Op 29 april publiceerden we al een blog over een omvangrijk datalek in de gemeente Epe. Inmiddels heeft het College van burgemeesters en wethouders in samenwerking met de Informatiebeveiligingsdienst voor gemeenten (IBD), een onderdeel van de Vereniging Nederlandse Gemeenten (VNG) op 4 juni jl. een uitgebreide evaluatie van het datelek gepubliceerd. Datalek Epe lessons learned
Het doel van de publicatie is om organisaties met de lessons learned bij te dragen dat andere zich beter kunnen beschermen tegen dergelijke aanvallen.
Wat is er precies gebeurd?
De IT dienstverlener van de gemeente constateerde een ongeautoriseerde toegang. Uit het daarop volgend forensisch onderzoek van een externe specialist, Eye security, bleek het te gaan om een professionele aanval die in 3 stappen is uitgevoerd.
Stap één was om een medewerker die een website bezocht te misleiden om onbewust een schadelijk programma te starten (ClickFix). Daarmee kregen de aanvallers toegang tot de computer van de medewerker. Opmerkelijk is dat het betreffende account was beveiligd met multifactor authenticatie (MFA), een maatregel die vaak wordt gezien als een belangrijke verdedigingslinie tegen cybercriminaliteit. In dit geval bleek MFA toch onvoldoende. De aanvallers maakten geen gebruik van een gestolen wachtwoord, maar zetten de gebruiker zelf aan tot het uitvoeren van de aanval. Daarmee wordt een belangrijke ontwikkeling zichtbaar: cybercriminelen richten zich steeds vaker op gedrag en vertrouwen van medewerkers, omdat technische beveiliging steeds moeilijker te omzeilen is.
Na de eerste stap wisten de aanvallers hun rechten binnen het netwerk verder uit te breiden door een beheerderswachtwoord te kraken.
De derde stap was om toegang te verschaffen tot een zogenoemd break-glass account, een noodaccount met uitgebreide rechten dat bedoeld is voor uitzonderlijke situaties. Met deze toegang konden zij ongehinderd grote hoeveelheden informatie verzamelen en kopiëren naar externe cloudopslag.
En de buit was omvangrijk
De buitgemaakte gegevens bij deze vernuftige hack zijn omvangrijk. Onder de gestolen data bevindt zich een export uit de Basisregistratie Personen (BRP), met persoonsgegevens zoals namen, adressen, woonplaatsen, geboortedata en burgerservicenummers van inwoners. Ook gegevens van medewerkers zijn getroffen, waaronder contactgegevens en informatie over hun dienstverband. Daarnaast zijn financiële gegevens, contractinformatie van leveranciers en dossiers rond gemeentelijke voorzieningen en meldingen buitgemaakt.
Bijzonder gevoelig zijn de 1.022 aangetroffen kopieën van identiteitsbewijzen, waarvan er 845 nog geldig waren. Juist dit type documenten kan misbruikt worden voor identiteitsfraude en vormt daardoor één van de grootste risico’s van het incident.
Datalek Epe lessons learned
Volgens het forensisch onderzoek was het datalek niet het gevolg van één technische fout, maar van een combinatie van factoren. De aanval begon met social engineering en niet door een technisch lek in de software.
Nadat op deze wijze toegang tot het systeem was verkregen kon een beheerdersaccount en een noodaccount dat onvoldoende aanvullende beveiliging kende, misbruikt worden. Daarnaast bleek dat gevoelige gegevens nog aanwezig waren op een bestandsserver die eigenlijk al op de nominatie stond om te worden uitgefaseerd.
Voor organisaties ligt hier een duidelijke les. Investeren in technologie alleen is niet voldoende. Bewustwording onder medewerkers blijft essentieel, zeker nu cybercriminelen steeds vaker inspelen op menselijk gedrag. Daarnaast dienen accounts met verhoogde rechten extra bescherming. De laatste les is dat goede data governance essentieel is om onnodige schade te voorkomen. Organisaties moeten kritisch kijken naar de hoeveelheid data die zij bewaren en waar die bewaard worden.
Meer weten over gegevensbescherming bij gemeenten? Bestel het boek Gegevensbescherming bij de gemeente.
Meer over datalekken kun je lezen in deze blog.
