Gemeente Hof van Twente gehackt en GAME OVER

Gemeente Hof van Twente gehackt en GAME OVER

 

De gemeente van Twente is gehackt waarbij er veel data vernietigt en gestolen is. Ook is er rond de 40 Terabytes (40.000 Gigabytes) aan data (back-ups) versleutelt door de hackers.

Op dinsdag 1 december kon gemeentepersoneel opeens niet meer inloggen op de gebruikelijke portalen. Het leek op een storing… Op de donderdag erna bleek het om een cyberaanval te gaan. Er zijn 50 Bitcoins (à ongeveer 800.000 euro) gevraagd voor het ontsleutelen en teruggave van de data.

Dave Maasland, de CEO van ESET security (IT-beveiligingsbedrijf) was te gast als spreker bij BNR Digitaal om te praten over deze hack. In dit artikel wordt het audiofragment van BNR samengevat en wordt er extra informatie gegeven omtrent dit voorval.

 

Hoe is de gemeente gehackt?

De hackers zijn met een bruteforce attack, via het remote desktop protocol (RDP), binnen gekomen. Het is niet veel spannender dan dat; Wachtwoorden raden met behulp van wachtwoordlijsten. Net zo lang raden totdat je het goede wachtwoord hebt. En dan, hoppa, de hacker is binnen.

Waarschijnlijk gebruikte er iemand bij de gemeente een zwak wachtwoord die vervolgens tijdens de bruteforce attack geraden is. Ook stond er geen lock-out policy ingesteld (wanneer je bij bijvoorbeeld 3 keer een foutief wachtwoord invoeren geblokkeerd wordt voor een bepaalde tijd).

Als er een bruteforce attack is gebruikt, wat soms wel meer dan 10.000 keer een wachtwoord proberen is, dan stond er sowieso geen lock-out policy ingesteld bij de gemeente. Ook zou er geen tweestapsverificatie (2FA) ingesteld staan.

De systemen waren waarschijnlijk rechtstreeks benaderbaar vanaf het internet. Het was dus niet een digitale achterdeur die open stond, maar eerder gezegd de digitale voordeur..

 

Wat voor data is er gestolen?

De volgende data in buit gemaakt tijdens de hack:

  • Crediteuren & Debiteuren administratie
  • Financiële administratie
  • Uitkeringsaanvragen
  • Vergunningaanvragen
  • E-mails
  • Projectadministratie
  • Privacygevoelige gegevens – wie heeft met wie gesproken, waar gaat geld in om?
  • Misschien wel paspoorten? – Speculatie maar kan zomaar waar zijn…

 

De back-ups zijn versleuteld… – wat was dan de back-up strategie?

Aldus Dave Maasland: “Je ziet vaak dat back-ups intern bereikbaar zijn” – dit betekent dat de back-ups in hetzelfde netwerk opgeslagen staan; ongescheiden van het netwerk waarin gewerkt wordt.

Wat is dan de juiste back-up strategie?

Sterke wachtwoorden gebruiken, en natuurlijk niet doorvertellen. De algemeen bekende tips. Back-uppen moet gebruiksvriendelijk zijn. Back-ups op tape voor kritische systemen kunnen nog weleens handig zijn – aangezien je de back-ups dan ergens anders fysiek (zonder internetverbinding) opgeslagen hebt.

 

Alle systemen opnieuw opbouwen

De gemeente ging de straat op om te vragen aan inwoners of er moest worden betaald voor de teruggave van de data. Echter willen de inwoners geen zaken doen met criminelen.

Soms kan je beter eieren voor je geld kiezen omdat je met het zelf herstellen van de data veel duurder uit zal zijn dan de data terugkopen. Businesswise maken bedrijven afwegingen. De vraag is, wat lost het op: Zijn de hackers hierna nog actief in netwerk, misschien publiceren ze gestolen data later alsnog…

Betalen in geen reële optie voor de gemeente aangezien de inwoners er niet achter staan. Ook denkende aan de AVG kan de gemeente beter opnieuw beginnen met alles opnieuw opbouwen. Er zijn namelijk veel nieuwe regels omtrent hoe je omgaat met data. Dit staat in de AVG (algemene verordening persoonsgegevens).

Helaas kan je niet het gemeentelijke archief opnieuw verzinnen. Eigenlijk bestaan ze van een op andere dag niet meer. De gemeente is als het ware “verslagen”. Het is GAME OVER voor de gemeente.

 

Ransomware! Of toch niet?

Dit is volgens Dave Maasland (nog niet) niet duidelijk. De gemeente spreekt van geavanceerde technologieën.

“In ieder geval wijst alles erop dat er veel fouten zijn gemaakt”.

Volgens Dave Maasland is het niet handig om in deze taal te spreken; zeggen dat er geavanceerde technologieën zijn gebruikt… Deze vorm van communicatie is volgens hem niet handig.

Communicatie adviezen van slachtoffers van hacks of die hacks willen voorkomen:

Plan vooraf, Wie spreekt er? Wie zegt wat? – Hoeft niet gelijk de hoogste baas te zijn. Kies iemand die bekend is met IT. Zorg voor transparantie; Beter zeggen dat je niets weet in plaats van erom heen te draaien. Houd mensen op de hoogte.

 

Begin juni 2019 buurgemeente Lochem ook gehackt

Volgens Dave kan dit anno 2020 kan niet meer..

“Iedereen had dit kunnen scannen“

Beveiligingsbedrijf FireEye is ook gehackt…

Badr Hari kan ook in elkaar geslagen worden.. Wellicht was de vechter heel geavanceerd… Maar ten opzichte van Gemeente Hof van Twente krijg je daar wel een analyse van de verliezer – achteraf. Het is niet handig om te zeggen dat de hacker geavanceerde technieken gebruikt terwijl je zelf de voordeur had open staan

 

“Het Nationaal Cybersecurity Centrum moet zich ermee bezig gaan houden”

Ook heeft de Tweede kamer een motie aangenomen zodat de digitale veiligheid van drinkwaterbedrijven en waterschappen periodiek moeten worden doorgelicht.

 

Hoe voorkom je een hack als deze?

Kijk vooral naar externe aanvals-oppervlakten (zeker tijdens deze corona tijd waarbij iedereen verplicht thuis werkt). Kijk naar alles wat je hebt aangesloten aan het internet. Zorg dat thuiswerken veilig achter een VPN met wachtwoord gebeurt. Fout wachtwoord? Blokkeren! Lock-out policy! Tweestapsverificatie (2FA) EN Updaten, updaten, updaten.

Met bovengenoemde stappen kan je jezelf al best goed verdedigen, samen met een goede, niet te vergeten, back-up-strategie.

 

Bronnen:

 

Benieuwd naar jouw (online) IT-veiligheid?

Bel ons dan voor vrijblijvend advies! Je kan ons ook een bericht sturen via het contactformulier.

 

Vragen of opmerkingen over dit artikel? Laat dan hieronder een reactie achter!

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *