Let's talk about hacks 7: Evaluatie ransomware aanval

In september 2020 werd de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) getroffen door een aanval met ransomware. Het Instituut Fysieke Veiligheid evalueerde de aanval.

Let's talk about hacks
Beeld: ©ICTU

Wat is er geleerd, wat moet anders en welke lessen kunnen worden gedeeld? Diemer Kransen (VNOG) en Laurens van der Varst (IFV) gaan hierover in gesprek tijdens de zevende aflevering van “Let’s talk about hacks”.

Let's talk about hacks 7: Evaluatie ransomware aanval

VD VARST: De hele menskant, de human factor, daar hebben we nog veel te doen.
Welkom bij 'Let's talk about hacks'.
Ik ben Robin Rotman en in dit programma mag ik praten met deskundigen
en betrokkenen over hacken. Hoe voorkom je het?
Wat moet je doen als het je overkomt? En waar zitten de risico's?
KRANSEN: Zorgvuldigheid voor snelheid We framen het incident.
De burger heeft er geen last van, maar we zijn wel geraakt.
We gaan niet bezig met de schuldvraag, we gaan het probleem oplossen.
ROTMAN: Dit is een podcastserie van Binnenlandse Zaken
in het kader van de overheidsbrede cyberoefening.
Vandaag bespreek ik de ransomware-aanval
op de Veiligheidsregio Noord en Oost-Gelderland.
Te gast Diemer Kransen, directeur van de veiligheidsregio.
Leuk dat ik hier mag zijn. We zitten op jouw kantoor in Apeldoorn.
De veiligheidsorganisatie die zelf slachtoffer wordt, is dat een nieuwtje?
KRANSEN: Relatief nieuw. Er waren wel eerder veiligheidsregio's geraakt,
maar in deze vorm nog niet eerder. Dus het was inderdaad een primeur.
ROTMAN: Het is een discutabele primeur.
We gaan kijken wat jullie ervan geleerd hebben, wat er gebeurd is
en wat andere mensen hiervan kunnen leren.
Voor de helderheid: veiligheidsregio's komen veel in het nieuws tegenwoordig
vanwege corona en de bestrijding ervan. Wat doen jullie eigenlijk?
KRANSEN: De veiligheidsregio heeft drie taken:
brandweerzorg, risicobeheersing, crisisbeheersing.
Dat betekent dat wij handelen op het moment dat er een crisis is
en we brengen in kaart welke risico's er zich binnen een veiligheidsregio bevinden.
En we zorgen dat we daar de bestuurders en onze burgers ondersteunen
en helpen om die crisis te managen,
maar we rukken ook met onze voertuigen uit.
ROTMAN: Af en toe is het bij jullie zelf crisis.
Benieuwd of jullie handiger opereren dan andere organisaties
die niet per se gespecialiseerd zijn als er een crisis is.
Aan de andere kant zit Laurens van der Varst.
Jij bent een senior onderzoeker crisisbeheersing
aan het Instituut Fysieke Veiligheid. Jullie hebben deze casus geëvalueerd,
een rapport over geschreven. Wat doen jullie daar eigenlijk?
IFV, wat is dat?
VD VARST: Een kennisinstituut voor de veiligheidsregio's.
We proberen kennis te mobiliseren
ten behoeve van die veiligheidsregio's, van hun optreden.
We doen onderzoek naar brandpreventie, brandweerkunde,
maar ook naar de crisisbeheersing.
ROTMAN: Een eerste indruk: we gaan deze zaak afpellen.
Zijn ze bij zo'n veiligheidsregio handiger als het crisis intern is?
Merk je dat ze intuïtief slimmer reageren
dan andere organisaties als ze de klos zijn?
VD VARST: Ik denk dat hun improvisatie- en organisatievermogen groot is,
dus dat ze vaak wat sneller in de actiestand komen.
ROTMAN: Jij gaat Diemer niet sparen.
-Nee, absoluut niet.
Diemer, de schade die ze hebben aangericht...
Voordat we gaan kijken wat er precies is gebeurd:
Wat was de schade?
KRANSEN: De schade, als je nu terugkijkt,
is ongeveer 450.000 euro groot geweest.
Maar daarvan moet wel worden gezegd dat wij de helft daarvan ongeveer...
We waren sowieso investeringen van plan op onze informatieveiligheid,
maar die hebben we naar voren getrokken.
Dus als je naar de werkelijke schade kijkt,
zit je op 250.000 euro, 200.000 euro naar voren getrokken investeringen
voor de, zoals wij dat noemen, verhoogde dijkbewaking.
Dus al met al is dat een te overzien bedrag
als je kijkt naar andere organisaties die zijn gehackt.
ROTMAN: Dan heb je het over euro's. Maar als je het hebt over
wat voor systemen zijn aangetast. Kun je daar iets over zeggen?
