14 minute read
Regio gehackt: de lessen uit Noord- en Oost-Gelderland
from BB2021-04
Gehackt worden. Het is voor velen de ergste nachtmerrie. Het overkwam Veiligheidsregio Noord- en Oost-Gelderland in september. Het is de eerste veiligheidsregio die is getroffen door zo’n grootschalige cyber security aanval. Alle stekkers werden eruit getrokken en alles lag plat. Wat te doen als dit je gebeurt? Hoe manage je zo’n cyber security crisis? En wat zijn de lessen van deze crisis? Betrokken medewerkers uit de regio blikken terug op enkele hectische weken.
DOOR JILDOU VISSER
Advertisement
Het is zaterdagmiddag 12 september als Edwin Moraal, Chief Information Security Officier (CISO) van Veiligheidsregio Noord- en Oost-Gelderland wordt gebeld door enkele collega’s van de afdeling ict. Zij constateren dat de mail niet is gesynchroniseerd en ze er op afstand ook niet bij kunnen. ‘We hebben de leverancier ingeschakeld en alle externe verbindingen naar de ict-omgeving van de regio afgesloten. Toen ook zij er op afstand niet bij konden, gingen de alarmbellen rinkelen. Ik heb ze gevraagd of ze wel bij de back-up konden. Die hebben ze uit voorzorg uitgeschakeld. Ik wilde het zekere voor het onzekere nemen en zorgen dat er verder niets kon gebeuren.’
De leverancier besluit direct ter plaatse te gaan en doet daar samen met de medewerkers van de ict-afdeling de constatering dat de digitale omgeving gecompromitteerd is. Moraal: ‘Op dat moment staat je wereld wel even stil. Dit is in mijn vakgebied de ergste nachtmerrie waar je mee te maken kan krijgen.’ Moraal informeert de meldkamer, het Nationaal Cyber Security Centrum (NCSC) en Diemer Kransen, de directeur van de veiligheidsregio. Daarnaast worden ook de voorzitter van de veiligheidsregio en de andere veiligheidsregio’s ingelicht. ‘Dat is op zo’n moment ontzettend belangrijk. Andere regio’s kunnen dan proactief kijken of het probleem ook bij hen speelt. Als dat het geval is, kun je erger voorkomen. Gelukkig was dat niet zo.’
VAN KWAAD TOT ERGER
Waar de specialisten zaterdag direct al zien dat er een behoorlijk probleem is, verslechtert dat beeld naarmate de avond vordert. ‘Het beeld werd steeds ernstiger tot in de nacht van zaterdag op zondag bleek dat het probleem niet meer op te lossen was’, vertelt Kransen. ‘Die zondagochtend zijn we bij elkaar gekomen en vanuit de crisisstructuur gaan werken. Dan gaat alles lopen en worden breed alle partners geïnformeerd, van de GGD en GHOR in de eigen regio tot de coronacrisisorganisatie en alle burgemeesters uit de veiligheidsregio, de minister en de collegadirecteuren van de andere veiligheidsregio’s.’
PLAATS DELICT
Ook wordt die zondagochtend de forensische opsporing gealarmeerd. ‘Dat is een bijzondere gewaarwording. Zij hebben letterlijk een lint gespannen om de besmette omgeving, daar mochten we niet meer bijkomen. Alles wat we aan ict-systemen en hardware hadden, werd door hen in beslag genomen. Daar kun je op zo’n moment niets meer mee’, aldus Moraal. ‘Op zo’n moment wordt een it-probleem ook een continuïteitsprobleem’, vult informatiemanager Sandra McEwan aan. ‘Je hebt twee sporen die tegelijkertijd moeten worden opgepakt. Aan de ene kant moet de forensische opsporing onderzoek doen. Aan de andere kant moet je zo snel mogelijk alle systemen vanuit het niets weer opbouwen. Een enorme uitdaging.’ Die dag worden direct nieuwe servers en andere hardware besteld, zodat een team van ict-experts de digitale omgeving opnieuw kan gaan bouwen.
