Terugblik: 6 opvallende securityincidenten bij overheden

Terugblik: 6 opvallende securityincidenten bij overheden

DearBytesBlogTerugblik: 6 opvallende securityincidenten bij overheden

woensdag 16 januari 2019

Elke organisatie is vatbaar voor securityincidenten. De overheid is daar helaas geen uitzondering op. Deze 6 (leerzame) cyberincidenten uit 2018 maken dat wel duidelijk.

1. Herstel van ransomware kost Atlanta 2,6 miljoen dollar

Een ransomware-uitbraak kan voor grote financiële schade zorgen. Dit ondervond de Amerikaanse stad Atlanta in maart 2018. Een aanval met de SamSam-ransomware (blog over SamSam) verstoorde haar dienstverlening ernstig.

De aanvaller eiste 50.000 dollar losgeld in bitcoins. De aangerichte schade loopt echter in de miljoenen dollars. Zo moest de gemeente een achttal noodcontracten ter waarde van in totaal ruim 2,6 miljoen dollar afsluiten om de overheidsdienstverlening overeind te houden. Ook werd 50.000 dollar uitgegeven aan crisiscommunicatie en 600.000 dollar geïnvesteerd in consultancy.

Ondanks dat bij een ransomware-infectie de schade het geëiste losgeld doorgaans ver overstijgt, blijft het advies nooit te betalen. Met een betaling geef je gehoor aan de eisen van de afperser, en er is geen enkele garantie dat de aanvaller na betaling de gegijzelde data daadwerkelijk ontsleutelt.

2. UWV lekt gegevens van 2.400 Nederlanders

Een datalek bij een overheidsinstelling treft vaak een relatief grote groep personen, en kan verstrekkende gevolgen hebben voor de slachtoffers. Overheidssystemen bevatten immers relatief veel gevoelige informatie over burgers.

Een voorbeeld is een datalek in augustus bij het UWV. Door een menselijke fout verstuurde de overheidsorganisatie de privégegevens van 2.400 cliënten naar 96 werkzoekenden. Onder meer namen, telefoonnummers, geboortedata en burgerservicenummers lekten uit.

Dergelijke informatie kan door kwaadwillenden onder meer worden gebruikt om identiteitsfraude te plegen. Doordat je deze gegevens niet kunt wijzigen, kun je als slachtoffer ook jaren later nog worden geconfronteerd met de gevolgen van een dergelijk datalek.

3. Autoriteit Persoonsgegevens lekt namen van eigen medewerkers

Dat iedere (overheids)organisatie de fout in kan gaan, blijkt uit een datalek in maart bij de Autoriteit Persoonsgegevens, de toezichthouder waar ernstige datalekken gemeld dienen te worden. Met een beetje zoekwerk haalde je uit de metadata van ongeveer 800 pdf-bestanden de voor- en achternamen van tientallen medewerkers van de organisatie.

De gevolgen van dit incident zijn beperkt; van slachtoffers is alleen uitgelekt dat zij bij de toezichthouder werkzaam zijn. Het datalek laat echter wel zien dat een foutje in een klein hoekje zit en een securityincident dan ook al snel is veroorzaakt.

4. Russische inlichtingendienst bereidt cyberoperatie voor in Nederland

Regelmatig wordt gewaarschuwd voor staatsactoren: cyberaanvallers die uit naam van een overheid handelen. Deze aanvallers hebben doorgaans veel meer middelen tot hun beschikking dan ‘traditionele’ cybercriminelen, wat hen in staat stelt zeer geavanceerde cyberaanvallen uit te voeren. Vergis je niet: ook in Nederland voeren staatshackers dergelijke cyberoperaties uit.

Een voorbeeld is een opvallende verklaring van de MIVD in oktober. De doorgaans in stilte opererende militaire inlichtingendienst meldde in april de uitzetting van vier officieren van de Russische inlichtingendienst GROe. Het viertal voerde een Russische cyberoperatie uit op Nederlands grondgebied, met als doel de Organisatie voor het Verbod op Chemische Wapens (OPCW). Bij hun arrestatie in Den Haag bleken de Russen alle benodigdheden bij zich te hebben om een cyberaanval uit te voeren.

5. Aanvallers maken duizenden e-mails van Republikeinse Partij buit

Politici en ambtenaren zijn een interessant doelwit voor cybercriminelen. Zo kunnen inloggegevens voor een online overheidsportal toegang geven tot gevoelige documenten, terwijl via (privé-)mailaccounts allerlei werkgerelateerd e-mailverkeer kan worden buitgemaakt. Deze informatie kunnen ze voor uiteenlopende doeleinden misbruiken. Zo kunnen aanvallers de besluitvorming beïnvloeden, handelen met voorkennis, politici onder druk zetten of betrokkenen in verlegenheid brengen.

Hoe reëel deze dreiging is, bleek begin december. Toen werd bekend dat duizenden e-mails van vooraanstaande leden van de Amerikaanse Republikeinse Partij zijn gestolen. De e-mails – die vooralsnog niet door de aanvallers openbaar zijn gemaakt – zouden ook gevoelige informatie bevatten. Het is niet duidelijk wie achter de cyberaanval zit.

6. Duitse politici getroffen door grootschalig datalek

Je kunt uiteenlopende maatregelen nemen om cybercriminelen buiten de deur te houden en datalekken te voorkomen. Een risico op een datalek blijft echter altijd bestaan. Zo kunnen kwaadwillenden bijvoorbeeld informatie over een politicus uit allerlei bronnen combineren. Het uitlekken van de verzamelde gevoelige gegevens kan betrokkenen ernstig schaden.

Een voorbeeld van een dergelijk incident is een omvangrijk datalek bij de Duitse Bondsdag. Gegevens van honderden Duitse politici zijn eind december via Twitter bekendgemaakt. Het gaat om uiteenlopende data uit allerlei bronnen, variërend van telefoonnummers en adresgegevens tot persoonlijke brieven en informatie over bankrekeningen. Wie achter het datalek zit, is vooralsnog onbekend.