KRANSEN: Wij hebben zes servers vervangen.
Al onze servercapaciteit was geïnfecteerd.
Die hebben we eruit gehaald en nieuwe gekocht, op de eerste dag al.
Ons mailverkeer was geïnfecteerd. Onze personeelsdossiers voor een deel.
Dat wat we extern gehost hadden of in de cloud hadden staan,
bleek redelijk veilig te zijn.
En we konden gelukkig onze informatie nog naar onze voertuigen doorsturen,
waardoor we operationeel
niet in gevaar zijn geweest en onze voertuigen uit konden rukken.
ROTMAN: Jullie konden je werk blijven doen.
KRANSEN: Zij het wel met allerlei aanpassingen
en dingen die we moesten regelen. Bijvoorbeeld,
we konden Whatsapp niet meer gebruiken, maar Signal wel,
we moesten posten bellen. We moesten koeriersdiensten sturen,
zodat iedereen wist wat er aan de hand was.
Dat was nog best wel... Plan B is: wat doe je als je systemen niet meer werken?
Terug naar traditionele manieren. Dat hebben we gedaan.
ROTMAN: Laurens, is dit een beetje een gebruikelijke score van die hackers?
Is dit hoe het gaat? Is dit het beeld wat je krijgt?
VD VARST: Denk ik wel. Je ziet daar ook veel verschillen in.
In de aanvalsmethode, modus operandi die men hanteert.
Dat gaat van relatief eenvoudige aanvallen tot geavanceerd technisch.
Het doel varieert natuurlijk ook. Dat kan om een financieel gewin gaan,
maar ook bijvoorbeeld spionageactiviteiten.
Er zit eigenlijk van alles bij de hacks tegenwoordig.
Maar ransomware is wel een hot item en wat je veel terug ziet komen.
ROTMAN: Hebben ze iets buitgemaakt? Dat weet je misschien ook niet.
KRANSEN: Ze hebben wel wat buitgemaakt, maar hadden wel moeite
om te encrypten, omdat we op een gegeven moment hebben gevraagd:
'hoe weten we zeker dat jullie serieus zijn?'
En toen zeiden ze: stuur maar een aantal bestanden, dan encrypten wij die wel.
Maar we hebben geen 100 procent zekerheid
dat ze geen gegevens hebben buitgemaakt.
We wisten wel dat ze moeite hadden om die gegevens encrypted te krijgen.
ROTMAN: Deze hack speelde zich ongeveer een jaar geleden af.
KRANSEN: 12 september 2020.
ROTMAN: Iets meer dan een jaar geleden.
Tot op de dag van vandaag is er nog geen informatie tegen jullie gebruikt.
Niks naar buiten gekomen.
-Nee, en we hebben ook direct
nadat we in de gaten kregen dat we gehackt waren,
zagen dat er geld werd gevraagd om de systemen weer vrij te krijgen,
hebben we de politie ingeschakeld, de cyberunit,
de officier van justitie die zich met cyber bezighoudt,
en hebben ook een afspraak gemaakt om samen te werken, om te retraceren
of we konden achterhalen waar de aanval vandaan kwam. Dan heb je twee lijnen.
De ene lijn is de servers. Pingpongend door Europa komt het ergens uit.
Dat is vaak een heilloze weg,
omdat het allerlei verschillende servers zijn.
Het andere is, dat is ook een mooi programma geweest: follow the money.
Waar is dit gekocht? Waar komt het vandaan? Wie? Wat voor organisatie?
We hebben ons ook laten adviseren door mensen
die verstand hadden van hackers, mensen die schrijven over hacks.
Dus we hebben kennis van buiten gehaald
en ik had het voordeel dat een van onze gemeenten eerder gehackt was, Lochem,
waardoor de burgemeester een goede sparringpartner was.
Waar kwamen jullie uit als je dat geld en digitale spoor volgde?
Even grappig gezegd: Als je de servers volgt,
kom je ergens in Roemenië op een boerderij uit waar een geitenfokkerij zit,
bij wijze van spreken, waar elke maand een envelopje langskomt.
Die man heeft niet in de gaten wat er gebeurt.
ROTMAN: Die wordt ingezet, misbruikt misschien.
KRANSEN: Die heeft niks in de gaten. Die wordt onder druk gezet.
Die krijgt geld en dat is geregeld.
Het andere, een veel betere manier,
was dat de politie heeft gerechercheerd dat de software
op het dark web is gekocht door een hackpartij
die eigenlijk niet zo professioneel wist
wat ze met die geavanceerde software moesten.
Achteraf wisten wij door het researchwerk van het NCSC en Fox
dat ze eigenlijk al maanden voor de vesting hebben gelegen
om te wachten tot ze binnen konden komen.
In het begin hebben ze, als je kijkt naar de hoogte,
zal ik nog iets over vertellen, van de ransomware...
ROTMAN: Vertel nu maar.