EXPERTISE
Moraal informeert die zondagochtend ook het VR-ISAC dat op dat moment pas net enkele weken bestaat. Hierin zijn de CISO’s van alle regio’s vertegenwoordigd. ‘Ik was heel blij dat die groep
Information Sharing and Analysing Center
Het Programma Overleg Informatievoorziening (POI) heeft op 25 juni vorig jaar een Veiligheidsregio Information Sharing and Analysis Center (VR-ISAC) opgezet. In dit samenwerkingsverband wisselen informatiespecialisten uit de veiligheidsregio’s en het IFV kennis en expertise uit op het gebied van digitale dreigingen en incidenten.
er was. Je kunt er snel informatie mee delen in een veilige context en zij kunnen meedenken in wat we konden doen. In zo’n crisis heb je hulp nodig, je kunt het niet alleen. Alle extra kennis en kunde tot je beschikking staat, is gewenst.’ Daarnaast wordt ook expertise op detailniveau in stelling gebracht. ‘Denk bijvoorbeeld aan leveranciers en productspecialisten die op een klein onderdeel enorm veel weten.’
RUST
Daarnaast wordt die zondag een CoPI opgezet. ‘Als organisatie zijn we gewend om te werken in crises en crisisstructuren, daar moet je gebruik van maken. Dat heeft er echt voor gezorgd dat we dit op een gestructureerde manier konden afhandelen’, aldus McEwan. Eén van de onderdelen die daarin naar voren komt is de externe communicatie. ‘We wisten direct dat dit een langdurig, complex en groot probleem zou zijn. Vanaf het begin af aan hebben we daarom gecommuniceerd dat zorgvuldigheid boven snelheid gaat. We wilden onze mensen de tijd geven om alles opnieuw op te bouwen. Bovendien wisten we dat hierdoor de veiligheid niet in het geding was. Die belangrijke boodschap hebben we ook direct gebracht’, vertelt Heidi Otten, woordvoerder en strategisch communicatieadviseur van Veiligheidsregio Noord- en Oost-Gelderland. Gerry van Cleef, ict-medewerker en netwerkbeheerder uit de regio, was daar ontzettend blij mee. ‘Dat gaf rust. Niemand stond achter ons te springen dat we haast moesten maken. Het was eerder andersom. Iedereen besefte dat wij de klus moesten klaren en dat ze ons moesten ondersteunen. Als we ergens mee zaten, konden we het aangeven en dan wordt het geregeld. Dat zorgt ervoor dat je je focus kunt houden. Een belangrijk leerpunt als je het mij vraagt.’ Daarnaast wordt ook uitgebreid naar de organisatie gecommuniceerd. ‘Dat doe je vanuit vertrouwen. We hebben continu iedereen meegenomen in de stappen die zijn gezet. Dat zorgde ervoor dat er op geen enkel moment echt onrust is geweest’, vertelt Otten. ‘Iedereen wist dat hij een tijd moest wachten tot er weer kon worden gewerkt.’ Kransen: ‘Het beeldend brengen van de boodschap helpt ook. Als je uitlegt dat bijna vijfhonderd laptops door de wasstraat moeten, snapt iedereen dat dat een mega-operatie is en dat er geduld nodig is tot het weer klaar is.’
SCENARIOTEAM
In de crisisstructuur wordt ook gewerkt met een scenarioteam. Zij zorgen ervoor dat de organisatie wordt uitgevraagd op wensen en behoeften en de prioriteiten in kaart worden gebracht. Vervolgens is in het ROT op basis van die scenario’s een prioriteitenlijst opgesteld. ‘Wie heeft het eerste schone laptops nodig? Wie kan op dat moment absoluut niet zonder? Daar kwam uit naar voren dat we als eerste het coronateam weer draaiende moesten krijgen’, aldus McEwan. ‘Zij hadden de email nodig om weer operationeel te zijn. Daar zijn we dus als eerste mee aan de slag gegaan.’ ‘Deze aanpak zorgde voor duidelijkheid. Iedereen wist wanneer zijn of haar afdeling aan de beurt was. Dat kon ook gerust twee weken duren. Door een stip aan de horizon te zetten en te laten zien hoe hard het ict-team werkte, creëer je begrip.
