Bart Hillenaar (Dudok Wonen): Belangrijkste les van het datalek? Waterdichte afspraken maken met leveranciers

Werken over organisatiegrenzen heen wordt voor woningcorporaties steeds belangrijker. Zo ook in het onderhoudsproces, waar verregaande ketensamenwerking betekent dat IT-systemen tussen organisaties nauw met elkaar verbonden zijn en data worden uitgewisseld. Maar hoe ga je als corporatie in die ‘verketende’ wereld om met een ransomware-aanval bij één van je ketenpartners? Het overkwam Dudok Wonen en CorporatieGids Magazine sprak erover met Bart Hillenaar, Security Officer bij de Hilversumse corporatie. Een gesprek over zero trust en honderd procent focus.

Die 15e juni 2023 was het een warme, zonnige donderdag, blikt Bart terug: “Het was mijn normale vrije dag. Ik had in de achtertuin wat hamburgers op de barbecue liggen toen ik werd gebeld door mijn manager die zei: ‘Bart, ik heb vernomen dat er een hackaanval heeft plaatsgevonden bij een ketenpartner’. Omdat ik vlakbij ons kantoor woon, is de manager bij mij thuis langs geweest, hebben we laptops opengeslagen op de tuintafel en gekeken naar wat we als Dudok Wonen moesten doen. Onze eerste reactie was het plaatsen van een bericht voor onze organisatie maar we hadden eigenlijk geen idee wat we in dit bericht moesten zetten. We hebben daarom een stap teruggenomen en onszelf de vraag gesteld: welke resources hebben we beschikbaar en hoe komen we aan meer info over wat er is gebeurd?”

Eerste stappen

Dudok Wonen wist alleen dat er een hack had plaatsgevonden. “Of het ons echter raakte was onbekend. We hebben daarom snel wat lijntjes uitgezet, onder andere via   PRISM, een online platform waar vakgenoten uit de informatiebeveiliging- en privacy branche samenkomen. We werden al snel gebeld door onze contactpersoon vanuit Audittrail die ons heeft begeleid bij de te nemen stappen na de hack. Vragen die langskwamen waren wat weten wij en welke vervolgstappen kunnen we nemen? De eerste stap was contact zoeken met de ketenpartner zelf. Onze onderbuikreactie was ‘die zullen nu wel druk zijn’, maar het telefoontje werd snel opgepakt. Zo kregen we updates wanneer er nieuws was en konden we de situatie beter inschatten. Door de ransomware-aanval konden zij namelijk niet meer in hun systemen en bij hun e-mail.”

Breken met systemen

De volgende stap was het ‘breken’ van de link met de systemen van de partner. “We hebben contact opgenomen met NEH, de partij die onze IT beheert. Zij wisten gelukkig al dat er wat aan de hand was en hebben proactief accounts geblokkeerd die mogelijk een gevaar zouden kunnen vormen. Zo werd een eventuele verspreiding direct stopgezet.”

Grote impact

“Daarna hebben we de rest van de organisatie ingelicht over de hack”, legt Bart uit. “Mochten collega’s een e-mail, telefoongesprek, SMS of een ander gek bericht ontvangen van de ketenpartner, dan konden ze daar extra alert op zijn. Hier werd direct de impact van de hack zichtbaar. Want hoewel de eerste reactie was ‘hé wat vervelend’, was de reactie daarna ‘hoe lang gaat dit duren’. De hack had hoge impact omdat reparaties die via onze website of aan de telefoon worden ingediend, automatisch worden doorgestuurd naar de partner. Informatie zoals huurdergegevens wordt dan meegestuurd, maar je wilt niet dat dit in verkeerde handen terechtkomt. Omdat de link tussen de systemen direct werd doorgehakt, zodat er geen misbruik kon worden gemaakt, moest alles handmatig worden doorgezet. Dat had grote impact op de organisatie.”

Datalek

Naast het voorkomen van een lek heeft Dudok Wonen er ook alles aan gedaan om te voorkomen dat gegevens vanuit een geïnfecteerde omgeving naar hun organisatie werden gestuurd. “Denk bijvoorbeeld aan facturen die malware met zich meebrengen. We hebben een analyse gemaakt en gevraagd aan NEH of zij login-pogingen hebben gezien rond het tijdstip van de hack in de accounts gelieerd aan de ketenpartner. Dat was gelukkig niet het geval. De partner gaf snel aan dat de hack binnen hun systemen had plaatsgevonden en de kans op een hack bij ons nihil was. Echter was er wel sprake van een datalek. Omdat zij de gegevens van onze huurders gebruiken voor opdrachten en opslaan in hun systemen, hebben criminelen deze data wel buitgemaakt.”

“Achteraf hebben we van één huurder gehoord dat er zoveel spamberichten op zijn telefoon binnenkwamen, dat hij van telefoonnummer is gewisseld. Je weet natuurlijk niet honderd procent zeker of dat komt door het datalek, maar dat vermoeden we wel. Verder hebben we geen geluiden gehoord dat de buitgemaakte persoonsgegevens daadwerkelijk gebruikt zijn.”