-Ze vroegen 80.000 dollar.
Maar de omzet van onze veiligheidsregio is ongeveer 55 miljoen.
Dan weet je dus: Wij waren gewoon een random hit.
ROTMAN: Want zo werken ze vaak. Die hackers laten software lopen.
Die gaan online op zoek naar allerlei deurtjes en kiertjes.
En als ze dan ergens denken: hier kunnen we iets, dan gaan ze pas echt... Toch?
VD VARST: Absoluut, dat zie je vaak terugkomen.
Alleen, wat het is, als je dus geraakt wordt: je weet het niet.
En dat geeft toch wel het gevoel van dreiging, van onzekerheid.
Wie gaan hierachter schuil? Hebben we te maken met die staatshacker
die uit is op spionage? Of is het gewoon crimineel gewin?
Zijn het een soort amateurs? Omdat je dat niet weet,
die onzekerheid, dat maakt het wel tricky.
En ook voor de bestuurders wel de vraag:
Liggen we nou onder vuur van een aanval of niet?
ROTMAN: Dat weet je pas veel later als je dat onderzoek doet.
Op het moment dat je een keus moet maken, weet je het natuurlijk nog niet.
Voelde jij die onzekerheid ook zo? KRANSEN: Jazeker,
want op zaterdag kreeg ik de eerste signalen
dat er iets mis was in de systemen. Op zondag ben ik hiernaartoe gereden.
Hier beneden zit het crisiscentrum.
ROTMAN: Wat zijn het voor signalen? De mail doet het niet.
KRANSEN: Mijn hoofd ICT belt dan. Daarna belt mijn baas bedrijfsvoering.
Als ik in het weekend twee keer achter elkaar gebeld word,
weet ik dat er iets niet goed is. ROTMAN: Jij stond op de golfbaan.
Ik stond bij het hockeyveld, mijn zoon moest hockeyen.
Opeens was de wedstrijd niet meer interessant.
Dus we hadden wat overleg en dat gaat stapsgewijs.
Hapering in het systeem,
ernstige haperingen in het systeem, uitval van systemen.
Dat doet zich over een aantal uren voor
en later op de avond, rond een uur of 10, was wel duidelijk:
er is iets faliekant mis, toen ben ik ook gebeld.
'Oké, dan is er morgen crisisorganisatie', want wij zijn een crisisorganisatie.
We bouwen die crisis op. Toen ben ik hiernaartoe gegaan.
Toen waren Fox-IT, NCSC en KPN er al. Mijn eigen ICT'ers. Iedereen was er al.
We zijn aan de slag gegaan: Wat is hier aan de hand?
Toen bleek ook wel dat we gehackt waren, en fors.
ROTMAN: Want ik weet nog, bij Hof van Twente,
ik moet er een beetje om grinniken, het is zo Peppi en Kokki,
daar rolde gewoon een printje uit de printer.
Daar stond op, nog net niet met uitgeknipte krantenkoppen:
'Jullie zijn gehackt, of je even wil betalen.' Hoe ging dat bij jullie?
KRANSEN: Wij hebben op een server een mailtje gevonden.
80.000 dollar en de boel is weer vrij.
ROTMAN: Heb je het nog overwogen?
-Nee, dat niet,
alhoewel we even goed hebben nagedacht.
In die week daarna kwamen er al vragen uit de Kamer,
want de pers krijgt lucht van het feit dat je gehackt bent.
Ik heb in nauw contact met de voorzitter van de veiligheidsregio, Ton Heerts,
en de minister overleg gehad over: wat gebeurt hier nou?
Wat gaan we nou doen?
En naarmate de tijd vordert, krijg je meer informatie.
De hoogte van de ransom betekende:
Zij weten niet wat voor organisatie ze hebben geraakt.
Het feit dat ze niet kunnen encrypten, bleek twee dagen later.
We hadden met de politie afgesproken: we houden ze aan het lijntje.
We gaan traceren. Dus naarmate de tijd vordert, krijg je meer informatie.
ROTMAN: En heb ook vertrouwen.
KRANSEN: Ja, en we hebben een aantal uitgangspunten geformuleerd op zondag.
Zorgvuldigheid voor snelheid. We framen het incident.
De burger heeft er geen last, maar we zijn wel geraakt.
We zijn helder geweest in de communicatie.
Eerst eigen personeel, daarna bestuurders, daarna buitenwereld.
We gaan niet bezig met de schuldvraag, we gaan het probleem oplossen.
ROTMAN: Naar hoe jullie dat gedaan hebben,
wil ik in de tweede deel van het gesprek kijken.
Laurens, heb jij enig idee hoe vaak er betaald wordt?
Ik kan me voorstellen dat overheidsorganisaties
om twee redenen niet zo snel betalen. Ten eerste: voorbeeldfunctie.
Je gaat gewoon niet overleggen, niet onderhandelen met boeven.
