7 zaken die jij kan leren van de cyberaanval op Antwerpen

Dat een verwoestende cyberaanval de stad Antwerpen eind 2022 kon treffen, lag grotendeels aan ontoereikende beveiliging. Wat deed de stad verkeerd, en wat kan jouw organisatie daaruit leren?

In december 2022 werd de digitale infrastructuur van de stad Antwerpen lamgelegd door een immense cyberaanval. De ransomware-aanval trof tal van departementen en haalde de dienstverlening offline voor weken of zelfs maanden.

De stad en haar burgemeester zijn sindsdien allesbehalve transparant geweest. Burgemeester Bart De Wever (NVA) beloofde in de onmiddellijke nasleep dat noch Antwerpen zelf, noch iemand anders in naam van de stad, losgeld betaald zou hebben aan de hackers. Verschillende experts die sindsdien anoniem met ITdaily praatten, gaven echter aan op z’n minst sterke twijfels te hebben bij die verklaring.

Ook de impact op de gegevens van de burgers werd van het begin af aan geminimaliseerd. Omdat er wel degelijk persoonsgegevens werden buitgemaakt, startte de Vlaamse Toezichtcommissie (VTC) een onderzoek. De VTC is immers verantwoordelijk voor het toezicht op de toepassing van de GDPR door de Vlaamse bestuursinstanties.

Slecht rapport

Hoewel dat onderzoek grotendeels vertrouwelijk verloopt, kon ITdaily een brief met vaststellingen inkijken. Daarin legt de VTC verschillende grote tekortkomingen in de digitale strategie van Antwerpen bloot. De stad schoot tekort op de meeste belangrijke domeinen van cyberbeveiliging, en kan zo als belangrijke les dienen voor organisaties vandaag.

Concreet schoot Antwerpen volgens de VTC tekort op zeven domeinen. Alle fouten die de stad maakte, kunnen ook van toepassingen zijn op organisaties groot en klein. Wat deed Antwerpen verkeerd? En hoe zorg jij ervoor dat je organisatie beter gewapend is tegen aanvallers?

1. Patches en updates

Updaten en patchen is niet altijd eenvoudig, maar wel belangrijk. In Antwerpen waren belangrijke patches voor een gekende kwetsbaarheid in Exchange Online niet doorgevoerd. Die kwetsbaarheden werden nochtans actief misbruikt door hackers.

Zo’n kwetsbaarheid is als een open raam of deur, en maakt het aanvallers eenvoudig om voet aan wal te krijgen. Patchen is altijd belangrijk, en al zeker wanneer patches kwetsbaarheden in belangrijke software oplossen. Hoe vervelend het ook is, een update voor een kritieke bug moet altijd de hoogste prioriteit krijgen.

Wat fout ging: Antwerpen liet een gekende en actief misbruikte kwetsbaarheid ongepatcht.
Wat je kan leren: Snel updaten is heel belangrijk en kan concrete gevolgen hebben wanneer je het belang onderschat. Zie patches en updates niet als stoorzenders, maar als een cruciaal en te verwachten onderdeel van het dagelijkse IT-beheer.

2. De rol van MFA

Multifactor-authenticatie (MFA) is een essentieel onderdeel van account-beveiliging, maar MFA ontbrak in Antwerpen. Zonder MFA kan een hacker gewapend met een gestolen accountnaam en wachtwoord ongeremd inloggen in de bedrijfsomgeving. MFA voorkomt dat, door bij een inlogpoging extra bevestiging van de identiteit te vragen, bijvoorbeeld via de smartphone. De kans dat een aanvaller naast je wachtwoord ook je fysieke gsm heeft gestolen, is immers klein.

MFA heeft echter (onterecht) de naam vervelend te zijn bij gebruikers. Bij een persconferentie na het hack verwees De Wever zelf nog naar afnemend gebruiksgemak. Die veronderstelling berust echter op vooroordelen.

Wat is MFA en hoe veilig is het echt?

