Hoe gemeente Lochem door het oog van de naald kroop
“Hier moet Nederland van leren!” zegt Sebastiaan van ‘t Erve, burgemeester van Lochem tegen mij. We praten nog geen minuut als glashelder is dat zijn gemeente is getroffen door een aanval van serieuze omvang. In zijn stem hoor ik zorg, nervositeit, maar vooral vastberadenheid. Deze bestuurder toont het nieuwe normaal.
De uitwerking van de keuze is enorm. ‘Leren’ betekent uitzoeken wat er gebeurd is. Er komt deugdelijk forensisch onderzoek, het woord ‘schuld’ of ‘schuldige’ blijven onbesproken maar zijn evident taboe. We proberen fouten te vinden, te verhelpen, te documenteren en de kennis die we daarmee vergaren, willen we uiteindelijk verspreiden. De sfeer onderling is meteen goed. De communicatie is open, relaxt en wat vrij uniek is: er zijn geen politieke spelletjes. Het is bijna Rotterdams: niet lullen, maar poetsen. De inzet van de medewerkers is enorm, wat de stereotype ambtenarengrapjes in een ander daglicht zet. Diverse nachten wordt er doorgehaald, het pinksterweekend wordt opgeofferd en werkdagen van 30 uur zijn eerder regel dan uitzondering. Mensen moeten bijna worden gedwongen nu echt te gaan slapen. Iedereen wil maar één ding: het probleem verhelpen.
Advanced Persistent Threat
Dat probleem blijkt groot te zijn. De eerste aanval vond op 20 december 2018 plaats. Met enige regelmaat komen de aanvallers terug. Het is duidelijk dat Lochem veel aandacht van de aanvallers krijgt. Ofwel een gemeente met 34.000 inwoners is slachtoffer van een advanced persistent threat. Dat maakt het verhaal nog vreemder. Waarom zouden de aanvallers geïnteresseerd zijn in Lochem?
Het antwoord laat niet lang op zich wachten. Al snel vinden forensisch onderzoekers berichten op servers, waarin losgeld wordt geëist. Op een testserver zijn ook daadwerkelijk bestanden versleuteld. Het ‘op slot’ zetten van de Gemeente Lochem is een criminele businesscase. Waar malware meestal lukraak wordt afgeschoten, werken hier criminelen minutieus en doelgericht aan hun doel.
Dat zo’n aanval lonend is, blijkt als ik wat onderzoek doe. De stad Riviera Beach in Florida, Verenigde Staten, is met 34.000 inwoners even groot als Lochem. Ook zij werden getroffen door malware en konden niet meer bij recente back-ups. Via de verzekeraar werd onderhandeld en die zag zich genoodzaakt $ 600.000 af te staan aan de criminelen.
Dienstverlening platleggen
Later in het onderzoek wordt duidelijk dat er toegang is geweest tot inlognamen van gebruikers. Dat bewijs roept een pijnlijke vraag op: kunnen we uitsluiten dat men toegang heeft tot het netwerk met veel rechten? Windows kent het verschijnsel van een golden ticket, waarmee je op alle systemen terecht kunt met de hoogste rechten. Als die wordt ingezet, kunnen de aanvallers tijdens het onderzoek alles alsnog gijzelen.
Er is weliswaar geen bewijs dat dit probleem speelt. Vooralsnog is er geen gebruik van gemaakt, maar dat betekent niet dat het is uitgesloten. Dat leidt tot een dramatische conclusie: als we het niet kunnen uitsluiten dat er nog een aanval komt, moeten we dat onmogelijk gaan maken. Alles moet opnieuw worden ingeregeld. De uitvoering van zo’n operatie moet goed gebeuren en dat kost tijd. Eén avond en één nacht zijn daarvoor tekort. Veel gemeentelijke dienstverlening zal voor een dag gestaakt worden.
Het digitale incident heeft een harde fysieke uitwerking gekregen: de gemeentebalies gaan een dag dicht, de mail gaat plat, de administratie doet het niet en ga zo maar door. Lochem is nog maar heel beperkt bestuurbaar. De burger gaat merken dat er een aanval is geweest. Voor inwoners duurt de overlast ‘maar’ een dag. Intern duurt dat langer. Je durft er niet aan te denken hoe de situatie zou zijn als de aanval wel zou zijn geslaagd.
Forse schade
De gevolgen blijven in dit geval gelukkig beperkt. De criminelen hebben alleen gebruikersgegevens van de systemen ingezien en geen informatie uit de administratie over inwoners. Het datalek is overzicht en dat is op zich goed nieuws. Maar Lochem kroop door het oog van de naald. Het scheelde echt heel weinig of de criminelen hadden wel succes gehad. Als ze niet waren getipt had de gemeente al die maanden niets zien aankomen. En juist dat maakt het eng: wie volgt?
Dat er uiteindelijk geen gijzelingsactie heeft plaatsgevonden, betekent niet dat er geen schade is. Er zijn forse kosten die een gat slaan in de begroting van een kleine gemeente. Op het moment van schrijven is er al meer dan 200.000 euro aan schade. Een deel zit in onderzoek, een deel in acute acties die noodzakelijk zijn om de crisis te beheersen, een deel is veroorzaakt door de verstoring als gevolg van het incident en een deel zijn noodzakelijke verbeteringen. Het zijn terechte kosten, maar dat ze in geen enkele begroting staan, is wel lastig.
Met Van ‘t Erve stel ik vast dat er rond de schade eigenlijk iets vreemds aan de hand is. Stel dat de gemeente kosten moet maken na het neerstorten van een vliegtuig, bij een scheepsongeval of gasexplosie. Dan zou het Rijk bijspringen met daadwerkelijke hulp en met financiële ondersteuning. Waarom is dat nu niet het geval? Dat vraagstuk is nu onderdeel van discussie. Deze discussie wordt gevoerd met een welwillend houding, want iedereen loopt dit soort risico’s.
Informatie delen
Ook al ging het net niet mis, in Lochem is wel het nieuwe normaal ontstaan. Voor zover mogelijk is alles naar buiten gebracht. Dat omvat veel informatie uit het forensisch onderzoek en een duidingsrapportage met daarin harde, soms pijnlijke lessen. Iedereen kan met deze informatie de kansen op een vergelijkbaar incident kleiner maken, lering trekken en wakker worden bij een nieuwe realiteit.
Informatie delen is geen wensdenken, maar een signaal dat de ICT professionaliseert. Want als er ergens na een incident fouten moeten worden opgespoord waarvan als norm wordt geleerd, is dat wel in de ICT.