Ten tweede: bij de overheid is wat meer geld. Je kan je meer permitteren.
Maar als je een commerciële club bent, en er hangt een strop van 2,5 ton
boven je hoofd en je hoeft slechts 80k te betalen,
kan ik me voorstellen dat je denkt: let's go.
VD VARST: Misschien wel. Eerlijk gezegd weten we niet zo goed
wie wel en wie niet betaalt.
Je ziet aan de overheidskant dat ze daar veel principiëler in staan.
Volgens mij zijn er wel voorbeelden bekend, ook van bedrijven,
alleen vertellen ze dat zelf niet.
Je gaat er niet mee te koop lopen als je hackers betaalt.
ROTMAN: Heb je een indruk hoe vaak er betaald wordt?
Nee, maar ik kan me voorstellen dat je indien je daarin terechtkomt,
neigt dat te gaan doen,
als het hele systeem plat ligt en je met je handen in het haar zit.
ROTMAN: Ik heb gelezen dat in 40 procent van de gevallen betaald wordt.
Is dat een goede schatting?
VD VARST: Ik verwacht dat wel. Misschien wel meer.
KRANSEN: Even terug naar die hack van die vleesverwerker in Brazilië.
Die hebben elf miljoen betaald.
Dat slachten zij in minder dan een dag weg.
Als jij die fabriek dicht hebt en je kunt niks,
verlies je 20/30 miljoen per dag.
ROTMAN: Jouw veiligheidshart bloedt dan een beetje.
Want dat wil je natuurlijk niet.
-Nee, ik heb al eerder gezegd:
ik heb geen moreel oordeel. Als je een schildersbedrijf hebt met tien man,
dan laat je voor 20.000 euro de boel weer aan de gang brengen,
in plaats van 100.000 euro ellende. Dat snap ik wel.
De kunst is wel om het systeem te doorbreken.
En dat is dat je hulp inschakelt van professionele bedrijven,
maar ook van de overheid en van de politie om je te helpen te zorgen
dat je snel op orde komt, maar ook dat wij kennis opbouwen,
methoden van forensisch onderzoek kunnen doen,
om te zorgen dat we dat doen. Ik heb vanaf het begin hulp gevraagd
en die hulp heeft mij echt enorm geholpen om het snel onder controle te krijgen.
ROTMAN: De tips en tricks en wat ze hier in Gelderland hebben gedaan,
gaan we zo bespreken. Mag ik jullie een paar stellingen voorleggen?
Waar of niet waar? Natuurlijk heel flauw,
maar je mag achteraf wel een beetje nuanceren.
De eerste hebben we al een beetje gehad: Laurens, soms is boeven betalen
als je slachtoffer bent van ransomware de enige optie. Waar of niet waar?
VD VARST: Niet waar.
ROTMAN: Nog regelmatig vrees ik, Diemer Kransen,
dat de daders met informatie naar buiten komen om ons toch nog te treiteren.
Waar of niet?
-Waar?
ROTMAN: Spannend. Laurens,
weinig organisaties zijn echt goed beveiligd tegen hackers.
Waar of niet waar?
-Lastig te zeggen.
De beveiliging kan altijd beter. De dreiging verandert zo snel.
Dus misschien loop je altijd achter de feiten aan.
ROTMAN: Diemer, de tijd dat daders puisterige pubers
op een zolderkamertje zijn, is voorbij. Dit zijn gewoon keiharde criminelen.
Misschien wel maffia. Waar of niet waar?
-Absoluut waar.
En kennen in veel gevallen de bescherming van overheden
elders op de wereld, zijn meedogenloos,
hebben keurig netjes helpdesk, service- en dienstverlening.
Je kunt pakketten kiezen. Het is een enorme...
ROTMAN: Wat zeg je nou?
-Ze hebben gewoon een helpdesk.
Je belt naar de hackershelpdesk om de zaak weer vrij te krijgen,
of je nog informatie wil, of ze nog kunnen helpen. Zolang je maar betaalt.
Het gaat zelfs zover dat hackers letterlijk bellen.
Die bellen gewoon op.
-ROTMAN: Gestoord.
KRANSEN: Dat is inderdaad heel erg gestoord, maar het begint bij onszelf.
Zorg dat je goed beveiligd bent.
ROTMAN: En dan zeg je ook nog: af en toe vrees ik nog steeds
dat ze naar buiten komen om ons toch nog te treiteren.
Dat lijkt me ook wel een onhandig gevoel.
Alsof de inbreker nog steeds in je huis is.
KRANSEN: Ik denk dat we er alles aan gedaan hebben om dat te voorkomen,
maar het gaat ook over mijn medewerkers.
We werken met bijna 2000 mensen bij deze veiligheidsregio.
Die moeten zich veilig voelen, het gevoel hebben dat hun informatie veilig is,
dat hun privédomein veilig is.
