CYBER SECU RITY
Regio gehackt: de lessen uit Noord- en Oost-Gelderland Gehackt worden. Het is voor velen de ergste nachtmerrie. Het overkwam Veiligheidsregio Noord- en Oost-Gelderland in september. Het is de eerste veiligheidsregio die is getroffen door zo’n grootschalige cyber security aanval. Alle stekkers werden eruit getrokken en alles lag plat. Wat te doen als dit je gebeurt? Hoe manage je zo’n cyber security crisis? En wat zijn de lessen van deze crisis? Betrokken medewerkers uit de regio blikken terug op enkele hectische weken.
DOOR JILDOU VISSER
H
et is zaterdagmiddag 12 september als Edwin Moraal, Chief Information Security Officier (CISO) van Veiligheidsregio Noord- en Oost-Gelderland wordt gebeld door enkele collega’s van de afdeling ict. Zij constateren dat de mail niet is gesynchroniseerd en ze er op afstand ook niet bij kunnen. ‘We hebben de leverancier ingeschakeld en alle externe verbindingen naar de ict-omgeving van de regio afgesloten. Toen ook zij er op afstand niet bij konden, gingen de alarmbellen rinkelen. Ik heb ze gevraagd of ze wel bij de back-up konden. Die hebben ze uit voorzorg uitgeschakeld. Ik wilde het zekere voor het onzekere nemen en zorgen dat er verder niets kon gebeuren.’
‘DIT IS IN MIJN VAKGEBIED DE ERGSTE NACHTMERRIE WAARMEE JE TE MAKEN KUNT KRIJGEN’ De leverancier besluit direct ter plaatse te gaan en doet daar samen met de medewerkers van de ict-afdeling de constatering dat de digitale omgeving gecompromitteerd is. Moraal: ‘Op dat moment staat je wereld wel even stil. Dit is in mijn vakgebied de ergste nachtmerrie waar je mee te maken kan krijgen.’ Moraal informeert de meldkamer, het Nationaal Cyber Security Centrum (NCSC) en Diemer Kransen, de directeur van de veiligheidsregio. Daarnaast worden ook de voorzitter van de veiligheidsregio en de andere veiligheidsregio’s ingelicht. ‘Dat is op zo’n moment ontzettend belangrijk. Andere regio’s kunnen dan proactief kijken of het probleem ook bij hen speelt. Als dat het geval is, kun je erger voorkomen. Gelukkig was dat niet zo.’ VAN KWAAD TOT ERGER Waar de specialisten zaterdag direct al zien dat er een behoorlijk probleem is, verslechtert dat beeld naarmate de avond vordert. ‘Het beeld werd steeds ernstiger tot in de nacht van zaterdag op zondag bleek dat het probleem niet meer op te lossen was’, vertelt Kransen. ‘Die zondagochtend zijn we bij elkaar gekomen en vanuit de crisisstructuur gaan werken. Dan gaat alles lopen 26
nummer 4 april 2021 - Sdu Uitgevers
en worden breed alle partners geïnformeerd, van de GGD en GHOR in de eigen regio tot de coronacrisisorganisatie en alle burgemeesters uit de veiligheidsregio, de minister en de collegadirecteuren van de andere veiligheidsregio’s.’ PLAATS DELICT Ook wordt die zondagochtend de forensische opsporing gealarmeerd. ‘Dat is een bijzondere gewaarwording. Zij hebben letterlijk een lint gespannen om de besmette omgeving, daar mochten we niet meer bijkomen. Alles wat we aan ict-systemen en hardware hadden, werd door hen in beslag genomen. Daar kun je op zo’n moment niets meer mee’, aldus Moraal. ‘Op zo’n moment wordt een it-probleem ook een continuïteitsprobleem’, vult informatiemanager Sandra McEwan aan. ‘Je hebt twee sporen die tegelijkertijd moeten worden opgepakt. Aan de ene kant moet de forensische opsporing onderzoek doen. Aan de andere kant moet je zo snel mogelijk alle systemen vanuit het niets weer opbouwen. Een enorme uitdaging.’ Die dag worden direct nieuwe servers en andere hardware besteld, zodat een team van ict-experts de digitale omgeving opnieuw kan gaan bouwen.
‘ZIJ HEBBEN LETTERLIJK EEN LINT GESPANNEN OM DE BESMETTE OMGEVING’ EXPERTISE Moraal informeert die zondagochtend ook het VR-ISAC dat op dat moment pas net enkele weken bestaat. Hierin zijn de CISO’s van alle regio’s vertegenwoordigd. ‘Ik was heel blij dat die groep
Information Sharing and Analysing Center Het Programma Overleg Informatievoorziening (POI) heeft op 25 juni vorig jaar een Veiligheidsregio Information Sharing and Analysis Center (VR-ISAC) opgezet. In dit samenwerkingsverband wisselen informatiespecialisten uit de veiligheidsregio’s en het IFV kennis en expertise uit op het gebied van digitale dreigingen en incidenten.
Brand&Brandweer
