Het zijn niet de uitdagingen die je als corporatiebestuurder hoopt tegen te komen: Nadenken over het al dan niet betalen van losgeld via Bitcoins aan criminelen, en over de hoogte daarvan. Over de mogelijkheid dat persoonlijke gegevens van je huurders, leveranciers en medewerkers op straat komen te liggen. Of worden gepubliceerd op iets dat het ´dark web´ heet. Een risico-inschatting van de gestolen data is nodig.
Voor de bestuurders en medewerkers van 8 corporaties was het vorig jaar opeens de realiteit. ´Ik heb weinig datums exact in mijn hoofd’, zegt Karo van Dongen, ‘maar 27 maart 2022 staat er nu in gegrift.´ Die dag krijgen de corporaties te horen dat ze zijn gehackt door een criminele organisatie (lees de feitelijke gebeurtenissen in het kader onderaan).
De volgende dag proberen de corporaties samen met hun externe ICT-servicebedrijf te achterhalen welke toepassingen ze nog kunnen gebruiken en welke niet. De 8 corporaties zoeken manieren om intern en met elkaar te communiceren. Bij de meeste kan dat in ieder geval niet via de mail. Chatten en videobellen via Teams lukt, whatsappen ook. Ook privé mailadressen worden noodgedwongen gebruikt om met elkaar te communiceren. De bestuurders hebben dagelijks overleg. ‘We besloten al snel om in dit traject samen op te trekken’, zegt Jessie Bekkers. ‘Samen uit, samen thuis. En daar hebben we veel profijt van gehad.’
Criminelen luisteren mee
De corporaties formeren intern een crisisteam. De situatie blijkt wezenlijk anders dan calamiteiten als een brand of een explosie. Van Dongen: ‘Bij Alwel hebben we bijvoorbeeld een crisis-app waarmee we tijdens een crisis of incident snel met elkaar kunnen communiceren en documenten delen. Maar ook dat instrument functioneerde door de hack niet.’
Communicatie is vanaf het begin essentieel. Bekkers: ‘Sommige medewerkers zijn uit het lood geslagen. Ze kunnen hun werk niet meer doen, huurders niet meer helpen en hun gegevens komen misschien op straat te liggen. We hebben hen elke dag geïnformeerd over de actuele stand van zaken. Wat kunnen we weer wel en wat nog niet. Huurders zijn angstig en vragen zich af of ook hun gegevens zijn gestolen. Begin april wisten we pas zeker of dit inderdaad het geval was. Waar dat zo was, hebben we dat meteen aan huurders en medewerkers gemeld.’
De corporaties hebben contact met de Autoriteit Persoonsgegevens over de analyse van de gestolen data: een van de verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Ook met de interne en externe toezichthouders vindt uiteraard communicatie plaats. De hack wordt al snel landelijk nieuws.
‘Daarom hebben we een extern communicatiebureau ingeschakeld’, zegt Tinka van Rood. ‘Dat was zeker in de fase waarin er nog onderhandelingen waren met de hackers belangrijk. Dan telt ieder woord. En corporaties hebben geen ervaring met woordvoeringszaken waarbij criminelen hun oren spitsen. Dat is echt een wereld die wij niet kennen.’
Ondertussen slagen de corporaties er grotendeels in om al snel weer alle primaire processen door te laten lopen: onderhoud, voorbereiden huurverhoging, betalen facturen van leveranciers en de salarissen van medewerkers. Bekkers: ‘Al ging het soms met horten en stoten. De eerste weken konden medewerkers niet in hun digitale agenda’s of in hun mail. Opzichters gingen weer met werkbonnen en pen en papier naar mutatie-onderhoud. Werkzaamheden werden bijgehouden in Excel of Word.’
De 3 bestuurders zijn onder de indruk van de flexibiliteit, snelheid en creativiteit waarmee hun medewerkers schakelden. Van Rood: ‘Vergeet ook niet dat we in maart vorig jaar volop hybride werkten door corona. Veel mensen zaten deels thuis en vrijwel alles verliep online. Na de cyberaanval waren we binnen een week weer met papier aan de slag. We gebruikten grote papieren agenda’s en schema’s, werkbonnen en verhuurformulieren.’
Weerbarstig herstelproces
Aanvankelijk verwachtte het ICT-bedrijf dat het 3 tot 5 weken zou duren om alles weer op orde te krijgen. Maar het herstelproces is weerbarstig en ingewikkeld. Uiteindelijk kost het maanden voordat alle ICT-systemen van de corporaties weer naar behoren werken. Dat had meerdere oorzaken. Een grote rol speelde dat veel corporaties stappen hebben moeten zetten in de ICT ontwikkeling die ze pas later hadden gepland. Zoals overstappen naar de cloud en Azure. Dat zijn eigenlijk mini-implementaties, die meer tijd kosten dan gewoon herstel in de oude toestand.
Herstel in de oude toestand was voor sommige corporaties geen reëel alternatief gezien de wensen op korte termijn en de veiligheidsrisico’s. Dit heeft soms vervelende gevolgen. Zo kon bij een discussie met een bewoner over een Zelf Aangebrachte Voorziening, niet achterhaald worden of daar al dan niet een vergunning voor was afgegeven. En in een ontbindingszaak van een huurovereenkomst in een deurwaarderstraject had een corporatie geen volledig dossier en werd de zaak daardoor aangehouden. En dat zijn slechts 2 voorbeelden.