Het is of iemand door je huis heeft lopen grasduinen.
Misschien niets meegenomen of de schade is beperkt,
maar het gevoel dat het kan gebeuren, en criminelen zijn meedogenloos,
dus je weet het gewoon niet.
Ik kan met een grote mate van zekerheid zeggen dat het niet gebeurd is,
maar 100 procent zekerheid heb ik niet.
ROTMAN: Een rotgevoel. Laurens,
Jij zegt: weinig organisaties zijn goed beveiligd tegen hackers,
moeilijk te zeggen. Je kan volgens mij wel stellen:
We moeten de naïviteit echt voorbij. Dit zijn criminelen, boeven, maffia.
Ze hebben een helpdesk. Het is gewoon bijna arrogant en schijtvervelend.
VD VARST: We moeten zeker die naïviteit voorbij.
Dit is een dreiging die hier is, die alleen maar groter wordt.
We staan denk ik met veel organisaties in de kinderschoenen,
ook met die beveiliging. Het kan natuurlijk lang goed gaan,
tot je ineens met die akelige gevolgen te maken krijgt.
Dan denk je: had ik maar een tandje bijgezet in die beveiliging.
ROTMAN: Jij hebt in de evaluatie de betrokkenen gesproken,
mensen geïnterviewd, Diemer Kransen heb jij ook goed gesproken.
Wat is jou opgevallen bij de evaluatie?
-Het is heel interessant
om deze casus ook te onderzoeken.
Het was natuurlijk de eerste keer dat die veiligheidsregio's gehackt werden.
Dat was al bijzonder. De context was bijzonder.
We zaten net, ik weet niet of je dat nog weet, Robin, een jaar geleden...
We kwamen net uit de zomerperiode, de coronazomer, relatieve rust.
Dan zien we die besmettingen toenemen
en gaan we langzaam op weg naar die tweede golf
en dan wordt die veiligheidsregio met die vitale functie in die coronabestrijding
geraakt door zo'n hack.
Dus dat is toch wel heel bijzonder om daar naar binnen te kijken
en ook de evaluatie te doen.
Je ziet dat ze vanaf het eerste moment niet geaarzeld hebben,
maar zijn gaan handelen.
Ze hebben hulptroepen ingeschakeld.
Ze zijn meteen de dag daarna als crisisteam gaan functioneren.
Je ziet vaak organisaties die misschien eerst wat aarzelen.
ROTMAN: Wat ik Diemer hier hoor zeggen:
Die staat gewoon op het hockeyveld bij z'n zoon.
Die krijgt een paar telefoontjes, die gaat die meteen aan
en nog geen 24 uur later zitten alle deskundigen, betrokkenen
allemaal aan tafel. Er ligt een plan. Er ligt een communicatiestrategie.
Er ligt... hoe noemen jullie dat? Jullie hadden prioriteiten gesteld?
KRANSEN: Ja, precies. Wat zijn de uitgangspunten voor deze crisis?
ROTMAN: De uitgangspunten voor deze crisis. Ik kan me zo voorstellen
als 'normale organisaties' gepakt worden,
dat het misschien wel een week duurt voordat ze op dit niveau zijn.
VD VARST: Zeer denkbaar.
Vaak zie je: we gaan het probleem zelf oplossen.
ICT denkt dat vaak. Bagatellisering vaak nog van het probleem.
Was hier eigenlijk geen sprake van.
Dus meteen al alle alarmbellen gingen af.
ROTMAN: En gêne misschien ook. Kan je je dat voorstellen, Diemer?
Of een beetje bagatelliseren. Of dat je als leidinggevende zegt:
'We houden dit klein, we gaan het zelf doen.
We zetten onze eigen IT-mensen erop.'
-Wat Laurens zegt, klopt.
Ik heb het omgekeerd.
Ik heb mijn eigen ICT'ers niet aan de kant gezet of gebagatelliseerd,
maar die waren ook niet in de modus, gelukkig maar,
dat ze het wel even zouden tackelen, want ze wisten dat we fors geraakt waren.
Dus we hebben de verschillende deskundigen op ICT-gebied
geïsoleerd en bij elkaar gezet. 'Jullie lossen de techniek op
en alles wat daarmee te maken heeft. Maak je geen zorgen om de buitenwereld.'
Communicatieclub ingericht en een herstelclub.
Daarnaast nog een scenarioteam dat allerlei scenario's is gaan uitwerken.
Als dit nou een week duurt, twee, vier, zes of acht weken?
We hadden daarnaast de crisisorganisatie covid,
de gewone crisisorganisatie, want het brandt ook nog gewoon,
we kunnen nog een ramp krijgen, en de hack-crisisorganisatie.
Dus er liepen allemaal crisisorganisaties door elkaar, in dezelfde structuur,
in dezelfde manier van werken.
