lokaal_20230501_28_cyber.png
Provider image

De laatste jaren werken lokale besturen meer en meer aan hun cyberveiligheid. Ook Antwerpen en Diest hadden daar al stappen voor ondernomen, maar afgelopen december werden ze toch nog slachtoffer van een cyberaanval. Myriam Parys, algemeen directeur van Diest, en Youri Segers, chief digital officer bij de stad Antwerpen, vertellen en geven tips.

‘Op 12 december in de ochtend merkten we dat er geen mails binnenkwamen. Onze IT-dienst ontdekte dat er geen enkele toepassing meer operationeel was. Er bleek dan op één toestel een boodschap te zijn van de hackers,’ vertelt Myriam Parys. In Antwerpen verliep het een beetje anders: ‘In de ochtend van 6 december werden er ineens verschillende files en programma’s omgevormd naar .play-bestanden. Intussen verspreidde het virus zich als een lopend vuurtje binnen onze systemen. Dus schoten we in actie. Organisatorisch schakelden we direct externe partners in, zoals het federale Cyber Emergency Response Team (CERT), zodat we van hun expertise gebruik konden maken. Intern op Digipolis zijn we opgeschaald naar 24/7-permanentie. Niet alleen omdat er technisch heel veel acties ondernomen moesten worden, maar ook om stelselmatig het gevecht met de hackers aan te gaan om de systeemaccounts weer onder controle te krijgen.’

Ook de stad Diest riep eerst de lokale crisiscel samen. Diezelfde ochtend kwamen de politie, de burgemeester, de algemeen directeur, de ICT-dienst, de noodplanningsambtenaar, de communicatiedienst, de DPO en de CERT samen. ‘Om de schade te beperken moesten we meteen in isolatie: alle kabels uittrekken, ICT afsluiten. Ook onze connecties met andere partijen werden verbroken, zodat het virus zich niet kon verspreiden,’ vertelt Myriam Parys. Ook in Antwerpen gingen ze in lockdown.

 

Communicatie cruciaal

In Diest werkten de mailboxen niet meer, maar ze vonden wel alternatieve manieren om te communiceren: ‘Natuurlijk was de interne en externe communicatie enorm belangrijk. Intern hebben we met een soort berichtenketting gewerkt: ik stond in contact met alle diensthoofden en zij op hun beurt met hun medewerkers. Nadien zaten we wekelijks met de diensthoofden samen om de verdere stappen en mogelijkheden te bespreken. Qua externe communicatie stuurden we meteen een persbericht uit en plaatsten we steeds een stand van zaken op onze website en via onze sociale media.’

Ook in Antwerpen bleven ze het hele proces lang communiceren: ‘In de eerste fase was het balanceren op een slappe koord. Om geen extra wantrouwen of verwarring te creëren wilden we iedereen van voldoende informatie voorzien, maar zonder daarbij de tegenstander cruciale gegevens in de schoot te werpen.’ Voor de burgers kwam er een communicatiepagina, waarnaar ze ook verwezen via de sociale media. Naast digitale middelen werden er op verschillende stadslocaties ook publieksschermen en affiches ingezet. ‘Bij een dergelijke crisis moet je ook opletten dat je de juiste woorden kiest. Zo moet je technologisch vakjargon continu omzetten in heldere taal,’ zegt Youri Segers.

 

Dienstverlening draaiende houden

‘De gevolgen van de cyberaanval waren echt enorm. We hadden geen e-mail, geen laptops, geen desktops, geen wifi, geen werkend netwerk, geen interne telefooncentrale, geen netwerkprinters, geen netwerkschijven met data, geen toepassingen die op lokale servers draaien, geen prikklok, geen gebruik van USB-sticks, geen boekhouding, geen registratie van geboortes en overlijdens, geen personeelsadministratie, geen omgevingsvergunningen enzovoort,’ vertelt Myriam Parys van de stad Diest. ‘Deze keer hadden we geen businesscontinuïteitsplan, zoals met covid, maar we hebben een businessimpactanalyse uitgevoerd. Daarmee bepaal je wat de impact is als een proces voor een uur, acht uur, 24 uur, 48 uur… niet werkt. Zo werd meteen duidelijk dat we voor de registratie van geboortes en overlijdens al na twaalf uur in de problemen kwamen.

Daarvoor zijn we dan gaan aankloppen bij onze buurgemeente Scherpenheuvel-Zichem. We mochten bij hen inloggen op het netwerk en in hun stadhuis een loket burgerzaken openen voor onze inwoners. Aan de andere kant waren er ook aspecten van dienstverlening die we makkelijk konden oplossen: zo werden de uitgeleende boeken in de bibliotheek bijgehouden met pen en papier.’

Ook in Antwerpen probeerden ze het bestuur uiteraard zo goed mogelijk draaiende te houden: ‘We hebben extreem snel kunnen schakelen, samen met de bedrijfseenheden binnen de stad en de andere klanten, om de minimale dienstverlening draaiende te houden. Eerst en vooral concentreerden we ons op de minimale dienstverlening om vervolgens een prioritering in toepassingen en tools op te maken. Voor een aantal kritieke toepassingen waren er workarounds of een offline oplossing. Momenteel zitten we in de recovery-fase en zijn we parallel alles in een nieuwe, veilige (digitale) werkomgeving aan het opzetten.

