Fase 1: digitale lockdown
Na Willebroek in 2020, werden ook Antwerpen, Diest & Zwijndrecht eind 2022 getroffen door een hacking. Hackers speuren dus ook bij gemeenten naar zwaktes in de netwerkbeveiliging en proberen deze uit te buiten.
De hacking van Willebroek was ook de aanzet voor het Agentschap Binnenlands Bestuur (ABB) en de VVSG om het draaiboek cybercrime te ontwikkelen.
Deze omschrijft reeds zeer extensief hoe de diensten ICT en communicatie best reageren in geval van een hacking.
Ook CERT (het federale Cyber Emergency Response Team), heeft beknopte stappenplannen voor cyberaanvallen, of ransomware.
Eigenlijk zijn er 2 grote fases na een hack:
- Digitale lockdown
- Veilige heropstart
Dit artikel focust niet zozeer op de technische ICT-aspecten, maar op de impact ervan op de rest van de organisatie en de continuïteit van de dienstverlening naar de burger toe, zoals we die tijdens de hacking van de stad Diest ervaren hebben.
Fase 2: een veilig heropstart, lees je hier.
Fase 1: digitale lockdown
Waaraan mag je je verwachten?
Dat hangt natuurlijk van de omvang van de hack af. Maar ingeval van ransomware, zullen hackers doorgaans proberen de toegang tot het netwerk en/of de data proberen onmogelijk te maken.
Eénmaal hackers een toegang tot het netwerk hebben gevonden, zullen ze proberen de ‘admin-account’ van het netwerk te kraken. Dit is de account die IT’ers van de stad gebruiken en die volledige rechten heeft op de installaties en op het netwerk. Indien ze daarin slagen, betekent dit ook dat ze toegang hebben tot de gekoppelde netwerken en daarin opgeslagen data.
Eénmaal de lokale server ontoegankelijk is, wordt inloggen op bepaalde toestellen of (web) toepassingen onmogelijk… jouw gemeente gebruikt waarschijnlijk een ‘Active Directory’. Daarin worden accounts voor gebruikers (personeelsleden) aangemaakt. Bij elke login door een personeelslid, gaat zal een toestel in de ‘active directory’ controleren of het betrokken personeelslid ook toegang heeft tot de betrokken dienst. Is de ‘active directory’ niet bereikbaar (doordat de server offline is), dan kan je ook niet meer inloggen.
Dit kan allerlei toestellen, als diensten treffen. Bvb.:
- een gedeelde netwerkprinter waarop je moet inloggen op te kunnen afdrukken;
- maar ook cloud-diensten, maar waarvan de login via de lokale active directory loopt
Ook cloud-diensten (tijdelijk) in quarantaine.
Je zou verwachten dat je cloud-diensten veilig zijn om gewoon verder te gebruiken.
Hou er echter rekening mee dat bepaalde dienstenleveranciers bij een hack, jouw gemeente veiligheidshalve in quarantaine zullen zetten. Dus ook sommige externe software leveranciers zullen je afsnijden uit vrees voor de verspreiding van een mogelijke besmetting. Pas nadat je als gemeente kan aantonen dat je ‘in een veilige omgeving bent heropgestart’, worden deze quarantaine regels versoepeld…
Dit hangt echter van het beleid van de externe software leverancier af, en de grootteorde van toegang tot bepaalde kritische toepassingen. Er waren ook aantal externe software leveranciers die online bleven (bv. extern parkeerbedrijf, websitebeheer, vrijwilligersbeheer, ticketing cc, alarmsystemen gebouwen, cloud telefonie, reservatiesysteem buitenschoolse kinderopvang en smartschool)
Digitale lockdown
De IT-dienst zal waarschijnlijk een lockdown-procedure starten.
Elk toestel dat verbonden was met het interne netwerk, kan immers potentieel besmet zijn. (En dat is helaas, véél ...)
Laptops en USB-sticks moeten worden binnengebracht bij ICT en eerst worden gescand. Desktops mogen voorlopig niet meer gebruikt worden. Netwerk switches of routers kunnen besmet zijn. Bepaalde netwerken mogen dus niet ook meer gebruikt worden. UTP-kabels worden voorlopig uitgetrokken zodat potentieel besmette toestellen niet opnieuw connectie kunnen maken met de buitenwereld. Hebben de toestellen een wifi-netwerkkaart, dan mogen zo mogelijks voorlopig niet meer opgestart worden.
