Geen tweestapsverificatie oorzaak hack gemeente Buren

Gepubliceerd op 16 juni 2022 om 15:01

English | Français | Deutsche | Español | Meer talen

De gemeente Buren weet nu wat de oorzaak is van de ransomware-aanval. De aanvallers wisten toegang te krijgen tot de systemen van de Gelderse gemeente door inloggegevens van een leverancier te stelen. Omdat er geen tweefactorauthenticatie was ingesteld, konden ze kinderlijk eenvoudig de ICT-omgeving binnendringen. Dat schrijft de gemeente Buren in een update bericht over de aanval (pdf).

5 TB aan data

Het was begin april dat hackers het netwerk van de gemeente Buren wisten te infiltreren. Eenmaal binnen installeerden de daders ransomware: gijzelsoftware dat bestanden achter slot en grendel zet. Niemand kan dan nog deze gegevens raadplegen, openen of aanpassen. Daarvoor is een zogeheten decoderingssleutel nodig: een digitale sleutel om het slot van de bestanden te halen. Slachtoffers krijgen deze sleutel als ze losgeld betalen aan de aanvallers.

De daders zeggen bij de aanval in totaal 5 TB aan gevoelige en vertrouwelijke gegevens te hebben gestolen. Dat heeft de gemeente Buren nooit willen bevestigen. Wel heeft ze laten weten dat er 130 GB aan gegevens online is gezet op het darkweb. In totaal ging het om meer dan 730.000 bestanden.

Forensisch onderzoek

Queeny Rajkowski (VVD) stelde schriftelijke vragen over de kwestie. Het Kamerlid wilde onder meer weten wie er verantwoordelijk was voor de ransomware-aanval en hoe de gemeente op het incident had gereageerd. Staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen weigerde om de naam van de hackers te geven. Ze wilde wel kwijt dat het om een hackersgroep gaat die internationaal veel slachtoffers heeft gemaakt. Het gerucht gaat dat er SunCrypt-ransomware is gebruikt bij de aanval.

Van Huffelen meldde tevens dat de gemeente een onafhankelijk bureau had ingeschakeld om forensisch onderzoek uit te voeren. Daarbij proberen beveiligingsexperts in kaart te brengen hoe de hackers te werk zijn gegaan en welke data ze mogelijk hebben ingezien en gekopieerd. Afhankelijk van de uitkomsten van het onderzoek zegt de staatssecretaris eventueel aanvullende veiligheidsmaatregelen te treffen.

Zodra de hack aan het licht kwam, heeft de gemeente Buren aangifte gedaan bij het Openbaar Ministerie, de informatiebeveiligingsdienst van VNG en externe experts ingeschakeld, en melding gedaan bij de Autoriteit Persoonsgegevens.

Niet onderhandeld over losgeld

Twee-en-een-halve maand na de ransomware-aanval geeft de gemeente Buren meer openheid van zaken. Uit onderzoek van Hunt & Hackett, het cybersecuritybedrijf van beveiligingsexpert Ronald Prins, is gebleken dat de daders de inloggegevens van de Gelderse gemeente hadden verkregen via een leverancier. Doordat er geen tweestapsverificatie was ingesteld, waren een gebruikersnaam en wachtwoord voldoende om toegang te krijgen.

Op advies van het cybersecuritybedrijf heeft de gemeente Buren geen contact gezocht met de hackers. De kans was groot dat ze dan losgeld zouden eisen. Daarover is dan ook niet onderhandeld. Dat is in overeenstemming met het kabinetsstandpunt, dat zich nadrukkelijk heeft uitgesproken om geen losgeld te betalen bij een cyberaanval.

In totaal zijn er 1.331 kopieën van identiteitsbewijzen gemaakt. De slachtoffers zijn daarvan op de hoogte gebracht en mogen gratis hun identiteitsbewijs laten vervangen. Ruim duizend gedupeerden hebben al gebruik gemaakt van deze regeling.

Gegevens op het darkweb

Burgemeester Johan Meijers zegt blij te zijn dat de impact van de aanval beperkt is gebleven. “Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht.”

De daders hebben volgens Meijers 5 TB aan data gestolen. De burgemeester kan dan ook niet uitsluiten dat er de komende tijd nog meer gegevens zullen opduiken op het darkweb. “De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack”, zo zegt hij.

De gemeenteraad is dinsdag 14 juni op de hoogte gebracht van de bevindingen van Hunt & Hackett. De gemeente werkt momenteel aan een openbare versie van het onderzoeksrapport.