De meeste mailboxen waren gespaard gebleven en onze website hebben we online kunnen houden met een berekend risico, wat twee elementen zijn die op zijn minst de communicatie ten goede kwamen.’ Bij hen speelde de CRO (chief resilience officer) een fundamentele rol. ‘Die was echt nodig om vooral het overzicht te bewaren, hiaten te zien – wie moeten we wanneer inschakelen, wat mogen we niet vergeten… – en de hele zaak te coördineren. De technieken en methodieken van klassieke crisisaanpak werden gebruikt. Op 28 juni was er een initiatie in dergelijk crisismanagement voor een 15-tal sleutelfiguren bij Digipolis. Het crisisplan was in volle ontwikkeling, toen de hackers zijn binnengedrongen. Hadden we dus beter voorbereid kunnen zijn? Ja, wellicht wel, maar dat heb je bij elke crisis.’

 

Kleine stappen voor grotere cyberveiligheid

Youri Segers kijkt tevreden terug op de genomen acties bij Antwerpen: ‘We hebben gemerkt dat iedereen bij ons voor elkaar in de bres springt: onder meer het (tijdelijk) andere taken opnemen, echt “samen” werken naar een veiligere omgeving en dito dienstverlening voor onze medewerkers en burgers (bewoners, bezoekers, bedrijven, studenten…) waren sterktes. Als organisatie hebben we echt snel geschakeld en prioriteiten gesteld. We hebben acties gelanceerd voor de toekomstige veiligheid. We hebben onder andere beslist om de Microsoft 365-omgeving versneld door te voeren, inclusief extra bijkomende maatregelen (denk maar aan multifactorauthenticatie).

De hack leert ons dat elke stad en gemeente hier 100% professioneel mee bezig moet zijn, ook al kost dat geld. Geld dat veel lokale besturen niet hebben. Eigenlijk toont dit impliciet aan dat we (nog) meer moeten samenwerken, zodat economies of scale maximaal benut worden en steden en gemeenten niet alles alleen moeten dragen. Daarnaast zou er, op andere niveaus, moeten worden overwogen of we geen SOC (security operations center) moeten inrichten op bijvoorbeeld Belgisch of zelfs Europees niveau.’

Ook Myriam Parys van Diest is trots op de stappen die sinds de aanval gezet zijn: ‘We hebben meteen gekeken welke aanpassingen we al konden doen. Er zaten wel wat projecten in onze pipeline. Die hebben we nu versneld in gang gezet. Als eerste hebben we geoblocking ingesteld: onze medewerkers kunnen niet meer vanuit het buitenland inloggen. Tegelijk hebben we tweestapsverificatie versneld uitgerold. Ook zullen we onze medewerkers blijven sensibiliseren, want de gebruiker blijft natuurlijk het grootste risico. Meer dan de helft klikt nog op een phishingmail.’ Myriam concludeert: ‘100% zekerheid dat dit niet meer zal gebeuren, kun je niet beloven. Iedereen is kwetsbaar, maar je kunt natuurlijk wel maatregelen nemen om de kansen te verkleinen.’—

 

Eliene Rijcken is VVSG-projectmedewerker communicatie en kennisdeling | Beelden Freepik en GF
Voor Lokaal 05 | 2023

vvsg.be/cyberveiligheid

 

Tips van Diest en Antwerpen

  • Denk niet dat het een ver-van-je-bedfenomeen is. Het is dichterbij dan je denkt. Bereid je voor als lokaal bestuur alsof het je vandaag (of eigenlijk gisteren) kan overkomen.
  • Wees bewust bezig met cyberveiligheid en laat het niet alleen over aan informatiebeheerders of IT-specialisten. Elke medewerker kan zich beter wapenen tegen de stijgende cyberdreiging (zowel op professioneel als in de privésfeer). Reik handvatten aan op het vlak van digibewustzijn en een algemene cyberveilige attitude. Je kunt die interne boodschap ook extern mee uitdragen als lokaal bestuur en van daaruit de inwoners alerter maken voor cybercrime en de gevolgen.
  • Een CRO of crisismanager die een crisis in zijn geheel overschouwt, is een belangrijke hulp!
  • Een belangrijke vraag bij een cyberaanval is welke kritieke toepassingen, producten en processen je absoluut wilt beschermen: bekijk dat vooraf niet alleen vanuit IT-oogpunt, maar ook vanuit de organisatie en dienstverlening zelf: wat is er nodig om minimaal te kunnen blijven draaien en de continuïteit zo goed mogelijk te waarborgen?
  • De gebruiker blijft het grootste risico: sensibiliseer! Veiligheid gaat boven gebruiksgemak.
  • Breng cyberveiligheid op je MAT. Het is niet alleen een technisch verhaal, maar een groot strategisch vraagstuk.
  • Blijf optimistisch. Een cyberaanval brengt veel obstakels met zich mee, maar je komt er wel met de juiste partners en de juiste instelling.
  • Bekijk wat er op je planning staat in verband met cyberveiligheid. Welke kleinere stappen kun je nu al zetten? Denk onder meer aan geoblocking, tweefactorauthenticatie, actieve netwerkcontrole, back-ups offline en offsite, toepassing van de cloud.
  • Korte communicatielijnen tussen het interne/externe communicatieteam en de mensen van IT beperken de ‘ruis’ tot een minimum en maken dat alle (soms heel) technische info ondubbelzinnig vertaald wordt voor de eindgebruiker.