Cybercriminelen misbruikten de inloggegevens van een IT-leverancier voor een ransomware-aanval op Buren, een gemeente in Gelderland. Dat blijkt uit nader onderzoek naar het incident. De oorzaak roept vragen op over het securitybeleid van overheidsinstanties.
De gemeente werd op 1 april slachtoffer van een ransomware-aanval. De cybercriminelen maakten 130GB aan gegevens buit, waaronder kopieën van 1.331 identiteitsbewijzen. De data werd naderhand op het darkweb verhandeld.
Brengt een datalek de privacy van personen in gevaar, dan dan moet een organisatie het datalek bij de Autoriteit Persoonsgegevens melden. Buren hield zich aan de regels. Na de aanval nam de gemeente contact op met de Autoriteit Persoonsgegevens en het Openbaar Ministerie.
Het incident werd door externe specialisten onderzocht, waaronder securitybedrijf Hunt & Hackett. Inmiddels is het onderzoek rond. De aanvallers kregen toegang tot de systemen van de gemeente via de inloggegevens van een IT-leverancier. Dat roept vragen op.
De gemeente is niet het probleem
Volgens de gemeente kwamen de aanvallers binnen “omdat 2-factorauthenticatie op de account ontbrak”. Het klopt dat tweestapsverificatie de aanval waarschijnlijk had kunnen voorkomen, maar de vraag is of en waarom een IT-leverancier überhaupt toegang tot het systeem nodig had.
Was de gemeente op de hoogte van alle bevoegde IT-leveranciers? Waarom werkt de gemeente met inloggegevens in plaats van een identity service provider? Het is voorlopig niet te zeggen, want de gemeente gaat “op advies van specialisten niet in op contactverzoeken”.
De gemeente werkt momenteel aan een openbare versie van het onderzoeksrapport. We hopen dat het rapport duidelijkheid biedt, maar rekenen nergens op. De kans is groot dat de gemeente zich aan de regels hield. Het probleem is dat die regels zijn verouderd.
Zwakke BIO
Alle overheidsinstanties, waaronder de gemeente Buren, zijn wettelijk verplicht om een reeks securitymaatregelen te implementeren. De maatregelen worden beschreven in de Baseline Informatiebeveiliging Overheid (BIO), sinds 2020 van kracht.
De BIO heeft een volledige sectie met regels over toegangsbeveiliging (hoofdstuk negen). Overheidsinstanties zijn niet verplicht om tweestapsverificatie te gebruiken. Vreemd, want de securityindustrie waarschuwt al jaren voor de risico’s van een gebrek aan tweestapsverificatie.
De aanval op Buren is een typische supply chain attack, waarbij een crimineel de gegevens van een IT-leverancier steelt om klanten van de leverancier aan te vallen. Tweestapsverificatie is niet de enige maatregel tegen supply chain attacks. Het helpt om regelmatig te controleren wie toegang heeft en wachtwoorden te wijzigen. Die maatregelen staan netjes in de BIO vermeldt, maar het is niet genoeg.
Op dit moment moeten gemeenten eens in het halfjaar nagaan of iedereen met toegang daadwerkelijk toegang nodig heeft. Ook wachtwoorden mogen een halfjaar lang geldig zijn. Meer controles en wijzigingen zouden een hoop ellende besparen, maar we moeten het voorlopig met de BIO doen. Er zijn geen aanpassingen op komst.
Tip: Rijksoverheid leert nog steeds niet van mislukte ICT-projecten
2 uur geleden