Neem de tijd. Dat is beter dan beloftes doen die je niet waar kunt maken. In alle lagen ging zorgvuldigheid boven snelheid.’
DISTRIBUTIECENTRUM
In de regio wordt in de dagen die volgen een soort distributiecentrum ingericht waar alle laptops kunnen worden ingeleverd en later ook weer kunnen worden opgehaald. ‘Het mooie was dat collega’s die niets met ict te maken hebben, hierbij kwamen helpen. Het was een klus die gedaan moest worden. Doordat zij die oppakten, konden wij ’s nachts even een rustmoment pakken zodat we de volgende ochtend weer door konden. De collega’s waren zo meelevend. Van alle kanten werd ook eten meegenomen. Dat steunt je enorm’, vertelt Moraal. ‘De hulp kwam daarnaast ook uit andere regio’s. Zij leverden ict-mensen die ons konden helpen.’
In de dagen die volgen wordt stap voor stap de volledige ictomgeving opnieuw opgebouwd. ‘We werkten van ’s ochtends vroeg tot ’s avonds laat of soms zelfs het begin van de nacht en gingen dan even naar huis of naar een hotel om een paar uur te slapen’, aldus Moraal. ‘In totaal zijn we twee weken lang op die manier bezig geweest. Je draait op adrenaline. Ieder stapje dat je zet is een nieuwe mijlpaal, dat geeft best een kick.’ ‘In zo’n situatie hoef je niemand uit te leggen dat er overgewerkt moet worden. Het is juist andersom, je moet je mensen eerder tegen zichzelf in bescherming nemen. Dit was geen sprint, maar een marathon en die moest wel volgehouden worden. Daarvoor heb ik de verantwoordelijkheid bij de mensen zelf neergelegd. Zij hebben zelf de roosters gemaakt en konden bij ons aangeven wat ervoor nodig was om de klus te klaren.’
REGELEN
Het crisisteam wordt aan alle kanten bijgestaan. Moraal: ‘Het was ook echt zo dat we maar hoefden te roepen of het wordt geregeld. De eerste zondagochtend hebben we bijvoorbeeld al geregeld dat er nieuwe servers moesten komen. Dat kost veel geld. Direct die middag is besloten dat dat moest en ’s avonds werden ze geleverd.’ Datzelfde geldt voor experts die veel verstand hebben van specifieke serveronderdelen en inrichtingen, bijvoorbeeld om het mailverkeer weer op gang te brengen. ‘Alle specialisten die wij nodig hadden werden ingevlogen, soms echt op detailniveau. Voor ieder onderdeel heb je een andere specialist nodig.’
Aan het einde van de eerste week krijgt de eerste groep medewerkers de eigen laptops weer terug. ‘Dat was een heel bijzonder moment. Het voelde net alsof we kerstpakketten aan het uitdelen waren. Iedereen was zo blij en kon niet wachten tot ze weer aan het konden gaan.’
NCSC
Tijdens deze crisis heeft Veiligheidsregio Noord- en Oost-Gelderland ook gebruik gemaakt van de kennis en expertise van het NCSC. ‘Normaal gesproken zetten zij de structuur neer om alles zo snel mogelijk weer op de rit te krijgen, maar die structuur beheersten wij zelf al. Dat maakte dat we met hen veel dieper konden gaan. Ze hebben ons echt geholpen om de puzzelstukjes weer in elkaar te leggen’, vertelt Moraal.