Is een hack te voorkomen?
Op de vraag of een digitale hack te voorkomen is, reageren de 3 bestuurders eensluidend: dat is het niet. De technische voorzorgsmaatregelen waren bij de corporaties op orde, zeggen ze. Zo had Trivire vlak voor de aanval nog een Pentest laten doen. Een ethische hacker probeert het systeem dan te penetreren. Zonder succes. Laurentius kreeg nota bene een dag na de hack het positieve onderzoeksrapport van een dpia (data protection impact assessment). ‘Allemaal groene vinkjes’, zegt Bekkers. ‘Daar hadden we toen natuurlijk weinig aan.’ De bestuurders benadrukken dat corporaties dit soort technische voorzorgsmaatregelen wel moeten blijven nemen. Van Dongen: ‘Ook al bieden ze dus geen 100 procent zekerheid.’
Bewustwording bij alle medewerkers is volgens de bestuurders echter het allerbelangrijkst. Van Rood: ‘Het gaat niet alleen om harde, technische factoren, de zachte kant is minstens zo belangrijk. Iedereen binnen je organisatie moet zich bewust zijn van de risico’s op een digitale hack. Dat vraagt om intrinsieke motivatie en draagvlak. En bij twijfel IT-collega’s raadplegen.’ Van Dongen: ‘Er hoeft maar één iemand in je organisatie op een bijlage in een phishingmail te klikken en dit kan je overkomen. Dat kun je met alleen technische maatregelen niet voorkomen.’
In praktische zin adviseren de bestuurders andere corporaties om de contracten met de serviceprovider goed door te nemen. ‘Zijn die overeenkomsten actueel? Weet je precies wat wel en wat niet geregeld is?’, zegt Van Dongen. ‘Vergeet vervolgens niet dat je dit soort informatie niet alleen digitaal moet bewaren. Contracten, verzekeringspolissen, telefoonnummers: zorg ervoor dat ze ook op papier staan en ergens in een la liggen’, vervolgt Van Rood. Het is niet nodig om het hele primaire proces van de corporatie in een papieren archief op te slaan, benadrukken de bestuurders. Maar het is wel verstandig om een fysiek calamiteiten- en bedrijfscontinuïteitsplan te hebben als digitaal alles op slot zit.
Aparte aandacht verdient de vraag of corporaties wel of geen losgeld moeten betalen als ze slachtoffer worden van cybercriminaliteit. In hun evaluatie (zie kader) geven de getroffen corporaties daarvoor een afwegingskader. ‘Het zijn zware afwegingen tussen morele, principiële en praktische argumenten’, zegt Van Rood. ‘Niemand wil uiteraard volkshuisvestingsmidddelen inzetten voor criminele activiteiten, maar de financiële en immateriële schade voor je huurders, medewerkers en bedrijf kunnen enorm zijn. Daarom is het raadzaam om dat gesprek in alle rust met je Raad van Commissarissen te voeren, voordat er sprake is van een hack.’
De bestuurders zijn ervan overtuigd dat vroeg of laat elke corporatie met cybercriminaliteit te maken krijgt. De methodes van hackers worden steeds geavanceerder. Iedere hack zal ook weer anders zijn. Maar de ervaringen uit hun ‘hectische en ongewild leerzame periode’ delen deze bestuurders graag. ‘Wij waren gelukkig met zijn achten’, zegt Bekkers, ‘maar je zal als corporatie toch maar in je eentje gehackt worden.’
Wat gebeurde er?
Een serviceprovider ontdekt in het laatste weekend van maart 2022 dat een van zijn klanten is gehackt met een ransomware aanval. De domeinen van 8 corporaties zijn geraakt. De hackers hebben de toegang tot bestanden geblokkeerd en data versleuteld. Ze eisen losgeld in ruil voor het terugkrijgen en het niet lekken van data. De provider zet alle systemen uit en informeert de corporaties. Het is nog niet duidelijk wat er precies aan de hand is. De getroffen corporaties kunnen in ieder geval niet meer bij verschillende ICT-systemen, onder andere het primaire systeem, e-mail, DMS, CRM en officebestanden op de servers.
De provider en 2 corporaties zijn verzekerd tegen cybercrime. Op advies van de verzekeraar schakelt de provider een cybersecurityorganisatie in. Dit bedrijf zoekt contact met de daders en probeert te onderzoeken wat precies gebeurd is. Begin april blijkt dat de hackers data op het dark web gaan publiceren. De corporaties besluiten geen losgeld te betalen. Het cybersecuritybedrijf doet forensisch onderzoek: hoe zijn de hackers binnengekomen en wat hebben ze bereikt? De corporaties hebben al eerder besloten om een advocatenkantoor in te schakelen voor de juridische ondersteuning rond privacyvraagstukken en vragen over de aansprakelijkheid.
Het opnieuw opbouwen van alle ICT-systemen is weerbarstig en tijdrovend. De meeste corporaties kampen 9 maanden later nog met instabiliteit van systemen.
Eind mei 2023 is het rapport verschenen over de gang van zaken en geleerde lessen: Samen uit, samen thuis, Beknopte evaluatie van de digitale inbraak bij 8 corporaties. De betrokken corporaties zijn: Alwel, Brederode Wonen, Laurentius, l’escaut, Trivire, de Woningstichting, QuaWonen en Zayaz.
