Lokale besturen moeten zich beter kunnen wapenen tegen cybercriminaliteit. Dat was de oproep van Bart Somers, Vlaams minister van Binnenlands Bestuur in januari van dit jaar, nadat een cyberaanval de gemeente Willebroek vijf dagen lang platlegde. Bij die aanval gebruikten hackers ransomware om de systemen van de gemeentediensten te versleutelen.

Het was, voor zover we weten, de eerste keer dat een Vlaamse gemeente een aanval van die grootte te verwerken kreeg. En hoewel Willebroek in staat was om zijn systemen eigenhandig terug op poten te krijgen, geldt het wel als waarschuwing naar de toekomst. Zeker nu daar ondertussen ook de coronacrisis bij is gekomen, die ervoor zorgt dat niet alleen bedrijven, maar ook lokale besturen meer dan ooit afhankelijk zijn van computersystemen om van op afstand diensten te leveren. De Vlaamse overheid komt nu met een eerste plan dat uit verschillende elementen bestaat: een audit, een toolkit, een traject rond ethisch hacken en vorming voor gemeentepersoneel.

Draaiboek

'We hebben om te beginnen een audit uitgewerkt die we aan lokale besturen gaan aanbieden', zegt minister Somers op een virtuele rondetafel die Data News bijwoonde. Zo'n audit bestaat uit een doorlichting met onder meer een test van de ICT-systemen op kwetsbaarheden en meer. Daarbij betaalt Binnenlands Bestuur twee derde van de basisaudit via een systeem van co-financiering. Besturen kunnen daar zelf nog andere audits aan toevoegen. Er is twee miljoen euro voorzien voor de financiering.

'De toolkit bestaat onder meer uit een draaiboek voor cybercriminaliteit met bijvoorbeeld de verschillende rollen voor leden van het bestuur, voor IT en communicatie', legt Nathalie Dumarey van de Vereniging voor Steden en Gemeenten (VVSG) uit. Interessant is dat bij dat draaiboek ook naar de gemeente Willebroek wordt gekeken. Die heeft haar ervaringen met een cyberaanval neergeschreven, samen met best practices als snel het netwerk isoleren, back-ups stopzetten en zo vroeg mogelijk alle experten rond een tafel krijgen.

'Belangrijk is dat de organisatie moet blijven draaien', stelt Steven Vermeeren, noodplanningscoördinator bij de gemeente Willebroek. Hij wijst onder meer op stand-alone toepassingen zoals laptops met een 4G-verbinding. Voor lokale besturen zijn er ook specifieke uitdagingen aan de financiële kant. Denk aan leeflonen die op tijd moeten worden uitbetaald, en waar snel een alternatief moest worden gevonden. 'We wisten waar de crisis begon, maar wisten niet hoe lang ze ging duren', aldus Vermeeren. Uiteindelijk was Willebroek na vijf dagen opnieuw volledig operationeel.

Daarnaast wil de VVSG bruikbare modellen delen, zoals een business recovery plan en een noodplan, die de steden en gemeenten kunnen aanpassen aan hun eigen structuur. Ook een responsible disclosure policy zit in die plannen begrepen, om burgers de kans te geven een lek in bijvoorbeeld een gemeentelijk portaal te melden, zonder dat ze daar zelf mee in de problemen komen. Bij de plannen horen bovendien opleidingen rond ICT en veiligheid om ook het gemeentepersoneel weerbaarder te maken.

Ethisch hacken

Het meest opvallende deel van het plan is misschien wel het traject rond ethisch hacken. De Vlaamse overheid werkt daarvoor samen met de Hogeschool West-Vlaanderen (Howest). Bij lokale besturen die dat wensen, zullen vier studenten van de opleiding Computer & Cyber Crime Professional de systemen en processen enkele dagen komen testen. Het gaat dan om een klassieke pentest, maar ook om enkele sociale testen, zoals het laten rondslingeren van een USB-stick, een phishingcampagne of het bevragen van personeel. Dat traject moet moet dit najaar al van start kunnen gaan.