BRAND EN IBGS
In de bestrijding van de ict-crisis zien Moraal en McEwan grote gelijkenis met brandbestrijding en incidentbestrijding gevaarlijke stoffen. ‘Als je de zuurstof wegneemt, smoor je de brand. Dat hebben we bij dit incident gedaan door de stekkers eruit te trekken. Vanaf dat moment kon de besmetting niet verder verspreid worden. Vervolgens behandel je alles dat ook maar onderdeel uitmaakt van het systeem, alle mail, digitale systemen en hardware zoals laptops, als besmet. Dat konden we allemaal niet meer gebruiken. Stukje bij beetje moet je de omgeving weer opnieuw bouwen en schoon maken.’
OORZAAK
Over de oorzaak van de hack kunnen de betrokkenen niet veel vertellen. ‘Er is op onrechtmatige wijze toegang verkregen tot het systeem, dat kan iedereen overkomen. Onze techniek was op orde, we hadden geen lekke systemen. Dat blijkt ook uit een toets die we eerder hebben gedaan. Uiteindelijk was het tijdens de crisis ook niet belangrijk hoe het heeft kunnen gebeuren. Met de vinger wijzen heeft geen zin. Je kunt je energie beter steken in het bestrijden van de crisis’, aldus Kransen. ‘Het is in deze tijd ook niet de vraag of je gehackt gaat worden, maar wanneer dat gaat zijn. Het enige dat je kunt doen om dat zo lang mogelijk uit te stellen, is zorgen dat je de boel op orde hebt en continu ook update’, vult Moraal aan. ‘En zorg voor bewustwording als het gaat om ict-veiligheid. Menselijk handelen is de grootste risicofactor. Wees je ervan bewust dat phishing mails tegenwoordig behoorlijk echt kunnen lijken, zoals een mail over een postpakket dat klaarligt. Die zijn zo goed gemaakt, daar zitten geen taalfouten meer in. Opletten blijft essentieel voor iedereen in de organisatie, van schoonmaakster tot ceo.’ ■
Diemer Kransen
De lessen op een rij
Veiligheidsregio Noord- en Oost-Gelderland is tot nu toe de enige veiligheidsregio die ervaring heeft opgedaan met een grootschalige ict-crisis. De lessen die ze daarin hebben geleerd: • Communiceer direct en duidelijk, intern en extern naar alle partners en de hele omgeving. Andere organisaties kunnen dan ook hun systemen controleren. • Zorg voor een goede crisisstructuur • Wees zuinig op je experts, faciliteer ze op alle denkbare manieren • Communiceer intern stapsgewijs en frame je boodschap goed. Wek geen verwachtingen die je niet waar kunt maken. • Schakel de hulp in die je nodig hebt. Een crisis van deze omvang kun je niet alleen afhandelen. ‘Bel ons, wij hebben nu de ervaring’, aldus Van Cleef, netwerkbeheerder uit Noord- en Oost-Gelderland. • Richt je niet op wat fout is gegaan, maar leg de focus op de oplossing
Blijf op de hoogte van het laatste gemeentenieuws
Schrijf je snel en eenvoudig in via gemeente.nu/nieuwsbrieven
DE NIEUWE BRANDWEER COLLECTIE
DE VUURPROEF
DOORSTAAN
Schrijf je nu in voor onze gratis nieuwsbrieven!
Op Gemeente.nu lees je: Het belangrijkste gemeentenieuws, achtergronden, opinieblogs en méér Gericht op gemeenteambtenaren Ingedeeld naar relevante thema’s zoals sociaal, dienstverlening en veiligheid De gratis nieuwsbrieven van
Gemeente.nu bieden: - Tweemaal per week het laatste nieuws in je mailbox - Tweewekelijkse en maandelijkse themanieuwsbrieven op jouw interessegebied interessegebied
Snel en gemakkelijk!
ELTEN.COM
NIEUWE, UNIEKE LIJN BRANDWEERLAARZEN BOORDEVOL INNOVATIES MET EEN ZEER HOOG DRAAGCOMFORT.
