Hack raakte de gemeente Smallingerland precies in het hart: 'We hadden geen telefonie en mensen konden hun rijbewijs niet ophalen'

De gemeente Smallingerland is afgelopen april slachtoffer geworden van een hack. De computerinbreker infiltreerde slechts een klein deel van het systeem, maar wel een dusdanig belangrijk deel dat de gemeente een dag lang werd platgelegd.

De dienstverlening van de gemeente Smallingerland lag een dag plat door de hack.

De dienstverlening van de gemeente Smallingerland lag een dag plat door de hack. Foto: Jilmer Postma

Eén menselijk foutje. Eén moment van onoplettendheid. Eén gaatje in de beveiligingslinie. Meer heeft een hacker tegenwoordig niet nodig om binnen te komen. De gemeente Smallingerland kwam daar in april hardhandig achter.

Poortje open

Een it-beheerder van de gemeente had op een avond, bij onderhoudswerkzaamheden, een poort van de firewall opengezet om een storing op te lossen. ,,En hij heeft dat poortje niet op tijd weer dichtgedaan. Dat gaf een externe partij kans om binnen te komen”, vertelt Gerrit van der Heide. Hij is als Chief Information Security Officer (CISO) verantwoordelijk voor de informatiebeveiliging bij de gemeente.

Een firewall houdt malafide zaken buiten de digitale deur. Het is een belangrijk deel van de digitale beveiliging, en dat bleek ook in Smallingerland. De volgende ochtend kwamen ambtenaren erachter dat de systemen niet meer functioneerden. ,,En we zagen dingen op het netwerk die niet klopten”, aldus Van der Heide. Meerdere servers bleken besmet met ransomeware , of gijzelsoftware. ,,Een hacker had succesvol gepenetreerd en iets geïnstalleerd.”

De hack, die nog gaande was die ochtend, kon vrij snel gestopt worden. Van der Heide: ,,Eigenlijk gewoon door de verbinding te verbreken, door de stekker eruit te trekken.”

Dienstverlening plat

Wel werd meteen duidelijk dat de hacker de gemeente in het hart had geraakt. De hacker had een database versleuteld, waar feitelijk het hele netwerk van de gemeente van afhankelijk was. Er werd daarom een crisisteam geformeerd, met onder meer communicatieadviseur Peter Boomsma. ,,We hadden geen telefonie”, vertelt hij. ,,Mensen konden hun rijbewijs niet ophalen. Collega’s wilden aan de slag, maar ze konden niets. Eigenlijk lag de hele dienstverlening plat.”

Dat zou de rest van de dag duren. Dit kwam vooral omdat alle systemen van de gemeente werden onderworpen aan een forensisch onderzoek, uitgevoerd door cybersecuritybedrijf Northwave. Van der Heide: ,,De weg naar herstel was ons wel snel duidelijk, maar we moesten zeker weten dat de hacker nergens anders was geweest.”

Losgeldbericht

Aan het einde van de middag kon Northwave bevestigen dat de rest van de servers schoon waren. Er bleken geen data gestolen te zijn en met back-ups kon de gemeente alle systemen herstellen. Uiteindelijk bleken twee apparaten geïnfiltreerd. Daarop vond Northwave ook een losgeldbericht van de hacker, waarin hij of zij aanbood de versleutelde data terug te geven als bitcoins betaald werden. Van der Heide: ,,Maar daar was voor ons geen aanleiding voor. We hadden al een herstelplan.”

Wat Van der Heide opviel, was vooral de snelheid waarmee de aanvaller binnenkwam. Vermoedelijk vond hij het lek via een automatische scanner al na een paar uren. ,,Het ging bijzonder snel. Dat heeft mij wel verbaasd. Maar dat is ook de tendens tegenwoordig.”

Betere wapens

,,Je ziet dat ze steeds sneller worden”, vervolgt Van der Heide. ,,Dat zie je ook bij patches (reparaties aan software, JPS.). Vroeger kon je die wel een keer per maand doen, nu moet ze ze echt binnen een paar dagen of uren installeren. De boeven hebben steeds betere wapens, de verdedigingslinie moet dus ook steeds beter worden.”

Dat de hackers steeds beter worden, komt volgens hem mede doordat hun inspanning loont: veel organisaties blijken bereid losgeld te betalen. ,,Dat geld besteden ze weer aan betere wapens.” Toch wil Van der Heide niet oproepen om nooit losgeld te betalen. ,,Stel: je dreigt als bedrijf driehonderd miljoen euro aan omzet kwijt te raken door ransomeware, terwijl het losgeld een paar miljoen is. Wat voor afweging maak je dan?”

Te afhankelijk

De gemeente heeft naar aanleiding van de aanval meerdere dingen aangepast. Zo kijkt er tegenwoordig bij onderhoudswerkzaamheden altijd een tweede it-er mee. Ook wordt de telefonie losgekoppeld van de getroffen database. ,,We zijn nu te afhankelijk van dat systeem.”

Smallingerland deed aangifte van de hack, maar de kans dat de hacker gevonden wordt is klein. ,,Op het internet kan je je identiteit makkelijk maskeren.” Omdat de dienstverlening eruit lag, ging de gemeente naar buiten met het nieuws over de hack. ,,Maar als een ander deel van het systeem eruit had gelegen, hadden we er waarschijnlijk niets van gezegd. Het incident was vrij snel opgelost, maar de plek van de hack was onhandig.”