Lokale besturen moeten zich beter kunnen wapenen tegen cybercriminaliteit. Dat was de oproep van Bart Somers, Vlaams minister van Binnenlands Bestuur in januari van dit jaar, nadat een cyberaanval de gemeente Willebroek vijf dagen lang platlegde. Bij die aanval gebruikten hackers ransomware om de systemen van de gemeentediensten te versleutelen. Het was, voor zover we weten, de eerste keer dat een Vlaamse gemeente een aanval van die grootte te verwerken kreeg. En hoewel Willebroek in staat was om zijn systemen eigenhandig terug op poten te krijgen, geldt het wel als waarschuwing naar de toekomst. Zeker nu daar ondertussen ook de coronacrisis bij is gekomen, die ervoor zorgt dat niet alleen bedrijven, maar ook lokale besturen meer dan ooit afhankelijk zijn van computersystemen om van op afstand diensten te leveren. De Vlaamse overheid komt nu met een eerste plan dat uit verschillende elementen bestaat: een audit, een toolkit, een traject rond ethisch hacken en vorming voor gemeentepersoneel.'We hebben om te beginnen een audit uitgewerkt die we aan lokale besturen gaan aanbieden', zegt minister Somers op een virtuele rondetafel die Data News bijwoonde. Zo'n audit bestaat uit een doorlichting met onder meer een test van de ICT-systemen op kwetsbaarheden en meer. Daarbij betaalt Binnenlands Bestuur twee derde van de basisaudit via een systeem van co-financiering. Besturen kunnen daar zelf nog andere audits aan toevoegen. Er is twee miljoen euro voorzien voor de financiering. 'De toolkit bestaat onder meer uit een draaiboek voor cybercriminaliteit met bijvoorbeeld de verschillende rollen voor leden van het bestuur, voor IT en communicatie', legt Nathalie Dumarey van de Vereniging voor Steden en Gemeenten (VVSG) uit. Interessant is dat bij dat draaiboek ook naar de gemeente Willebroek wordt gekeken. Die heeft haar ervaringen met een cyberaanval neergeschreven, samen met best practices als snel het netwerk isoleren, back-ups stopzetten en zo vroeg mogelijk alle experten rond een tafel krijgen. 'Belangrijk is dat de organisatie moet blijven draaien', stelt Steven Vermeeren, noodplanningscoördinator bij de gemeente Willebroek. Hij wijst onder meer op stand-alone toepassingen zoals laptops met een 4G-verbinding. Voor lokale besturen zijn er ook specifieke uitdagingen aan de financiële kant. Denk aan leeflonen die op tijd moeten worden uitbetaald, en waar snel een alternatief moest worden gevonden. 'We wisten waar de crisis begon, maar wisten niet hoe lang ze ging duren', aldus Vermeeren. Uiteindelijk was Willebroek na vijf dagen opnieuw volledig operationeel. Daarnaast wil de VVSG bruikbare modellen delen, zoals een business recovery plan en een noodplan, die de steden en gemeenten kunnen aanpassen aan hun eigen structuur. Ook een responsible disclosure policy zit in die plannen begrepen, om burgers de kans te geven een lek in bijvoorbeeld een gemeentelijk portaal te melden, zonder dat ze daar zelf mee in de problemen komen. Bij de plannen horen bovendien opleidingen rond ICT en veiligheid om ook het gemeentepersoneel weerbaarder te maken.Het meest opvallende deel van het plan is misschien wel het traject rond ethisch hacken. De Vlaamse overheid werkt daarvoor samen met de Hogeschool West-Vlaanderen (Howest). Bij lokale besturen die dat wensen, zullen vier studenten van de opleiding Computer & Cyber Crime Professional de systemen en processen enkele dagen komen testen. Het gaat dan om een klassieke pentest, maar ook om enkele sociale testen, zoals het laten rondslingeren van een USB-stick, een phishingcampagne of het bevragen van personeel. Dat traject moet moet dit najaar al van start kunnen gaan.