Hm. Prima dat je de leverancier MEDE-aansprakelijk stelt voor het eerste stukje: het lekken van de credentials.
Maar wie staat die partij toe om geen MFA op die VPN te hebben? Wie staat het ze toe om via die VPN software op een machine te kunnen installeren? wie doet de firewalls, en wie ziet die 180 GB niet door de firewalls schuiven?

Wie verzorgt de toegang tot al die data, en dat niet zomaar elk service-account daar bij kan?

Je leert niet van je fouten als je blijft vertellen dat "het gebeurt" in plaats van "dat je het deed."
"Ja maar hij" is iets dat we onze kinderen op de basisschool al afleren.

wethouder Kristof Van Dingenen is met Reputatie bezig, maar niet met Security.

Had dat externe bedrijf dan ook z'n 2fa laten lekken? Of was er geen 2fa?
Was het nodig dat zo'n extern bedrijf bij gevoelige data van gemeente kan? Met alleen een VPN-account? Of ontbrak er intern ook nog wat aan beveiliging?


Natuurlijk moet zo'n extern bedrijf ook zorgvuldig zijn maar fouten worden nu eenmaal gemaakt. Wachtwoorden lekken regelamtig uit, daar zal je rekening mee moeten houden. Zo'n bedrijf moet ook maatregelen treffen zoals het gebruik van een password manager (en aandringen op mfa) en anti-virusmaatregelen. Dat gaat echter nog steeds niet voorkomen dat wachtwoorden uitlekken.

Ik weet niet wat er aan de hand is en hoeveel de gemeente goed/fout heeft gedaan en hoeveel dat bedrijf. Iedereen kan pech hebben en ook met de meest geavanceerde beveiliging glipt er af en toe iets door heen. Maar omdat het nieuwsbericht alleen een uitgelekt wachtwoord noemt suggereert dit dat er bij die gemeente ook nog wel een hoop te verbeteren is.

Laat het overigens een waarschuwing zijn dat een VPN eigenlijk geen beveiliginsmiddel is. Het is een hulpmiddel dat je kan gebruiken als beveiligingsmiddel maar dat moet je wel zelf inrichten. Je kan het ook "verkeerd" inrichten en de boel minder veilig te maken.

Een VPN (van dit soort) is als een deur.
Een deur is beter dan een open gat.
Een deur met een slot is beter dan een deur zonder slot.
Een blinde muur is beter dan een deur met een slot.

Een slecht ingerichte VPN geeft extra ingangen in je netwerk.

Als je een VPN gebruikt om langs je enige beveiligingslaag te gaan dan kun je misschien beter geen VPN gebruiken.
Als je nog zo'n netwerk hebt met alleen een dikke kasteelmuur aan de buitenkant dan heb je sowieso al 20 jaar zitten slapen en is er vast nog veel meer mis met je netwerk (let op: dit is ongeveer de standaard bij kleinere organisaties).

Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:

1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
3. "gelijkwaardige leveranciers". Er zijn dus meer leveranciers die via een VPN onderhoud verrichten voor deze gemeente met een soortgelijke beveiliging?
4. Wat doet de ICT afdeling van de gemeente zelf dan nog?
5. Waarom waren deze VPN verbindingen 24/7 beschikbaar? Misschien nadenken over een systeem waarbij inbellen op afroep gebeurt, met toezicht van de eigen ICT-ers? En meteen na afloop weer dichtzetten.
6. Of bedoelt de wethouder misschien een leverancier van SaaS oplossingen ???? Maar ook dan is het vreemd dat het hele interne netwerk, of een cruciaal deel daarvan, open ligt voor de dieven.

14.000 inwoners is echt geen grote gemeente.
Dus geen grote ambtelijke organisatie . Dus geen groot / full time ICT team.


Remote monitoring is ook een dienst ...

Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.

Dus...

Vragen stellen mag bljkbaar niet meer.

Jij weet wat daar aan de hand is?
Licht eens een tipje van de sluier op dan.
Laat ons ook eens lachen of onder de indruk zijn.

Natuurlijk, maar vragen met de implicatie dat het zo simpel te voorkomen was als je (al) kunt afleiden waarom het niet zo simpel is maakt je inderdaad een stuurscholier aan de wal.


Specifiek daar niet .

Maar met de basale gegevens uit het artikel - en wel wat algemene kennis van organisaties - is er - precies zoals ik schreef - heel plausibel te speculeren waarom een hoop van jouw "simpele suggestieve vragen" heel makkelijk af te serveren zijn.

Een gemeente van 14.000 inwoners heeft geen IT afdeling van formaat ING bank .
En zal dus een hoop uitbesteed (moeten) hebben en niet de capaciteit en de mogelijkheden om die leveranciers permanent op de vingers te kijken.


Als je niet kunt verzinnen dat "gemeente met 14.000 inwoners" een vrij bescheiden ambtelijk ondersteuningsapparaat zal hebben waarmee een hoop van je suggestieve vragen beantwoord zijn zit je niet op de plek om te lachen , maar om het lachtertje te zijn.

