat specialisme ook in de organisatie kunt hebben.
Je hebt die expertise aan de bestuurstafel te organiseren.
En ook van buiten naar binnen te halen om je te adviseren,
maar ook om voldoende tegenspraak...
Op bijvoorbeeld pentesten die alleen maar positieve uitkomsten hebben.
Ik lees de positieve uitkomsten, maar ik ben benieuwd:
Wat staat daar nou niet? Het is maar een deel van het plaatje.
ROTMAN: Je weet niet wat je niet weet.
-Dat is precies wat ik niet weet.
Waar ik die expertise voor nodig heb. ROTMAN: Daar hebben we Dave voor.
Die weet wat wij niet weten.
MAASLAND: Als er één echte les te leren is,
dat we als wetenschappers moeten denken.
Een wetenschapper is op zoek naar redenen waarom z'n theorie niet klopt.
Dus als je de aanname hebt: Ik ben best veilig...
Ga jezelf ontkrachten. Dan vind je dingen die dat bevestigen.
Als jij wil geloven dat je veilig bent, zijn die redenen er.
'Dat is toch goed en dat gaat goed, en dat zien we gewoon.'
Robin, je zei het: Iedereen die luistert, denk eens na.
In jouw bedrijf worden wachtwoorden hergebruikt.
Rechten om zelf dingen te installeren. Dat er niet goed gemonitord wordt.
Staat echt overal tweestapsverificatie aan?
Het antwoord is nee. Bij ons allemaal.
ROTMAN: Maar dan: Moet je iemand inhuren die op gezette tijden
je systeem aanvalt, onder druk zet of uittest
ook zonder dat je van tevoren bedacht hebt wanneer?
Wat is dan de methode?
MAASLAND: Ik wil wat interessantere tips geven.
Nee, als leiderschap, als raad van bestuur, directie,
zou ik zeggen tegen m'n IT-team:
Geef mij vijf dingen die echt niet in orde zijn.
Graaf naar de meest verschrikkelijke dingen.
Dat is wat je wil weten. Goed nieuws is geen nieuws.
Geen nieuws is slecht nieuws. Slecht nieuws is goed nieuws, dat wil je weten.
ROTMAN: De volgende aflevering heb ik een interessante gast. Hester Somsen.
Plaatsvervangend coördinator terrorismebestrijding en veiligheid.
Wat is jullie vraag aan Hester? Dave?
MAASLAND: Ik ben benieuwd of zij het gevoel heeft dat ze meer kunnen doen.
Doen ze genoeg? Dan wil ik haar persoonlijk gevoel daarbij.
LACROIX: Mijn vraag sluit wel aan bij de vraag van Dave.
Ik werk bij de gemeente Hof van Twente. Net als bijna 350 andere gemeenten
zijn we verantwoordelijk voor enorm veel privacygevoelige informatie.
Ik ben benieuwd wat zij vanuit haar rol kan betekenen
voor de gemeentelijke overheid,
die niet als vitale sector genoteerd staat.
Als ik kijk naar de impact van de hack bij ons, financieel, dienstverlening,
maar ook de maatschappelijke onrust die het teweegbrengt
als het veel groter wordt, ben ik benieuwd naar...
ROTMAN: Ik ga het voorleggen.
Jullie hebben de afgelopen 25 minuten leuke tips en tricks genoemd.
Kijken of we er nog wat bij kunnen doen om het rond te maken.
Ik hoorde de secretaris vertellen over het systeem dat opgebouwd wordt.
Dat is zijn taak nu eenmaal.
En dat hij er redelijk zeker van is dat het beter is dan het was,
maar hij steekt z'n hand er niet voor in het vuur.
Het blijft gekkenwerk. Kan je het inbouwen, die veiligheid?
Hoe doe je dat? Je noemde het net. MAASLAND: Dat kan wel.
Aanvallers hebben twee manieren: van buitenaf en van binnenuit.
Van buitenaf, scherm alles zoveel mogelijk af.
Waar je kan inloggen, tweestapsverificatie.
Hou het up to date en stel in dat niet iedereen kan blijven inloggen.
Weet wat je hebt. Bescherm je deuren en ramen naar buiten toe.
Het belangrijkste: tweestapsverificatie. Twee: Aanvallers komen van binnenuit.
Ze sturen een mail naar een werknemer en dan zijn ze binnen.
Beveilig die end point, beveilig degene waar de mail binnenkomt.
Probeer daar iets van detectie op te zetten. Dat je daarop monitort.
Dan investeer je in de preventiekant, denk aan detectie.
Heb een plan. Dat kan een A4 zijn, fysiek.