En we namen een aantal besluiten waardoor iedereen rustig door kon.
ROTMAN: Beetje suffe vraag misschien, maar is het ook ergens spannend
en interessant ook? Of leuk bijna?
Want je zit dit heel gepassioneerd te vertellen.
Ja, dat is het. Ik ben van nature iemand
die in die crisisorganisatie is opgegroeid. Ik werk er al jarenlang in.
Ik heb grote incidenten meegemaakt.
Het mobiliseren van je eigen organisatie is natuurlijk fantastisch.
En het mooie om te zien, is dat mensen, ook mijn eigen personeel,
mijn ICT'ers, enorm gemotiveerd waren.
Die waren in hun ziel geraakt. Die dachten: dit gaat ons niet gebeuren.
Die zijn dag en nacht aan het werk geweest,
samen met de mensen van de andere organisaties, om die hack klein te krijgen
en om echt dag en nacht door te werken om dit te doen.
Dus we hebben ze in de watten gelegd,
we hebben ze goed voorzien en we hebben een heldere structuur gebouwd.
En achteraf hebben mijn ICT'ers gezegd:
'Wat fijn dat wij niet van het podium zijn gehaald,
maar dat wij onderdeel waren van het herstel.'
ROTMAN: Een deel van de oplossing. Laurens, als je nou terugkijkt:
hoelang heeft het ongeveer geduurd voordat deze organisatie
de boel weer op de rit had, een beetje zichzelf weer was?
VD VARST: Dat heeft een aantal maanden geduurd.
Je kunt wat onderscheid maken in de fases.
Je had natuurlijk de eerste week, die was wel spannend en onzeker.
Veel dynamiek. Wat speelt hier nu? Hoe treft het onze organisatie?
Welke maatregelen kunnen we nu nemen?
Na die eerste week komt dat alweer in een wat rustiger vaarwater,
gaat men systemen opschonen, komen er weer nieuwe laptops,
e-mailadressen worden aangemaakt.
Er ontstaat langzaam wat meer controle en grip
en gaat men langzaam ook weer terug naar normaal.
Maar het helemaal opschonen van je eigen ICT-organisatie,
daar ben je wel een aantal maanden mee zoet.
Dus uiteindelijk heeft dat tot februari 2021 geduurd.
KRANSEN: Drie, vier maanden heeft het geduurd.
Iedereen kon na drie weken weer werken,
maar daarmee was nog niet alles opgelost.
ROTMAN: Als het je overkomt, wat voor lessen zou jij mee willen geven
aan andere veiligheidsorganisaties, overheden of bedrijven?
Als jullie dit nou samen hebben bekeken, wat zijn jullie tips?
VD VARST: Twee dingen: enerzijds moet je iets aan die voorkant doen
en de beveiliging evident. Hoe zorg je dat je systemen veilig zijn?
Anderzijds denk ik vanuit crisismanagement-perspectief
dat het noodzakelijk is om is eens gewoon te oefenen met elkaar
en begin dan bij je eigen organisatie. Het is een enorme open deur, maar toch.
We zien dat het weinig gebeurt. ROTMAN: Oefenen is geen open deur,
want het is volgens mij helemaal niet vanzelfsprekend
dat er geoefend wordt.
We staan allemaal een keer per jaar wel een keer buiten
omdat er een brandalarm afgaat. Daar wordt een beetje giechelig over gedaan.
Maar dit cybergevaar oefenen en trainen, hoe ga je daarmee om,
dat wordt niet geoefend, toch? KRANSEN: In de veiligheidsregio's wel.
Laurens heeft gelijk. Wij oefenen op dit soort scenario's,
omdat we alle scenario's trainen, waarbij cyber nu ook nadrukkelijk
in onze grote risico's zit.
Alleen buiten de veiligheidssector is het niet heel gewoon om te doen.
Maar wij doen het wel, want we hebben met een aantal gemeenten geoefend
en gezegd: uitval. Lochem is gehackt in 2018.
Dus we weten wel degelijk wat we moeten doen.
Maar als je aan mij vraagt 'was je zelf heel goed voorbereid op een hack?'
is de antwoord natuurlijk nee, totdat het me gebeurde.
ROTMAN: Hoe zou je dat kunnen oefenen?
Gewoon een groepje ethische hackers inhuren
en zeggen: 'Ergens in het jaar gaan jullie een keertje op een dag
proberen binnen te komen en dan kijken hoe wij reageren.' Wat is een oefening?
VD VARST: Dat is een voorbeeld. Wat voor crisismanagement belangrijk is,
is om die ICT-club in een ruimte te zetten, samen met communicatie,
en met je crisisbeheersingstak.
En inderdaad dat gesprek te voeren: Wat kunnen we nou?
Hoe kunnen we die werelden verknopen? Hoe kan ICT de crisisbeheersing helpen?
Hoe kan de crisisbeheersing de ICT-organisatie helpen?
