CorporatieGids Magazine

MAART 2023 I 11 Het interview met het duo vindt plaats medio januari, bijna tien maanden na de hackaanval. Ondanks de verstreken tijd is de corporatie uit Bergambacht nog steeds niet helemaal modus operandi, begint Wendy het gesprek: “Er zijn nog verschillende open eindjes die we aan het oplossen zijn, zoals de overstap naar een nieuwe IT-outsourcingspartij. We waren na de aanval begonnen met het herstel bij onze oude partner, maar we merkten dat het vertrouwen weg was. Momenteel zijn we dan ook nog druk bezig met het oplossen van de laatste losse eindjes.” Slecht bereikbaar Terug naar maart 2022: QuaWonen had haar systemen en gegevens – net als de zeven andere woningcorporaties die bij de hack betrokken waren – ondergebracht bij een externe hostingspartij. Niet vanuit de externe hostingspartij, maar vanuit de gebruikersgroep werd QuaWonen voor het eerst op de hoogste gesteld van de hack, vertelt Jacoline: “De externe hostingspartij kwam er tijdens een controle- procedure achter op zondag 27 maart. Wij kwamen er de volgende dag achter toen we bericht ontvingen van de gebruikersgroep. Maar daarnaast merkten we direct dat ons systeem heel traag was en diverse applicaties slecht bereikbaar waren.” Geen paniek In de eerste momenten na de ontdekking heerste er geen paniek bij QuaWonen, blikt Wendy terug: “Wij informeerden direct de noodzakelijke functionarissen die in hoge staat van paraatheid schoten. Op dat moment hadden we nog geen idee van de omvang van de mogelijke hack bij onze hostingpartij. Het was namelijk nog niet duidelijk of wij überhaupt bij de getroffen bedrijven zaten. De organisatie is toen intern door de hostingpartij over ‘een grote verstoring’ geïnformeerd. Aan het eind van de dag communiceerden we aan collega’s dat er tussen 17:00 en 8:30 de volgende morgen geen gebruik gemaakt kon worden van onze digitale omgeving om de IT- partij de mogelijkheid te bieden om de verstoring op te lossen.” Crisisteam “De volgende dag – dinsdag 29 maart – bleek de digitale omgeving helemaal niet meer bereikbaar. Pas op dat moment begon de mogelijke impact tot ons door te dringen. Daarna hebben wij het crisisteam opgezet. Dit team bestond uit ons functioneel beheer en informatiemanagementteam, manager bedrijfsvoering, privacy officer, communicatieadviseur én directeur-bestuurder. De communicatie met de IT-partij en de gebruikersgroep kwam vanaf dat moment pas echt op gang. Vanuit het crisisteam is er twee dagen lang intern gecom- municeerd dat er een grote verstoring was, het was alleen nog niet duidelijk of wij geraakt waren. Pas na anderhalve dag zijn we huurders, woningeigenaren, leveranciers en relaties gaan informeren.” Reactie uit de organisatie Vanuit de organisatie werd er initieel met wat onbegrip en ongeduld op de situatie gereageerd. “Onze medewerkers vonden de verstoring vooral vervelend, want ze konden niet werken,” legt Jacoline uit. “Die sfeer veranderde op het moment dat we dinsdagmiddag een informatiemoment hebben gehouden voor het hele personeel, waarin we duidelijk hebben gemaakt dat het om een hack ging. Die openheid over de hack intern zorgde direct voor veel begrip. Ook is toen een melding bij de Autoriteit Persoonsgegevens gemaakt.” Eisen van de hackers De hackers hadden vanaf het begin inzicht in de data van een aantal woningcorporaties, vertelt Jacoline. “Er startte na een aantal dagen een onderhandelingsproces vanuit de hackers om oneigenlijk gebruik – het plaatsen van de gegevens op het darkweb – te voorkomen. De hackers hebben uiteindelijk een deel van de data online gezet om de onderhandelingen naar hun hand te zetten en te laten zien dat ze het meenden. Toen de groep doorhad dat de corporaties niet meegingen in hun eisen, plaatsten zij de complete datadump op het darkweb. Gelukkig is het klantinformatiesysteem van QuaWonen, waar ons volledige huurdersbestand in staat, niet geraakt. De gegevens die zijn verspreid, zijn helaas afkomstig uit andere mappen – zoals een deel van de netwerkschijf waar elke afdeling nog documenten opgeslagen had – die wel ingezien konden worden.” Professionele criminele organisatie Het contact met de hackers had QuaWonen samen met de andere getroffen corporaties uitbesteed aan het Incident Respons Team van de hostingpartij, gaat Wendy verder: “Een snelle reactie is belangrijk en wij hebben als corporatie natuurlijk ook geen verstand van dit soort zaken. Zo bleek het bijvoorbeeld heel normaal te zijn om twee procent van