Hou dus rekening met een worst case scenario waarin je :
- geen email @gemeente.be
- geen laptops
- geen desktops
- geen wifi
- geen bekabeld netwerk
- geen interne telefooncentrale
- geen netwerkprinters
- geen netwerkschijven met data
- geen toepassingen die op de lokale server draaien
- geen prikklok
- geen gebruik van usb sticks
Creëer een intern communicatiekanaal met je personeel
De communicatiedienst zal extern communiceren met de inwoners via smartphone en sociale media & de website (indien beschikbaar).
Het is echter belangrijk ook zo snel mogelijk een intern communicatiekanaal met je personeel te hebben. Personeel op de buitendiensten kennen misschien de oorzaak van de netwerkproblemen nog niet…
Niet makkelijk, want email werkt mogelijk niet (en teams mogelijks ook niet).
Bij ons in de stad Diest werd een whatsapp groep aangemaakt met de GSM-nummers van de diensthoofden. Elk diensthoofd kreeg dan de opdracht om verder te communiceren naar zijn personeel.
- Communiceer over de oorzaak van de technische problemen
- Communiceer welke hardware, netwerken, toepassingen, … het personeel desgevallend niet meer mag gebruiken.
Breng in beeld wat nog werkt en wat niet
Probeer een beeld te krijgen van de dienstverlening die jouw diensten wél nog kunnen aanbieden.
Grosso modo, mag men zich aan deze indeling verwachten:
- Hoe meer een dienst uitvoerende taken heeft, hoe lager de impact zal zijn.
- Hoe meer een dienst administratieve taken heeft, hoe hoger de impact zal zijn.
| lagere impact (eerder uitvoerend) | hoge impact (eerder administratief) |
|
|
Lagere impact mag niet verkeerd begrepen worden. Al deze diensten hebben ook problemen gekend (bv. betaalterminals die niet meer werkten, facturen die niet konden verstuurd worden, lesmateriaal dat niet kon geprint worden, … etc. ) Maar het was makkelijker een groot deel van het personeel aan de slag te houden met dagdagelijkse taken, dan op andere diensten.
Technische werkloosheid?
Het herstel van alle informatica systemen kan wéken aanslepen.
Er zijn twee types economische werkloosheid die in aanmerking komen in geval van een hacking:
Technische werkloosheid wegens een technische stoornis.
Dit is echter enkel bruikbaar voor arbeiders. Maar personeel met een uitvoerende taak, zal doorgaans net minder geaffecteerd zijn door een hack. Verder moet deze vorm van technische werkloosheid verplicht aangevraagd worden de eerste werkdag na de technische storing. Er moet dus snel beslist worden. De eerste 7 dagen wordt het loon nog verder uitbetaald. Pas vanaf de 8ste dag gaat de technische werkloosheid in.
Technische werkloosheid wegens overmacht.
Deze vorm van technische werkloosheid is zowel bruikbaar voor arbeiders als bedienden. Voorwaarde is echter wel dat de overmacht de verdere uitvoering van de arbeidsovereenkomst volledig onmogelijk maakt. Het is dus niet voldoende dat de uitvoering ervan enkel bemoeilijkt wordt of duurder uitvalt.
Best wordt dit dus afgetoetst met, of goed gemotiveerd bij de directeur van het werkloosheidsbureau van de RVA.
Verdere voorwaarden en informatie kan u vinden in de links hierboven, of bij uw RVA kantoor.
Roep de hulp in van buurgemeenten
Alhoewel onze dienst burgerzaken volledig was afgesneden van de nationale databanken, konden we gelukkig beroep doen op onze buurgemeente Scherpenheuvel-Zichem.
Onze personeelsleden verhuisden hun werkplek tijdelijk naar hun stadhuis, waar een noodloket geopend was. Zo konden onze inwoners, met een beperkte verplaatsing, toch nog een e-ID, Kids-ID, reispas, vreemdelingenkaart of verblijfsprocedure aanvragen.