Oeps:

https://foxandfish.be/klantverhalen/gemeente-herselt/

Uit een artikel van de computabel (be) van 2018:

https://www.computable.be/artikel/achtergrond/vertical-it/6430664/5679939/eilandjes-met-te-weinig-geld.html


Bart Bosmans werkt al vijf jaar als it-verantwoordelijke van de kleine Kempense gemeente Herselt (net geen vijftienduizend inwoners en een it-budget van ongeveer honderdduizend euro per jaar). ‘Anderhalf jaar geleden zijn we in een regiowerking gestapt waarin ook buurtgemeenten als onder meer Hulshout, Westerlo en Laakdal zitten’, vertelt hij. ‘We wisselen kennis en ervaring uit en als we grote projecten opzetten, kunnen we bij elkaar te rade gaan. Er is dus wel een vorm van samenwerking, maar nog beperkt. Sommige grotere steden en gemeenten gaan daar al veel verder in. Lokeren, Beveren en Sint-Niklaas bijvoorbeeld hebben samen een datacenter opgezet en wisselen zelfs personeel uit. Het is ook niet altijd een kwestie van niet willen of niet kunnen. Vaak spelen er ook politieke motieven en dan wordt het al snel ingewikkeld, natuurlijk.’

Bij zijn aantreden als it-manager bestond de taak van Bosmans vooral uit het updaten en moderniseren van de systemen, vertelt hij. ‘De infrastructuur was verouderd en niet optimaal onderhouden. Van virtualisatie was bijvoorbeeld geen sprake, we hadden geen eigen Exchange-server, onze internetlijn verliep ook langs een externe leverancier. Dat was een zeer trage verbinding waarvoor we 1300 euro per kwartaal betaalden. Ondertussen is alles stap voor stap gevirtualiseerd en ontdubbeld en hebben we een eigen glasvezelverbinding, met vdsl-back-up. Ook onze firewall is nu helemaal gemoderniseerd en beheren we zelf.’


Cloud en big data komen er aan

Maar dé grote revolutie van de laatste jaren noemt Bosmans toch de cloud. ‘Wij hebben nu verschillende toepassingen van de milieudienst, de bouwdienst en de groendienst in de cloud draaien en de rest zal volgen’, zegt hij stellig. ‘In vergelijking met de steden lopen veel gemeenten nog wat achter omdat we kleinere budgetten hebben, maar de trend is overduidelijk. Binnen tien jaar is alles cloud en virtueel geworden. Dan heeft geen enkele gemeente nog eigen servers staan en is alles SaaS, IaaS en PaaS en andere aaS.’

Einde citaat.


Voor de duidelijkheid: ik reageerde op het vage persbericht van de gemeente. Misschien had ik expliciet het woordje sarcame moeten gebruiken,. maar ik dacht dat dat er al vanaf droop.

Natuurlijk is het niet allemaal zo simpel.

Maar door samenwerkingen, waar dit soort kleine gemeenten vaak toe gedwongen worden om te overleven, is de slagkracht vaak groter dan je denkt. Als ze kunnen meeliften op een grote buur, dan groeit de capaciteit snel.
In hun uppie zullen ze ergens rond (of onder) de 10 ICT-ers zitten. Dat is niet veel, maar doenlijk. Daar deden wij het in het verleden ook mee. (gemeente < 25.000 inwoners, een 10-tal jaren geleden)
Je hebt dan geen specialisten, maar all-rounders met detail kennis van veel onderwerpen. Multi-inzetbaar.
En blijkbaar maken ze een verschuiving naar SaaS. Mogelijk zijn ze daar na 5 jaar al ver gevorderd mee.

:-)

Euh, Herselt een stad noemen is ook een overstatement. Ik ben van daar en we hebben een kerk, gemeentehuis, cafee n een supermarkt en dat is het. Het centrum is hooguit 4 straten groot. Dus een stad... Nee, niet echt.

Een korte toelichting:
Fox&Fish werd enkel ingeschakeld voor bewustmakingstraining van het personeel van de gemeente Herselt. Bij dit incident waren geen medewerkers betrokken, dus dit staat geheel los van Fox&Fish.

Dit is een klassiek cybersecurity incident waar men het de cybercriminal niet al te moeilijk heeft gemaakt.

Ik vind dat de gemeente Herselt hier toch schuld treft. In dit specifiek geval van VPN-toegang is sterke authenticatie écht een must, enkel en alleen een wachtwoord is onvoldoende. Een excuus zoals 'dat maakt het voor de partners te moeilijk' is wat flauw. Terwijl de oplossing echt niet veel moeite kost, en dat dankzij SaaS oplossingen.
Onlangs heb ik samen met een collega een webinar gegeven over hoe je een VPN instrumenteert voor multi-factor authentication. Zonder veel blabla, met een focus op 'how to'. De replay vind je hier: https://youtu.be/zx2BixveWxk
- Peter Volckaert