Ransomware bij gemeenten en overheidsinstanties

Waarom overheden aantrekkelijk zijn voor criminelen

Een succesvolle aanval op een gemeente of overheidsinstantie heeft directe zichtbaarheid: vergunningverlening stopt, paspoorten kunnen niet worden afgegeven, uitkeringen worden vertraagd. Die druk maakt de kans op betaling — of in ieder geval op negatieve publiciteit — groter. Criminelen spelen hier bewust op in.

Bovendien beheren overheden enorme hoeveelheden persoonsgegevens van burgers: BSN-nummers, inkomensinformatie, adresgegevens en medische dossiers bij zorginstanties. Bij een datalek kan dit leiden tot identiteitsfraude op grote schaal en hoge GDPR-boetes.

Bekende aanvallen in Nederland en Europa

Nederland is niet gespaard. De Universiteit Maastricht (2019), de GGD-hack (2021) waarbij COVID-vaccinatiedata werden gestolen, en meerdere gemeenten die hun systemen weken lang niet normaal konden gebruiken. In Europa werden gemeenten in Duitsland, België en Scandinavië getroffen waarbij soms maanden nodig waren voor volledig herstel.

Het patroon is herkenbaar: aanvallers komen binnen via een medewerker die op een phishing-link klikt, bewegen vervolgens door het netwerk ('lateral movement'), identificeren back-ups en kritische systemen, en slaan toe op een moment dat de IT-bezetting minimaal is — een weekendnacht of een vakantieperiode.

Specifieke kwetsbaarheden bij overheden

Overheidsinstanties kampen met een aantal structurele uitdagingen op het vlak van cybersecurity:

• Legacy-systemen die niet meer worden ondersteund maar moeilijk te vervangen zijn
• Grote hoeveelheden medewerkers met wisselende kennis van cyberveiligheid
• Complexe toeleveringsketen met tientallen softwareleveranciers en koppelingen
• Bezuinigingspressure die IT-investeringen bemoeilijkt
• Strikte aanbestedingsregels die snelle beveiligingsupdates kunnen vertragen
• Publieke transparantie over systemen en processen — handig voor aanvallers

Wat overheidsinstanties kunnen doen

Het NCSC en de IBD (Informatiebeveiligingsdienst voor gemeenten) geven richtlijnen die een goede basis vormen. Gemeenten die de BIO (Baseline Informatiebeveiliging Overheid) implementeren, zijn aanzienlijk weerbaarder. Maar ook los van verplichte kaders zijn er directe stappen te zetten:

• Implementeer de BIO en test naleving regelmatig
• Voer netwerksegmentatie door: kritische systemen gescheiden van werkplekken
• Zorg voor offline en immutable backups van alle kritische burgerdata
• Train medewerkers minimaal jaarlijks met phishing-simulaties
• Stel een incident response plan op en oefen dit jaarlijks
• Meld incidenten altijd bij het NCSC en de AP