FacebookTwitterLinkedin

Evaluatie aanval gijzelsoftware bij VNOG

ransomware 3998798 1280Evaluatie aanval gijzelsoftware bij VNOG; onderzoek Instituut Fysieke Veiligheid (IFV) naar de leerpunten

Cyberverstoringen bij Veiligheidsregio’s: hoe goed zijn ze voorbereid?

De Veiligheidsregio Noord- en Oost-Gelderland (VNOG) werd op zaterdag 12 september 2020 getroffen door gijzelsoftware. Deze software zorgde voor een verstoring van interne computersystemen. Het Instituut Fysieke Veiligheid (IFV) is gevraagd onderzoek te verrichten naar de leerpunten uit deze casus. Tevens is het IFV gevraagd adviezen te geven aan de andere veiligheidsregio’s. 
Het was de eerste keer dat een veiligheidsregio te maken kreeg met een dergelijke cyberverstoring. Dat onderstreept de behoefte om van het incident te leren; leerervaringen kunnen bijdragen aan het verder versterken van de incidentrespons en gevolgbestrijding bij cyberverstoringen, zowel van de VNOG zelf, als van andere veiligheidsregio’s.

Cybercrisis anders dan andere crises
Voor dit onderzoek is gekozen om met drie thema’s te werken. Ten eerste is bekeken in welke mate cyberverstoringen anders zijn dan klassieke flitsrampen. En als dit het geval is, hoe kunnen veiligheidsregio’s zich dan op dit soort cybercrises voorbereiden?
Daarnaast is er gekeken naar de crisisorganisatie. Veiligheidsregio’s dienen te beschikken over een flexibele crisisorganisatie en over relevante crisisnetwerken. Het derde thema is de crisiscommunicatie. De vraag is of de communicatie over een cybercrisis anders is dan communicatie over ‘reguliere’ crises. Er is onderzocht of er factoren zijn waarmee men bij een cyberverstoring (extra) rekening moet houden in de communicatie, welke uitgangspunten zijn gebruikt in de interne en externe communicatie over een cyberverstoring en of er in alle openheid kan worden gecommuniceerd of dat er juist een zekere mate van geslotenheid gewenst is.

Adequaat gehandeld
De hoofdbevinding van het IFV is dat de VNOG deze cyberverstoring adequaat heeft bestreden. Zij heeft de gijzelsoftware vanaf het allereerste begin uitermate serieus genomen, heeft snel opgeschaald en direct externe hulp ingeschakeld. In de crisisrespons was de VNOG sterk afhankelijk van externe specialistische ondersteuning en expertise. De VNOG slaagde erin om die technische expertise snel te mobiliseren in de vorm van bijstand van het Nationaal Cyber Security Centrum (NCSC) en andere experts. Naast het feit dat de VNOG ontzettend veel goed heeft gedaan, heeft de regio ook geluk gehad. Wanneer de benodigde expertise niet tijdig kan worden georganiseerd, er sprake is van zeer geavanceerde of aanhoudende aanvallen en technisch handelingsperspectief ontbreekt, kan het verloop van een dergelijk incident er heel anders uitzien.

Senior onderzoeker Laurens van der Varst (IFV): ‘Vastgesteld moet worden dat veiligheidsregio’s dit soort cyberverstoringen (en de voorbereiding erop) uiterst serieus dienen te nemen. Cyberdreigingen zoals gijzelsoftware zijn per slot van rekening ‘here to stay’’ Een vervolg zal door het IFV gegeven worden door leertafels op te gaan zetten om de ervaringen te delen.’

Bekijk het volledige onderzoek.

Interview Senior onderzoeker Laurens van der Varst (IFV) en Diemer Kranser (VNOG).