Burgemeester van gehackte gemeente Hof van Twente doet geen zaken met criminelen

In 2020 werd gemeente Hof van Twente gehackt. Alles was weg. Burgemeester Ellen Nauta-van Moorsel deelt haar verhaal in een openhartig interview. Ze vertelt over de zwakke schakel en haar principiële aanpak.

Het interview met Ellen Nauta-van Moorsel liever beluisteren? Dat kan in de nieuwe podcastreeks van Interpolis en BNR: 'Crisis de baas'.
 

Het leek een technische storing

Het was een doodnormale ochtend, zoals burgemeester Ellen Nauta-van Moorsel zich herinnert. Maar toen de medewerkers van de gemeente Hof van Twente probeerden in te loggen, lukte dat niet. Een technische storing, dachten ze. Totdat er briefjes uit de printers kwamen rollen. De boodschap: ze waren gehackt, of ze contact wilden opnemen met het e-mailadres dat erbij stond.

Mensen liepen huilend door de gang

Direct sloeg de paniek toe, herinnert Nauta-Van Moorsel zich. 'Ik heb zelfs het woord ontreddering gebruikt. We konden nergens meer bij. Gaandeweg bleek dat we ook echt alles kwijt waren. Mensen liepen huilend door de gang.'

Nu zijn gemeenten niet alleen verantwoordelijk voor bijvoorbeeld het uitgeven van paspoorten en rijbewijzen, maar ook het verwerken van onder meer uitkeringen. Niet zo gek dus dat de hack zo hard aankwam bij de gemeenteambtenaren.

Cybersecurity goed voor elkaar

'Overigens stond cybersecurity zeker op de agenda', benadrukt de burgemeester. Ze dacht zelfs dat ze er heel goed mee bezig waren: 'We besteedden er regelmatig aandacht aan en deden audits en penetratietesten.' Dat is een toets van het computersysteem op kwetsbaarheden.

De afdeling ICT zat in haar eigen portefeuille. Niet dat ze daar veel ervaring mee had, maar als bestuurder is het vooral zaak om deskundige mensen om je heen te verzamelen die je informeren en zelf de juiste vragen stellen, aldus Nauta-Van Moorsel.

Te rade bij collega-gemeente die eerder gehackt is

'Achteraf weet ik dat ik beter had moeten doorvragen, dat is een verwijt dat ik mezelf maak. Als alle vinkjes op groen staan bij een audit en je hoort dat het risico beperkt is, blijkt dat dit maar een deel van de werkelijkheid toont. Dat weet ik nu.'

Die ochtend belde ze direct met haar collega in Lochem, die kort daarvoor met een hack te maken had gehad. Die adviseerde haar een forensisch onderzoeker in te schakelen. Die kan onderzoeken wat er is gebeurd en hoe groot de schade is. Daarvoor had de gemeente al contact opgenomen met de politie.

Externe expert als operationeel leider

Na 2 dagen realiseerde de burgemeester zich dat ze als gemeente precies weten wat te doen bij bijvoorbeeld een asbestbrand, maar dat ze van zo'n hack geen kaas hadden gegeten. Ze schakelde een operationeel leider van buitenaf in met expertise op dit vlak. 'Dat was een zegen, direct was er rust.'

Extreem transparante communicatie 

Daarnaast kwam er de stelregel: wat intern wordt gecommuniceerd, wordt ook aan de buitenwereld verteld. 'Wat het bestuur en de medewerkers weten, dat weet de pers. Het is belangrijk dat anderen van onze hack leren.'