Vijf dagen

Het uitvallen van de link tussen Dudok Wonen en de ketenpartner duurde erg kort, blikt Bart terug. “Op 15 juni vond de hack plaats en hebben zij een bedrijf ingehuurd om helpen om te gaan met het incident. De ketenpartner had al snel besloten om niet te betalen en een nieuwe omgeving te bouwen. Dat bleek uiteindelijk heel snel gerealiseerd te zijn. Op 20 juni – vijf dagen na de hack – werd deze opgeleverd. We hebben zelf toen nog de analyse van de hack afgewacht. Toen ook daar groen licht werd gegeven, hebben we nieuwe koppelingen gerealiseerd waarmee gegevens weer automatisch werden gedeeld.”

Reactie

Op de vraag in hoeverre Dudok Wonen rekening had gehouden met een ransomware-aanval, zegt Bart: “Een indirecte aanval via een aannemer hadden we niet verwacht, eerder vanuit een andere hoek. Bijvoorbeeld dat een leverancier van één van onze systemen geraakt zou worden. Om ons hierop voor te bereiden, werken we al ruim twee jaar samen met Audittrail. We hebben samen verschillende maatregelen genomen, zoals het periodiek uitvoeren van crisisoefeningen, opzetten van een calamiteitenplan en invoeren van een protocol voor het geval dat je gehackt wordt.”

“Daarnaast probeer je het bewustzijn binnen de organisatie zo hoog mogelijk te houden. Bijvoorbeeld door berichten te delen, workshops te houden en collega’s handvatten te geven middels e-learning. Dat dit een thema is dat de aandacht verdient, bleek uit een recente phishingtest. De helft van de ontvangers klikte op de link en een kwart probeerde zelfs in te loggen. Wat ik echter wel heel goed vond, was dat binnen vijf minuten iemand aan mijn bureau stond die vertelde een mailtje te hebben ontvangen die geen zuivere koffie was. Als ik toen direct een mail had gestuurd en collega’s had gewaarschuwd hier niet op te klikken, hadden we veel minder collega’s gehad die hiervoor waren gevallen. Het gaat daarom niet alleen erom of je voor een aanval valt, maar ook hoe je reageert en rapporteert aan de organisatie.”

Focus op leveranciers

De grootste les voor Dudok Wonen is dat er meer de focus moet worden gelegd op leveranciers. “Zorg er bijvoorbeeld voor dat je heldere afspraken maakt over hoe zij veilig zijn, je SLA’s opstelt en deze ieder jaar herijkt. Wij hebben – nieuwe en bestaande leveranciers – gevraagd om aan te tonen welke maatregelen ze nemen omtrent informatiebeveiliging en privacy. Hebben ze backups, doen ze regelmatig een restore-test, zijn backups afgesloten van de rest van de organisatie en zijn ze ISO-gecertificeerd? Daar zijn we nu veel strikter op.”

Wisselwerking

“Daarnaast was het hebben van een intranet waarin updates werden bijgehouden een enorme meerwaarde. Updates werden geplaatst om collega’s op de hoogte te houden van de laatste ontwikkelingen en ze konden hier ook op reageren. Die wisselwerking tussen medewerkers en de security officer is erg waardevol, omdat je zo beter de vragen van de werkvloer beantwoordt. Daarnaast was het gebruik van PRISM om in contact te komen met experts uit de sector erg nuttig. Door de community kregen we snel antwoord op vragen, waardoor we sneller goede beslissingen konden nemen.”

Budget

Ook binnen Dudok Wonen wordt het onderwerp security nog weer serieuzer aangepakt. Bart: “We hebben nu een apart budget dat puur voor informatiebeveiliging is. Voorheen was dit onderdeel van informatiemanagement, maar dan loop je het gevaar dat – wanneer het rustig lijkt – hierop bezuinigd wordt. Het gereserveerde budget stelt ons in staat het onderwerp beter warm te houden en meer technische maatregelen in te bouwen. Denk aan het toevoegen van MFA-beveiliging of conditional access. Dit gebeurt op basis van het zero trust-principe en betekent dat onbekende devices of inlogpogingen vanuit een hoog risico land nooit toegang krijgen tot onze systemen. Samen met Audittrail zetten we informatiebeveiliging en privacy neer met de Baseline Informatiebeveiliging Corporaties (BIC) als framework. Zo maken we complexe maatregelen en beleid behapbaar. Dat is van onschatbare waarde om een complex thema als deze overzichtelijk te houden. Komend jaar willen we daarnaast actieve monitoring toevoegen. Hierbij is het wel continu zoeken naar de balans tussen een werkbare organisatie en een veilige bedrijfsvoering.”

Bron: CorporatieGids Magazine, Foto: Theo Scholten, Tekst: Johan van de Beld