Bijna een jaar geleden werd de corporatiesector opgeschrikt door de dag waarvan je wist dat hij zou komen. De beruchte Conti-groep – een Russische hackersgroep – brak eind maart 2022 binnen bij acht woningcorporaties, de grootste hackaanval in de geschiedenis van de sector. Systemen werden gegijzeld, losgeld werd geëist en cruciale bedrijfsprocessen kwamen stil te liggen. Jacoline Teeuwen (foto links) en Wendy du Prie (foto rechts), medewerkers bij het team Functioneel Beheer en Informatiemanagement bij QuaWonen, nemen ons mee naar de dagen van de aanval en vertellen over de inbraak, het herstel en de geleerde lessen voor QuaWonen. Of beter gezegd, voor de hele sector.
Het interview met het duo vindt plaats medio januari, bijna tien maanden na de hackaanval. Ondanks de verstreken tijd is de corporatie uit Bergambacht nog steeds niet helemaal modus operandi, begint Wendy het gesprek: “Er zijn nog verschillende open eindjes die we aan het oplossen zijn, zoals de overstap naar een nieuwe IT-outsourcingspartij. We waren na de aanval begonnen met het herstel bij onze oude partner, maar we merkten dat het vertrouwen weg was. Momenteel zijn we dan ook nog druk bezig met het oplossen van de laatste losse eindjes.”
Slecht bereikbaar
Terug naar maart 2022: QuaWonen had haar systemen en gegevens – net als de zeven andere woningcorporaties die bij de hack betrokken waren – ondergebracht bij een externe hostingspartij. Niet vanuit de externe hostingspartij, maar vanuit de gebruikersgroep werd QuaWonen voor het eerst op de hoogste gesteld van de hack, vertelt Jacoline: “De externe hostingspartij kwam er tijdens een controleprocedure achter op zondag 27 maart. Wij kwamen er de volgende dag achter toen we bericht ontvingen van de gebruikersgroep. Maar daarnaast merkten we direct dat ons systeem heel traag was en diverse applicaties slecht bereikbaar waren.”
Geen paniek
In de eerste momenten na de ontdekking heerste er geen paniek bij QuaWonen, blikt Wendy terug: “Wij informeerden direct de noodzakelijke functionarissen die in hoge staat van paraatheid schoten. Op dat moment hadden we nog geen idee van de omvang van de mogelijke hack bij onze hostingpartij. Het was namelijk nog niet duidelijk of wij überhaupt bij de getroffen bedrijven zaten. De organisatie is toen intern door de hostingpartij over ‘een grote verstoring’ geïnformeerd. Aan het eind van de dag communiceerden we aan collega’s dat er tussen 17:00 en 8:30 de volgende morgen geen gebruik gemaakt kon worden van onze digitale omgeving om de IT-partij de mogelijkheid te bieden om de verstoring op te lossen.”
Crisisteam
“De volgende dag – dinsdag 29 maart – bleek de digitale omgeving helemaal niet meer bereikbaar. Pas op dat moment begon de mogelijke impact tot ons door te dringen. Daarna hebben wij het crisisteam opgezet. Dit team bestond uit ons functioneel beheer en informatiemanagementteam, manager bedrijfsvoering, privacy officer, communicatieadviseur én directeur-bestuurder. De communicatie met de IT-partij en de gebruikersgroep kwam vanaf dat moment pas echt op gang. Vanuit het crisisteam is er twee dagen lang intern gecommuniceerd dat er een grote verstoring was, het was alleen nog niet duidelijk of wij geraakt waren. Pas na anderhalve dag zijn we huurders, woningeigenaren, leveranciers en relaties gaan informeren.”
Reactie uit de organisatie
Vanuit de organisatie werd er initieel met wat onbegrip en ongeduld op de situatie gereageerd. “Onze medewerkers vonden de verstoring vooral vervelend, want ze konden niet werken,” legt Jacoline uit. “Die sfeer veranderde op het moment dat we dinsdagmiddag een informatiemoment hebben gehouden voor het hele personeel, waarin we duidelijk hebben gemaakt dat het om een hack ging. Die openheid over de hack intern zorgde direct voor veel begrip. Ook is toen een melding bij de Autoriteit Persoonsgegevens gemaakt.”
Eisen van de hackers
De hackers hadden vanaf het begin inzicht in de data van een aantal woningcorporaties, vertelt Jacoline. “Er startte na een aantal dagen een onderhandelingsproces vanuit de hackers om oneigenlijk gebruik – het plaatsen van de gegevens op het darkweb – te voorkomen. De hackers hebben uiteindelijk een deel van de data online gezet om de onderhandelingen naar hun hand te zetten en te laten zien dat ze het meenden. Toen de groep doorhad dat de corporaties niet meegingen in hun eisen, plaatsten zij de complete datadump op het darkweb. Gelukkig is het klantinformatiesysteem van QuaWonen, waar ons volledige huurdersbestand in staat, niet geraakt. De gegevens die zijn verspreid, zijn helaas afkomstig uit andere mappen – zoals een deel van de netwerkschijf waar elke afdeling nog documenten opgeslagen had – die wel ingezien konden worden.”
Professionele criminele organisatie
Het contact met de hackers had QuaWonen samen met de andere getroffen corporaties uitbesteed aan het Incident Respons Team van de hostingpartij, gaat Wendy verder: “Een snelle reactie is belangrijk en wij hebben als corporatie natuurlijk ook geen verstand van dit soort zaken. Zo bleek het bijvoorbeeld heel normaal te zijn om twee procent van de jaaromzet te vragen als losgeld. Daarbij viel het op dat je echt met een professionele organisatie te maken hebt. Wanneer je bijvoorbeeld wél afkoopt – wat wij uiteindelijk niet hebben gedaan – krijg je hulp om je data weer terug te krijgen, zelfs met ondersteuning van een helpdesk. Je hebt dus niet te maken met individuen, maar met een ‘professioneel’ crimineel bedrijf.”