Al was het voor haar ook een eenzaam besluit om te nemen. 'Bij hacks hebben bestuurders meestal de neiging om het een beetje te verdoezelen. Je staat natuurlijk wel op straat met je fouten.' Nu is dat voor een bestuurder niet eens zo erg, vervolgt ze, die zijn er volgens haar aan gewend. 'Maar voor onze medewerkers is het zwaar geweest. Hoe denk je dat de systeembeheerders hun boodschappen doen? Onze gemeente is met 35.000 inwoners niet groot; iedereen weet wie de systeembeheerders zijn. Dat is heftig.'
Wat intern wordt gecommuniceerd, wordt ook aan de buitenwereld verteld

Geen zaken doen met criminelen

De hackers eisten 50 bitcoins. Met de koers van toentertijd zo'n € 750.000,-. Nauta-Van Moorsel: 'Daar ben ik nogal principieel over: je doet geen zaken met criminelen. Kijk, als bedrijf kan ik me dat nog voorstellen, maar als overheid is dat onacceptabel.' Al zorgde ze wel dat er gesprekken met experts aan dat besluit vooraf gingen, om alle mogelijke argumenten en tegenargumenten op tafel te kunnen leggen.

Zwakke wachtwoord van systeembeheerder bleek aanleiding

De zwakke schakel die de hack mogelijk maakte zat in het zwakke wachtwoord van het beheerdersaccount, Welkom2020. Toch treft hen geen blaam. Mensen kunnen nou eenmaal fouten maken, gelooft Nauta-Van Moorsel. 'Natuurlijk is het niet goed en zijn hierover gesprekken gevoerd, maar laten we ervan leren in plaats van elkaar veroordelen.' Daarbij bleek na gesprekken met andere burgemeesters en veiligheidsregio's dat ze lang niet de enige waren in die positie: 'Ik geef je de kost hoeveel zeiden dat ze ook maar eens hun wachtwoord moesten aanpassen.'
Laten we ervan leren in plaats van elkaar veroordelen

Weinig data bleek gelekt

Experts stelden dat er tijdens de hack ook maar weinig data naar buiten is gegaan. Een jaar later is er nergens iets verschenen en de kans dat dit nog gebeurt is gering, al kan Ellen Nauta-van Moorsel er nog steeds van wakker liggen.

Anders dan verwacht bleken burgers niet merkbaar ongerust over het mogelijk op straat komen te liggen van persoonlijke gegevens. Op het ingestelde telefoonteam bij een naburige gemeente kwam geen enkel belletje. 'Tukkers zijn nuchtere mensen', lacht de burgemeester.

Jaar later nog steeds niet volledig draaiende

Het was vlak voor de feestdagen dat de hack plaatsvond. 'Gelukkig hebben alle uitkeringsgerechtigden hun uitkering tijdig kunnen ontvangen, dankzij 'titanenwerk' van de gemeenteambtenaren, die opeens hun kerstvakantie door moesten werken', roemt de burgemeester haar medewerkers.

Een jaar na dato zijn alle systemen voor 70% weer draaiend. Zo ingrijpend is zo'n hack waarbij alles is verdwenen, benadrukt ze. Tegelijkertijd grijpt de burgemeester de kans om de organisatie nog beter in te richten op cybergebied.

'Ik weet nu dat ik zelfs met deskundigen die het systeem aan het opbouwen zijn continu een CISO moet laten meekijken, iemand die echt gespecialiseerd is in informatieveiligheid.' En als ze weer volledig 'up and running' zijn, zullen studenten van de TU Twente meehelpen met extra testen, om te checken of het systeem inderdaad waterdicht is en blijft.

De belangrijkste les van de burgemeester van Hof van Twente als het gaat om een cybercrisis: 'Behandel het als een crisis die je gewend bent te managen en dan wordt het vanzelf overzichtelijk.'

In de serie 'Crisis de Baas' vertellen ondernemers over leiderschap in turbulente tijden: wat doe je als alles opeens op zijn kop komt te staan? De BNR reeks 'Crisis de Baas' is mede mogelijk gemaakt door Interpolis.
Interpolis helpt zakelijk Nederland focussen op wat echt belangrijk is
De BNR podcastserie Crisis de Baas wordt mede mogelijk gemaakt door Interpolis. Hierin laten we ondernemers aan het woord over hoe zij omgingen met crisis in hun bedrijf. In deze tijden wordt bij ondernemers een extra beroep gedaan om te focussen op wat echt belangrijk is. Met Crisis de Baas willen BNR en Interpolis ondernemers inspireren met nieuwe inzichten en een platform bieden om van elkaar te leren.