Een goede MFA-implementatie laat een gebruiker zijn identiteit af en toe bevestigen (bijvoorbeeld na enkele weken, of wanneer hij of zij inlogt vanop een nieuwe locatie of ongekend toestel). Zo moet een medewerker af en toe z’n smartphone bovenhalen, maar groter is de impact niet. In ruil beschermt MFA tegen meer dan 99 procent van de aanvallen met gestolen accountgegevens

Wat fout ging: De stad vertrouwde op een verouderde strategie voor accountbeveiliging met focus op wachtwoorden, zonder MFA voldoende uit te rollen.
Wat je kan leren: Er is geen actie die je bescherming in één klap meer zal opkrikken, dan de uitrol van MFA. De nadelen zijn erg beperkt (werknemers halen hun smartphone sowieso af en toe boven tijdens de werkuren), maar de voordelen zijn immens. Heb je geen MFA? Plan dan nu de uitrol voor minstens je beheerdersaccounts, en later voor al je werknemers.

3. Niet alle back-ups zijn evenwaardig

Een goede back-up is meer dan een vinkje op je to-do-lijst. Antwerpen had wel degelijk back-ups, maar die bleken ontoereikend. Om echte bescherming te bieden, moet een back-up immers aan heel wat voorwaarden voldoen.

In 3-2-1 naar een geslaagde back-upstrategie

De back-up moet bijvoorbeeld ontoegankelijk zijn voor hackers, zodat een aanval ze niet mee onderuit kan halen. Verder volstaat het niet om een back-up te hebben: je moet herstel op gezette tijdstippen oefenen, en weten hoe je een omgeving van de back-up herstelt. Ook hoelang het duurt, moet parate kennis zijn. De VTC bestempelde de back-ups van Antwerpen als onbetrouwbaar, zodat de bescherming niet volstond.

Wat fout ging: Antwerpen had wel back-ups ingesteld, maar die waren niet voldoende betrouwbaar.
Wat je kan leren: Een back-up-strategie is een continu proces. Evalueer waar je back-ups staan, zorg ervoor dat een hacker met toegang tot de originele gegevens niet zomaar tot aan de back-up raakt, en controleer geregeld of je ook weet hoe je moet herstellen vanaf je back-up.

4. Loggen is weten

Je logbestanden houden bij wat er binnen je IT-omgeving allemaal gebeurt. Zonder adequate logs, kan je bij een incident niet inschatten welke schade een aanvaller precies heeft aangericht. In Antwerpen waren de logbestanden gedeeltelijk verdwenen.

Het VTC wijst er daarom op dat de stad niet in eer en geweten kon claimen dat er weinig persoonsgegevens waren gestolen, aangezien het geen toegang meer had tot data om die claim te staven. Met logbestanden, beschermd in een goede back-up, kan je beter reconstrueren wat er precies is gebeurd.

Worden er persoonsdata gestolen, dan moet Antwerpen daar net als andere organisaties melding van maken in het kader van de GDPR. Zonder logs, kan je niet aantonen dat persoonsgegevens veilig zijn gebleven. Het VTC geeft aan dat je in zo’n geval moet uitgaan van het ergst mogelijke scenario.

Wat fout ging: Belangrijke logbestanden waren na de aanval verdwenen. Daardoor kon de stad niet aantonen welke data er precies gelekt waren, wat zowel belangrijk is inzake transparantie naar de burger, als voor inschatting van de schade in het kader van de GDPR-wetgeving.
Wat je kan leren: Geen enkele beveiligingsstrategie is honderd procent waterdicht. Is er toch een incident, dan zijn logs essentieel om de schade te beoordelen. Zorg ervoor dat je de activiteit in het netwerk via logbestanden kan reconstrueren, en bescherm die logs met back-ups.

5. Netwerksegmentatie

Als een aanvaller zich ondanks alles toch een weg naar binnen kan banen, hoeft dat geen complete ramp te zijn. In Antwerpen was dat wel het geval. De stad hanteerde geen netwerksegmentatie, waardoor een hacker met toegang tot één systeem en departement kon navigeren tussen zowat alle diensten op enkele uitzonderingen na.