Als je die stappen nu al volgt,
updaten, tweestapsverificatie, je buitenkant beschermt,
ben je echt al heel serieus bezig als je dat kan garanderen.
ROTMAN: Zou je iets kunnen doen met wet- en regelgeving?
Bijvoorbeeld: Je bent verplicht
om een accountant elk jaar naar je financiële administratie te laten kijken.
Kunnen we dat niet ook voor cyberveiligheid verplichten?
LACROIX: Wij zijn daar serieus over aan het nadenken.
Wij kennen in onze organisatie een auditcommissie
die inderdaad naar de financiële functie kijkt.
Je ziet dat accountants ook steeds meer naar de ICT kijken.
Maar dat is ook de afgelopen decennia gegroeid.
Als je ziet hoe afhankelijk we zijn van onze geautomatiseerde systemen
Dan kijken wij nu:
Kunnen wij ook een auditcommissie, een ICT-adviescommissie,
met externe deskundigheid, ons laten adviseren, bijstaan,
inderdaad die kritische vragen stellen waar Dave het over had.
Het moet pijn doen, want dan word je beter.
ROTMAN: Het moet pijn doen. En jij zit hier een beetje...
Jij begint te shinen.
MAASLAND: Iemand zei: Je loopt altijd achter de feiten aan.
Cyber security is geen doel, veilig ben je nooit.
Waarom niet? Als je morgen Microsoft geüpdatet hebt
Kan er misschien daarna weer een fout in zitten.
Het enige wat in cyber security telt, is vooruitgang.
Ben je vandaag veiliger dan gisteren?
Waar ik vind dat er wet- en regelgeving moet komen:
Als jij als organisatie niet kan aantonen dat je afgelopen jaar vooruit...
hoe klein het ook is, dan ben je slecht bezig.
ROTMAN: Oké, tot slot. Er komt dus een overheidsbrede cyberoefening.
Dat is een soort brandweeroefening, maar dan voor een hackscenario.
Dat lijkt me goed, lijkt me hartstikke handig
als we kijken: wat is jouw rol als het gebeurt?
Ik vraag m'n gasten om tips, groot of klein, die nog niet genoemd zijn
voor de overheid, bedrijven of individuele burgers
om hackers buiten de deur te houden.
Kort jullie tips voor overheden. Dennis.
LACROIX: Ga er nou eens van uit
dat het niet de vraag is of je gehackt wordt, maar wanneer je gehackt wordt.
Ben je dan voldoende voorbereid? Wie ga je bellen?
MAASLAND: Ga proactief praten met het bedrijfsleven, waaronder banken.
ROTMAN: Wat zijn de tips die jij aan bedrijven zou willen geven?
LACROIX: Kijk, overheden gaan niet zo snel failliet.
Bedrijven gaan wel failliet.
Als je gehackt wordt, staat het bestaan van je bedrijf per direct ter discussie.
Vraag je dan eens af: Wat is het me dan waard?
En: Doe ik dan nu genoeg?
ROTMAN: Het moet hoger op de agenda. Het is geen sluitstuk van het beleid.
MAASLAND: Als je één ding doet:
Stel tweestapsverificatie in en bel morgen je IT-partner.
ROTMAN: Oké, dat doen de bedrijven. Wat doet de individu? Wat doe ik?
LACROIX: Dan sluit ik aan bij Dave, want dat vind ik het belangrijkste.
Zorg voor de sloten op de ramen en deuren.
Goede wachtwoorden, multifactorauthenticatie.
Het is heel basaal, maar belangrijk.
DAVE: Bescherm je mail. Daar zijn al je andere diensten aan gekoppeld.
Zorg daar voor tweestapsverificatie.
ROTMAN: Het is al genoemd, maar ik vind het de meest ironische:
Zorg ervoor dat je je responseplan op papier heb liggen.
Als je de sjaak bent en je hebt dat op je computer
ben je dus ook je plan kwijt. MAASLAND: Absoluut.
ROTMAN: Oké, dank jullie wel voor deze tips, voor deze tricks.
Bedankt dat je dit verhaal hebt willen vertellen. Ik denk dat het leerzaam is
en dat er veel gemeentes zijn die denken dat ze het op orde hebben,
maar dat er ook nog een heleboel Hoffen van Twente zijn
die echt nog even goed moeten kijken. Dus dank je wel voor deze openheid.
Dennis Lacroix, gemeentesecretaris bij Hof van Twente.
En Dave Maasland, CEO bij ESET Nederland.
Luister ook de andere afleveringen van 'Let's talk about hacks'.
Ga hiervoor naar weerbareoverheid.nl.