LOCHEM – De hack die het computernetwerk van de gemeente Lochem afgelopen zomer trof is zeer professioneel uitgevoerd. “Ik heb in mijn hele carrière nog niet gezien dat een organisatie zo gericht werd getroffen”, zo vertelde ICT-expert Brenno de Winter de gemeenteraad maandagavond. Tijdens forensisch onderzoek, waarvoor de gemeente hem inhuurde, zijn zeer verontrustende zaken aan het licht gekomen.
De hack werd op 6 juni ontdekt. Toen werd groot alarm geslagen want de ‘inbrekers’ stonden op het punt om veel data te stelen. Volgens De Winter ging het om een APT-aanval. De afkorting staat voor Avanced Persistent Threat. Dat kunnen doorgaans alleen door regeringen gesteunde groepen of georganiseerde criminelen.
Behoedzaam
Ze gaan heel behoedzaam te werk. “Ze hebben maanden de tijd genomen. Daarbij gingen ze steeds een stapje verder”, aldus De Winter. Door de gebruikte werkwijze is de indringer lastig te ontdekken. ,,Toen we ze hier in Lochem ontdekten, stonden ze op het punt om een grote slag te slaan.” Dat had bijvoorbeeld kunnen leiden tot diefstal van de hele Basisregistratie Personen, waar alle gegevens van inwoners zijn opgeslagen.
Toevallig doelwit
Lochem is min of meer een toevallig doelwit geworden, denkt Brenno de Winter. Toen ze een gaatje in de beveiliging vonden zijn de criminelen heel gericht te werk gedaan. Erger is dat bijna alle gemeenten en hun systemen net zo kwetsbaar zijn voor hacks als die in Lochem. Tijdens het onderzoek kwam aan het licht dat er een leverancier van applicaties is die een standaardwachtwoord voor gegevensuitwisseling gebruikt. In alle gemeenten hetzelfde wachtwoord welteverstaan.
Cowboy-industrie
Op vragen van de PvdA of het systeem niet te kwetsbaar is reageerde De Winter met te zeggen dat in de jaren ’90 een wat hij noemt ‘cowboy-industrie’ is ontstaan op het gebied van soft- en hardware. “De industrie heeft een puinhoop achtergelaten en dit is het gevolg”, zo hield hij de raad voor. Volgens hem moet de Vereniging Nederlandse Gemeenten (VNG) alle gemeentelijke netwerken in kaart te brengen. De Informatiebeveiligingsdienst van VNG Realisatie heeft inmiddels een aanbesteding gedaan en daar maakt zo’n inventarisatie deel van uit.
Kosten
De VVD vroeg naar meer transparantie voor wat betreft de financiële kant van de zaak. Er is 140.000 euro uitgegeven en dat bedrag loopt vrijwel zeker nog op als een plan van aanpak klaar is. Burgemeester Sebastiaan van ‘t Erve beloofde dat zoveel mogelijk openheid wordt betracht maar dat sommige informatie gevoelig is. Er wordt onder meer nagedacht over meer personeel op de ICT-afdeling en over externe inhuur van een beveiligingsspecialist.
Aanbestedingen
Ook zal bij aanbestedingen op het gebied van ICT meer aandacht worden besteed aan de veiligheid die een leverancier biedt. De raad nam voor nu genoegen met een memo en uitleg van het college en wacht verder het genoemde plan van aanpak af. Dat zou er in februari moeten liggen.
Backups
Overigens is de gemeente Lochem al in 2015 door schade en schande wijzer geworden. Toen probeerden hackers zogeheten ransome ware via mails in het netwerk te injecteren. In dat geval wordt data gegijzeld en tegen betaling van losgeld weer ‘vrijgelaten’. De pogingen mislukten destijds. Sindsdien worden zowel intern en extern backups bewaard. Die kunnen na een hack of gijzeling veel ellende en geld besparen.