Basis van de bedrijfsvoering
QuaWonen mag in het kader van het nog steeds lopende onderzoek niet alles vertellen over het ontstaan van de hack. “Maar wat wel duidelijk is, is dat het allemaal begon met een phishingmail,” vertelt Jacoline. “Dat laat meteen het belang van awareness en beveiliging zien, want één klik kan al een proces in gang zetten wat eindigt in een hack. Wij merkten dat thema’s als digitale vaardigheid en veiligheid onvoldoende prioriteit hadden. We waren meer bezig met in het oog springende activiteiten zoals woonruimteverdeling, onderhoud, leefbaarheid en ontwikkeling. Deze ervaring moet ons leren dat al die activiteiten pas goed uitgevoerd kunnen worden als de basis van de bedrijfsvoering op orde is. De kans op inbreken is namelijk altijd aanwezig. Het is dan zaak dat wanneer de voordeur bezwijkt, criminelen niet verder komen dan de deurmat en er maar weinig te halen is en gegevens goed opgeborgen zijn.”
In de lead blijven
Op de vraag wat bijna een jaar later de belangrijkste geleerde lessen zijn voor QuaWonen, vertelt Wendy dat het essentieel is dat je als organisatie altijd in de lead blijft: “Je besteedt zaken uit omdat je bepaalde kennis niet hebt, maar dat moet je niet verslappen. Dat betekent dat je pentesten en audits blijft uitvoeren, de benchmark doorloopt en in gesprek moet blijven met partners. Daarnaast hebben we ook verschillende technische toepassingen toegevoegd, zoals het continu scannen van onze devices via een SOC-SIEM. Deze software controleert ons applicatielandschap en heeft daar een responsteam op zitten. Zo kunnen we nog sneller reageren bij een oneffenheid in ons landschap en een eventueel kwaad in de kiem smoren.”
Dataminimalisatie
“Daarnaast passen we dataminimalisatie toe om ervoor te zorgen dat er bij ons zo min mogelijk te halen valt,” vult Jacoline aan. “Bijvoorbeeld dat we alleen data bewaren die we mogen bewaren op de plek waar we het moeten bewaren en voor de juiste termijn. Een voorbeeld zijn de handtekeningen van onze medewerkers. Die worden gescand, gestuurd naar de juiste persoon en vervolgens gearchiveerd. Maar dat betekent dat die handtekening op verschillende plekken staat: van in- en outboxen, bureaubladen tot en met op papier. We kiezen daarom bewust voor dataminimalisatie, waardoor er in het geval van een eventuele hack zo min mogelijk te halen valt.”
Solide fundering
Terugvallen in oude gewoonten is iets waarvoor continu gewaakt moet worden, vertelt Jacoline: “De hele organisatie moet met informatiebeveiliging en privacy aan de slag. Dat vraagt om samenwerking met de controller, communicatie én alle afdelingen, en dat heeft tijd nodig. En om support van het management door dit ook echt serieus te nemen. Dat doe je door het onderwerp steeds hoog op de agenda te zetten en in ieder jaarplan voorbij te laten komen. Je kunt immers mooie doelen stellen rondom verduurzaming, leefbaarheid, beschikbaarheid en betaalbaarheid; zonder solide bedrijfsvoering kun je niets. Dat moet de fundering zijn voor alle andere doelen.”
Luchtig
Het is daarbij wel zaak om bewustwording niet te zwaar te maken. “De mens blijft de zwakste schakel en een fout zit in een klein hoekje,” zegt Wendy. “Denk aan het klikken op een foute link, maar het niet vergrendelen van een scherm als je wegloopt kan ook gevaarlijk zijn. Blijf elkaar op een luchtige manier aanspreken, bijvoorbeeld door iemand – vanaf zijn of haar werkplek – een mailtje te sturen met ‘oeps, nu krijgen we morgen een traktatie’. Schaam je niet dat het bij jou ook gebeurt, maar praat erover zodat je van elkaar leert.”
Lessen delen
Vanuit die gedachte wil QuaWonen haar geleerde lessen delen met de sector door openhartig dit verhaal te delen via CorporatieGids Magazine, sluit Wendy af: “Mensen denken vaak ‘dit overkomt mij niet’, maar wij kunnen nu zeggen dat het ons ook is overkomen. Wat we mee zouden willen geven? Kijk heel reëel naar je eigen omgeving, door de ogen van kwaadwillenden. Hoe makkelijk komen ze door de voordeur en als ze binnen zijn, hoe ver kunnen ze dan komen? Limiteer het gevaar zoveel mogelijk en focus op bewustwording. Dat zorgt uiteindelijk voor een goede fundering die onmisbaar is. De hacker ontwikkelt zich immers continu en een betere beveiliging wordt pas gebouwd als ze door de oude heen gebroken zijn. Daarnaast nodigen we corporaties ook van harte uit met ons contact op te nemen om verder te praten over wat wij geleerd hebben en zouden adviseren. Door informatie te delen staan we als sector uiteindelijk een stuk sterker. Want het is geen kwestie van of, maar wanneer je als organisatie hackdoelwit wordt.”
Bron: CorporatieGids Magazine, Foto: Jan van der Ploeg
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