Netwerksegmentatie is nochtans een belangrijk onderdeel van een goede netwerkinfrastructuur, zeker in een groot bedrijf. Wie zich toegang verschaft tot de systemen van je boekhouddepartement, moet van daaruit niet zomaar naar productie kunnen navigeren. Hoe groter de organisatie, hoe belangrijker en relevanter die scheiding.

Wat fout ging: De IT-omgeving van de stad Antwerpen was nauwelijks gesegmenteerd. Na een initieel succesvol hack, vonden aanvallers zo vlot de weg naar zowat alle stadsdiensten, die bijgevolg allemaal tegelijk getroffen worden.
Wat je kan leren: Segmenteer je netwerk. Ontkoppel departementen die niet veel met elkaar te maken hebben, maar ook publieke- en bedrijfsnetwerken. In de context van een kleiner bedrijf, kan je er bijvoorbeeld voor zorgen dat IoT-toestellen niet op hetzelfde netwerk zitten als je medewerkers en de servers met kritieke informatie.

6. Voorbereiding is het halve werk

De VTC stelt vast dat de diensten van de stad Antwerpen onvoldoende voorbereid waren op een cyberaanval. Er bestond een crisiswerking, maar niet specifiek voor het digitale domein. In feite had Antwerpen geen plannen voor het geval van een enorme cyberaanval.

Bij sommige diensten was het anders. Het zorgbedrijf had de zaken bijvoorbeeld beter op orde en had al hersteltesten uitgevoerd voor de aanval. Op de dag van de aanval duurde het slechts enkele uren om via een alternatieve werkwijze aan de slag te gaan. Dat toont het belang van een uitgewerkt plan.

Wat fout ging: De stad had voorafgaand aan de aanval geen uitgewerkt crisisplan klaar voor een aanval op grote schaal.
Wat je kan leren: Maak nu een plan, dat ook van toepassing is op een ernstig scenario. Enkel zo weet je wat te doen wanneer je cyberinfrastructuur toch in elkaar stort.

7. Herstelplan vs. realiteit

Niet alle plannen zijn goede plannen. De VTC stelde vast dat Antwerpen voor het herstel geen recovery-strategie had die de confrontatie met de realiteit kon doorstaan (met uitzondering van het Zorgbedrijf). Het bestaan van een map met de titel ‘recoveryplan’ is geen synoniem met een echt herstelplan.

Een goed plan is realistisch en gebaseerd op concrete en haalbare zaken. Of je plan adequaat is, kan je maar op één manier ontdekken: test het. Enkel door de herstelstrategie af en toe preventief naar de realiteit te vertalen, ben je ook in staat te herstellen wanneer het nodig is.

Wat fout ging: In de mate dat Antwerpen een herstelplan klaar had, was dat niet realistisch en bijgevolg onbruikbaar.
Wat je kan leren: Maak een plan, en test het ook. Een zelfgeschreven herstelsprookje zal je niet helpen wanneer het nodig is, een getest en actueel stappenplan wel.

Naar de toekomst

Antwerpen werkt na de aanval aan een nieuwe en moderne strategie. Ook voor eind 2022 was de stad al bezig met een upgrade van zijn beveiligingsstrategie, maar de inspanningen kwamen te laat. Antwerpen werkt momenteel aan een volledig nieuwe omgeving die wel gebaseerd is op een goede strategie, al stelt het VTC vast dat een eerste versie daarvan toch nog weinig concreet is. Intussen heeft de stad een concreter rapport uitgewerkt, dat we helaas niet konden inzien.

Organisaties groot en klein kunnen leren van het falen van Antwerpen. De impact van de cyberaanval eind 2022 was zo groot door een combinatie van factoren. Een slecht updatebeleid, geen MFA, ontoereikende back-ups, beperkte netwerksegmentatie en een ontoereikend en onrealistisch herstelplan zorgen ervoor dat de impact zo groot en langdurig was.

Iedere bovengenoemde pijler heeft bijgedragen aan de schade. Kijk eens door de bril van het hack naar je eigen organisatie, en evalueer: hoe realistisch is jouw plan? En heb je al MFA, of staat de uitrol ervan ergens onderaan een to-do-list samen met patchen? Iedere verbetering die je maakt, kan de impact van een hack verkleinen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.