Kunnen we zo'n probleem ook zelf oplossen?
Of hebben we hulp van buiten nodig?
Ook die vraag stellen als organisatie is cruciaal.
Wat is je eigen vermogen om op dit soort incidenten te reageren?
En waarvoor heb je je anderen eigenlijk nodig?
Zoals het NCSC, Fox-IT, misschien KPN die je daarbij nodig hebt.
VNOG geeft dat proefondervindelijk eigenlijk ondervonden.
Ik denk dat het cruciaal is voor organisaties om die disciplines
bij elkaar te brengen en dan een of twee scenario's door te lopen.
ROTMAN: Kun jij een plan op papier zetten?
Wat je zegt net: het is ook in zekere zin een grote improvisatieshow.
Nu zit het in jullie systeem
dat je ongeveer wel weet wat je in die improvisatieshow moet gaan doen.
Mensen bij mekaar, om de tafel, je moet een plan maken.
Je voelt intuïtief waarschijnlijk aan wat je prioriteiten moeten zijn.
Maar kun je een plan maken? KRANSEN: Je kunt goed een plan maken.
Wat Laurens beschrijft, de evaluatie van onze hack is eigenlijk een uitgangspunt,
een notitie die iedere organisatie zou moeten lezen
en dan voor de vorm van de organisatie kiezen: wat is hier het belangrijkste?
Wat is in die crisis belangrijk? Namen en rugnummers.
Wie is waarvoor verantwoordelijk? Wie leidt die crisis?
Wat je dan ziet, is dat de hoogste schalen binnenkomen.
Die hebben er geen verstand van, maar ze gaan het wel doen,
in plaats van de mensen die het echt kunnen.
Dus zoek uit wie dat kan in zo'n crisis.
En wil je goed oefenen, heb je helemaal geen hackers nodig.
Zet je servers op donderdagmiddag als het het drukste is in je bedrijf
maar twee uur uit, en dan moet je een bedrijf hebben
met de omvang van die van mij, 2000 medewerkers,
moet je eens kijken wat er dan gebeurt.
Dan ben je nog niet eens gehackt, maar dan breekt totaal de pleuris uit.
En ga dan maar eens kijken hoe mensen reageren.
Alle medewerkers gaan bellen, die zitten overal.
ROTMAN: Maar dat is een back-upplan.
Zorg dat je gecompartimenteerd bent. VD VARST: Absoluut, dat is belangrijk.
Het nadenken over: wat zijn nou onze vitale processen
en wat gaan we doen als die processen uitvallen?
Je zag hier dat veel communicatiekanalen eigenlijk niet meer functioneren.
Hoe ga je dan mensen bereiken?
Hoe ga je stakeholders informeren? Welke kanalen heb je dan?
Moest je dan met rooksignalen gaan werken of postbezorgers?
Die simpele vraag 'wat zijn de vitale processen binnen onze organisatie
en wat kunnen we doen om die zo goed mogelijk te waarborgen?'
is denk ik onderdeel van zo'n oefening.
ROTMAN: Dus je kan een heleboel doen. KRANSEN: Je kunt je goed voorbereiden.
Er zit een deel op techniek. Wat heb je met je leveranciers afgesproken?
Een ander deel zit in: awareness bij je personeel.
'Jongens, weet wat er gebeurt als je dit doet.'
ROTMAN: Heb jij enig zicht op hoe ze zijn binnengekomen?
Een van mijn medewerkers heeft op zaterdagmiddag
een post willen helpen, omdat daar een verbindingsprobleem was.
Er wordt aangebeld met een pakketje,
hij laat een poortje open staan en binnen waren ze.
ROTMAN: Dus zo makkelijk gaat het.
KRANSEN: Gewoon iemand willen helpen met de beste bedoelingen.
ROTMAN: Bijna niet eens een fout.
-Maar het is ook geen fout.
Een blessing in disguise dat het misschien ook gebeurd is,
in de vorm waarin het gebeurd is,
omdat de omvang beperkt is geweest, maar we hebben er veel van geleerd.
ROTMAN: Ik heb gesproken met onder anderen Hans de Vries van het NCSC.
Dat is de veiligheidsorganisatieclub.
Zij houden vooral de vitale processen in het land een beetje in de gaten.
Die wilde het volgende van jullie weten.
Hebben zij nu ook geconstateerd hoe vitaal zij zelf zijn als organisatie,
hoe zij hun processen hebben georganiseerd?
Maar ook wat de bredere impact is, omdat wat wij natuurlijk zien,
zodra er een cyberincident is, heeft dat enorme gevolgen.
KRANSEN: Wij zijn vitaal op dit moment.
We zijn sterk, flexibel, ingesteld op alles wat er op ons afkomt,
maar ook dankzij de onderzoeken.
En mede, daarom zei ik al 'blessing in disguise',
die hack heeft ons ook geholpen.
