Zo bereidt stad Genk zich voor op een cybercrisis

Het was een donkere decemberdag in 2022 toen de Belgische stad Genk een schokkende ontdekking deed: ze stonden op dezelfde lijst van hackers-doelwitten als de steden Antwerpen en Diest. De Play Ransomware Group, had in die steden al eerder toegeslagen. Daar hadden ze honderden gigabytes aan data gestolen en losgeld geëist. Wat deed Genk na deze wake-up call en welke lessen zijn daaruit te trekken?

Na de ontdekking stonden voor de stad alle seinen op rood. Deze hackers kunnen serieuze schade aanrichten: Stad Antwerpen is bijna twee jaar later nog altijd in herstel van de aanval. Ze wilden uiteraard niet het volgende slachtoffer in de rij worden. De ‘wake-up call’ was dan ook het startschot voor een reeks maatregelen. Allereerst organiseerde de stad met spoed een overleg met de andere steden die op de lijst stonden: Hasselt en Leuven. Samen besloten ze om de hulp in te roepen van Orange Cyberdefense, gespecialiseerd in het ondersteunen van de publieke sector met hun cybersecurity. Ze richtten een nieuw Teams-kanaal en een e-mailgroep op om informatie uit te wisselen en stelden een single point of contact aan om slagvaardig te zijn.

Ook intern stelde de stad snel orde op zaken. Zo werkten ze een checklist af van standaard security best practices, zoals updates, patches, het blokkeren van verdachte ip-adressen, het beperken van vpn-toegang, de back-up van alle belangrijke data en het uitschakelen van niet-gebruikte accounts.

Een belangrijk onderdeel van de verdediging was het zorgen voor continue 24/7-monitoring. De gemeente moest immers snel kunnen optreden tegen dreigingen, en dat in een dreigingslandschap dat continue verandert. Daarbij was natuurlijk het risico op een aanval toegenomen. Passieve monitoring tijdens de kantooruren was niet langer voldoende. Genk had echter niet de capaciteit in huis om deze taak zelf op zich te nemen.

De stad zocht hulp bij Orange Cyberdefense en koos bewust voor ondersteuning van een securityorganisatie met een bewezen track record in de publieke sector. Een die hen bovendien in een langdurige relatie naar een steeds hogere maturiteit kan begeleiden als het gaat om security. De oplossing die werd geboden was XDR, een systeem dat 24/7 actieve monitoring, detectie en response verzorgt. De demo-oplossing was op dat moment in december in drie dagen volledig opgezet en gaf de gemeente Genk gemoedsrust tijdens de kerstdagen.

Inmiddels monitort de stad 1200 endpoints via de XDR-oplossing. Daarnaast focust het CSIRT (Computer Security Incident Response Team) continu op securityverbeteringen. Genk heeft geleerd dat kleine stapjes samen grote vooruitgang kunnen betekenen op het gebied van cybersecurity. Een missie waarin ze Orange Cyberdefense aan hun zijde vinden.

Dit zijn de 5 belangrijkste lessons learned van het hele proces die de stad heeft doorgemaakt:

1. Assume breach: ga ervan uit dat je al gehackt bent, of dit zult worden

Genk kwam net op tijd achter de plannen van de Play Ransomware Group. Daardoor konden ze maatregelen nemen nog voordat er een grote aanval plaatsvond.
Die luxe van een tijdige heads-up is er in de praktijk niet altijd. Een manier om je voor te bereiden op een cybercrisis is om te werken volgens het principe van 'assume breach'. Dit betekent dat je ervan uitgaat dat je netwerk al is gecompromitteerd, of dat dit elk moment kan gebeuren. Zo dwing je jezelf om continu alert te zijn en je beveiliging te verbeteren. Het voorbeeld van de stad Genk laat zien dat een aanval soms al langere tijd in de maak is, zonder dat je het doorhebt. Door te handelen alsof je al gehackt bent, kun je sneller reageren en de schade beperken.

Daarnaast is het heel goed om crisissituaties te oefenen. Op die manier weet iedereen tijdens een aanval veel beter wat er van hem of haar verwacht wordt. Dat scheelt stress en verbetert de besluitvaardigheid op het moment dat iedere seconde telt.

2. Werk samen met andere organisaties om informatie en kennis te delen

Cybersecurity is bij uitstek een discipline waarbij je samen sterker staat. Het is daarom belangrijk om ook contact te onderhouden met andere organisaties in je sector of regio, en informatie uit te wisselen over mogelijke cyberaanvallen. Zo kun je elkaar waarschuwen en helpen om de veiligheid te verhogen.

Een ander voordeel van samenwerken met andere organisaties is dat je gebruik kunt maken van elkaars expertise en capaciteit. Je kunt bijvoorbeeld gezamenlijk trainingen organiseren, tools of diensten inkopen, of audits uitvoeren. Zo kun je kosten besparen en de kwaliteit verhogen. Door samen te werken met andere organisaties, vergroot je je weerbaarheid tegen cyberaanvallen.

3. Zorg voor een back-up van je data, maar besef dat dat niet genoeg is

Een back-up is essentieel om je data te kunnen herstellen in geval van een ransomware-aanval, maar het is geen garantie dat je data veilig is. Sommige ransomware kan ook je back-ups versleutelen of verwijderen. Daarom is het belangrijk om je back-ups regelmatig te testen en te bewaren op meerdere locaties, zowel online als offline.

4. Gebruik een systeem dat actieve monitoring biedt en snel kan reageren op incidenten

Een goed beveiligingssysteem moet niet alleen je netwerk beschermen tegen indringers, maar ook eventuele anomalieën detecteren en isoleren. Zo kun je sneller ingrijpen als er iets misgaat en de impact van een aanval beperken.
Een XDR/SOC kan uitkomst bieden. Dat is een cloudgebaseerde oplossing die gebruikmaakt van kunstmatige intelligentie en machine learning om je netwerkactiviteit te analyseren en afwijkingen te signaleren. Zo kun je realtime inzicht krijgen in de status van je netwerk en eventuele bedreigingen identificeren en neutraliseren. Een XDR/SOC-oplossing kan ook helpen bij het opstellen van rapporten en aanbevelingen om je beveiligingsbeleid te verbeteren en te voldoen aan de wettelijke eisen, zoals wetgeving rondom de komende NIS2-verordening.

5. Maak je medewerkers bewust van de risico's van phishingmails en andere vormen van cybercriminaliteit

De belangrijkste les die ze hebben geleerd, is dat menselijke nieuwsgierigheid gevaarlijk kan zijn. Cyberaanvallen starten vaak met een phishingmail. Daarom is het belangrijk om je medewerkers te trainen om alert te zijn op verdachte e-mails en om nooit persoonlijke of vertrouwelijke informatie te delen via e-mail of telefoon.

Een goede manier om je medewerkers bewust te maken van de risico's van phishingmails, is om ze zelf te testen. Door af en toe een neppe phishingmail te sturen naar je medewerkers, kun je zien wie er vatbaar is voor deze vorm van cybercriminaliteit. Zo kun je gerichte feedback en tips geven om je medewerkers te helpen hun digitale veiligheid te verbeteren. Bovendien kun je zo ook de effectiviteit van je security-awarenesstrainingen meten en optimaliseren waar nodig.