COLIN GTX BOA® F2A
‘Het waren er zoveel, reddeloos in de gierkelder’
Er liggen ongeveer vijftig varkens in de gierkelder. Dat is de informatie die Eric van Engelen, manschap bij de brandweer in Nunspeet aanrijdend doorkrijgt. ‘Wij waren al gealarmeerd om een ploeg af te lossen. Dan weet je dat je voor een flinke klus staat. Ter plaatse bleek die nog groter dan we hadden kunnen bedenken. Het waren er meer dan honderd. Echt ongekend. Zoveel reddeloze dieren in de gierput. Dat maakt indruk.’
DOOR JILDOU VISSER
Als Van Engelen ter plaatse komt, is al flink opgeschaald. Vijftien collega’s werken dan al hard aan de bevrijding van de dieren. ‘Je zet je schrap voor de fysiek zware arbeid die gaat komen. En je bereidt je voor op de stank. Dat wordt een paar dagen stinken, dacht ik nog.’ Van Engelen en zijn collega’s doen het waadpak aan, zetten de ademlucht op en lopen de schuur in. ‘De eerste aanblik binnen was heel erg. Je ziet een massa varkens die tot de neus in de giftige dampen liggen. Een deel van de varkens lijkt overleden, maar was dat gelukkig niet. Ze waren bedwelmd. Dan weet je dat je aan de slag moet. Schouders eronder en knallen.’
Eén voor een proberen de brandweerlieden de varkens uit de gierput te trekken. ‘Dat was nog best lastig. De dieren zijn bang en gaan spartelen zodra je aan ze begint te trekken. Dat werkt niet mee en maakt het nog zwaarder dan het al is. Enkele varkens waren zo in paniek dat ze, zodra we ze eruit hadden gehaald, in de schuur op de vlucht sloegen en zo opnieuw de gierkeder in doken. Anderen waren zo bedwelmd dat ze een kwartier nodig hadden voor ze weer op de benen konden staan.’
ZWARE KLUS
Bij de inzet krijgen de brandweerlieden uit Nunspeet hulp van de veeredteams uit Elspeet en Oene. ‘Maar goed ook, want fysiek was het erg zwaar. Ieder uur verbruikten we ongeveer vier ademluchtflessen per persoon. Het was een kwestie van naar buiten en afspoelen zodra de fles leeg was, een nieuwe erop en weer naar binnen om de varkens te redden. Iedere keer als we er een uit hadden gehaald, kwam de volgende alweer naar het gat toelopen. Zo zijn we een uur of zes bezig geweest. Eigenlijk liep de inzet gesmeerd, zeker toen het veeredteam uit Oene erbij kwam. Toen zijn we vloeren gaan openmaken om beter zicht te krijgen op waar de varkens in de kelder zaten en om ze er makkelijker uit te kunnen halen.’
Eric van Engelen in het waadpak.
Naarmate de avond vordert, wordt het buiten steeds kouder. ‘Op een gegeven moment was het zelfs fijner om binnen in de gier te staan, dat was tenminste lekker warm. We zijn die nacht tot een uur of half drie doorgegaan. Toen zaten er nog zeven varkens in de gierkelder, maar die konden we niet bereiken. We hebben toen de keuze gemaakt om te stoppen in de hoop dat ze die nacht naar een andere plek zouden lopen. De boer zou ervoor zorgen dat er nog wat mest uit de gierput gehaald werd. De volgende ochtend konden ze nog worden bevrijd.’
VLEES
Van Engelen kijkt terug op een bizarre en zware inzet. ‘De dag erna kon ik bijna niet meer bewegen, zoveel spierpijn had ik. In totaal hebben we bijna 140 varkens eruit getild. Eén zo’n dier weegt al snel 130 kilo, ga maar na. We hebben samen de schouders eronder gezet en keihard gewerkt. Vooral ook het dierenleed maakt op zo’n moment indruk. Ik ben trots dat we deze dieren hebben kunnen redden. Met z’n allen hebben we het verschil gemaakt. Van de 240 hebben minder dan tien het niet overleefd, een mooi resultaat.’ ■