Moet de burger zich zorgen maken?
Nee, want we krijgen alles op straat en we doen het.
Is die hele veiligheidssector veilig genoeg en beschermd?
Dat vraag ik me nog wel af,
omdat je toch een keer door die hele molen moet.
VD VARST: Het is heel belangrijk.
Die crisisbeheersing, de hulpverleningsfunctie
is een vitale functie in iedere samenleving
en die veiligheidsregio's spelen daar een belangrijke rol in.
Burgers verwachten ook dat die hulp- verleningsfuncties blijven functioneren.
Dat is een vitale speler in dit veld.
ROTMAN: Zeker nu in coronatijd, de veiligheidsregio's duiken constant op.
KRANSEN: Ja, en wij worden dus ook geacht
onze informatiepositie op orde te hebben
om te zorgen dat we de burger maximaal kunnen ondersteunen en helpen.
ROTMAN: In de volgende aflevering praat ik met Inge Bryan, de baas van Fox-IT.
Ik ga met haar bespreken: wat komt er de komende vijf tot tien jaar op ons af?
'The internet of things', we gaan steeds meer verknopen,
digitalisering wordt nog alomtegenwoordiger
in onze samenleving, in onze systemen, in alles wat we doen, eigenlijk.
Ik wil weten van haar: hoe kunnen we ons wapenen tegen de boeven?
Hebben jullie een vraag voor haar? Wie wil?
KRANSEN: Ik zou van haar wel willen weten
hoe zij in de toekomst ziet hoe de digitale veiligheid
en de fysieke veiligheid, wij zijn van de veiligheidsregio's,
hoe die zich tot elkaar gaan verhouden en welke risico's daaraan verbonden zijn.
ROTMAN: Hoe de digitale veiligheid impact heeft op de fysieke wereld.
KRANSEN: De fysieke veiligheid van mensen.
ROTMAN: Heb jij daar al enig idee van, Laurens?
VD VARST: Ik zie wel dat die digitalisering razendsnel gaat
maar dat ons gedrag zich nog niet automatisch aanpast
aan die snelle ontwikkelingen.
Ik denk dat de bewustwording van die risico's
en kansen die digitalisering biedt belangrijk is,
Maar weten is nog geen doen. Dus hoe komen we...
Hoe passen we ons gedrag als professionals aan,
zodat daadwerkelijk veiliger gaan handelen
en ook weer flexibeler gaan denken over technologie?
Dat is wel de grote opgave. Echt die gedragsverandering.
ROTMAN: Dat is security by design. Niet eens het design van het systeem,
maar ook gewoon van je eigen handelen.
-Absoluut, en van je organisatie.
De hele menskant, de human factor, daar hebben we nog veel te doen.
Je ziet dat ook bij klimaatverandering. We zijn ons allemaal bewust van klimaat
en dat we daar iets in te doen hebben,
maar daadwerkelijk ons gedrag aanpassen,
zodat dat meer in lijn is met ontwikkelingen, is een grote opgave.
Dat vind ik wel interessant terrein voor de komende jaren.
ROTMAN: Diemer, terugkijkend: waar staan jullie nu? Alles herbouwd en veilig?
Alles weer klaar voor de volgende hacks?
Waar staan jullie nu?
-Ik denk dat we er echt goed voor staan.
Maar we hebben geleerd van wat we hebben meegemaakt.
We hebben ook maatregelen genomen, die zijn bestuurlijk ondersteund.
Ik heb 22 burgemeesters die ook verantwoordelijkheid hebben.
We hebben de dijken fors opgehoogd. Echt een deltaplan, ook hier intern.
En we hebben heel veel kennis, ook samen met Laurens,
gedeeld met andere veiligheidsregio's en organisaties die het willen weten.
Hoe doe je dit handig? Wat moet je doen om te voorkomen dat het je gebeurt?
ROTMAN: De regels zijn weer wat veiliger geworden dankzij deze hack.
VD VARST: Ja, dat is tragisch, maar waar.
Het geeft altijd een enorme impuls, zo'n incident.
Een hoop gedoe, maar je kunt er ook veel van leren.
Dat hebben we gedaan, de evaluaties.
We hebben leerarena's georganiseerd
om de lessen breder uit te leggen, met andere veiligheidsregio's.
Je zag dat daar veel animo voor is,
dus het is echt pionieren voor iedereen op nieuw terrein.
En zo'n incident kan ons daarbij helpen om daar weer een impuls aan te geven
en dat kennisniveau opbouwen met elkaar.
ROTMAN: Dank jullie wel. Veel succes met jullie mooie werk
om de wereld een beetje veiliger te maken.
Dank je wel, Diemer Kransen en Laurens van der Varst.
Luister ook de andere afleveringen van 'Let's talk about hacks'
en ga hiervoor naar weerbaredigitaleoverheid.nl.