'Je hackt toch geen bibliotheek?'

‘In de kerstvakantie was ik een weekend in Antwerpen en besloot het prachtige museum Plantin Moretus te bezoeken. In mijn portemonnee zit nauwelijks nog cashgeld, want overal kan ik met mijn telefoon, smartwatch of bankkaart betalen. Groot was mijn verbazing toen ik las dat ik het museum alleen kon binnenkomen als ik cash de toegang betaalde. Wat bleek, de gemeente Antwerpen was begin december slachtoffer geworden van een enorme ransomware aanval en alle gemeentelijke diensten zijn getroffen. En ook de bibliotheek werd hierin meegesleurd.

De hack had de vreemdste gevolgen. Van het niet kunnen verlenen van vergunningen, het niet kunnen reserveren van tickets, tot het niet kunnen uitschrijven van parkeerboetes. Miljoenen zal het kosten, ‘meer dan de kosten van de coronacrisis en de opvang van Oekraïense vluchtelingen’, verwacht Koen Kennis, schepen van Financiën en Mobiliteit. Ook de bibliotheek is een gemeentelijke dienst en zij konden lang geen boeken uitlenen. Op het moment van schrijven zijn nog steeds niet alle systemen functioneel en kampt de bibliotheek nog steeds met beperkingen.

Pijnlijke gevolgen

Onmiddellijk moest ik denken aan de ellende die de bibliotheek Rotterdam heeft moeten ondervinden door een ransomware-aanval een maand eerder. De bibliotheek was ruim een week uit de running, het uitleensysteem lag plat en medewerkers maakten overuren om uit te zoeken hoe groot de schade was. Zelf heb ik een hack ondervonden toen Probiblio ooit slachtoffer werd van een aanval en iedereen de opdracht kreeg naar huis te gaan. Er kon niet meer gewerkt worden. De volgende dag mocht iedereen terugkomen en moesten de mensen met een laptop eerst langs de afdeling automatisering om te controleren of er nog een restant van het virus aanwezig was. Met een recente back-up kon toen het systeem weer werkend gekregen worden, maar reken maar dat het heel wat beroerder had kunnen aflopen.

Een bibliotheek hacken? Ja, júíst!

Tijdens de Privacy in het IDO-trainingen hebben we het regelmatig over dit soort aanvallen. Ik merk dan vaak grote verontwaardiging over het feit dat hackers een bibliotheek aanvallen. Wat valt er bij ons nou te halen? We zijn de huiskamer van de samenleving en doen goed werk voor elke inwoner, die val je toch niet aan? “Waarom niet?” is dan steevast mijn wedervraag. Waarom zou de bibliotheek geen interessant doelwit zijn? Hebben wij dan geen kapitaal dat interessant is voor een hacker?

Zeker wel. Het kapitaal van elk bedrijf of organisatie zijn de persoonsgegevens, gevoelige bedrijfsgegevens en andere data waarmee bedrijven te chanteren zijn. Of wat denk je van de gederfde inkomens omdat betalingsverkeer niet meer mogelijk is. Processen zijn zo geautomatiseerd en afhankelijk van computers dat het personeel zijn werk niet meer kan doen en de bedrijfskritieke systemen niet meer werken. En dan de imagoschade die je oploopt, zeker als blijkt dat je de beveiliging niet op orde had en je slecht voorbereid was. “Dan zal het met de rest van het bedrijf vast ook niet goed geregeld zijn,” zullen veel mensen denken. En gezien de reacties op de hack in Rotterdam kun je merken dat de gemiddelde Nederlander geen hoge pet op heeft van de beveiliging van bibliotheken en daarbij vol vooroordelen zit.

Beperken van de schade

De schade en impact blijft niet beperkt tot jouw bibliotheek. Systemen zijn tegenwoordig zo met elkaar verstrengeld dat ook andere organisaties de gevolgen van jouw hack ervaren en actie moeten ondernemen. Denk bijvoorbeeld aan de koppeling van systemen met de Koninklijke Bibliotheek. Ook daar was het na de hack bij bibliotheek Rotterdam gelijk code rood.

Komt zo’n geslaagde ransomware aanval nou vaak voor bij bibliotheken? We kunnen niet zeker zeggen om hoeveel het gaat. Bedrijven hangen het niet graag aan de grote klok. Uit schaamte of omdat de onderhandelingen met de daders vaak een schimmig spel is. Betaal je wel of geen losgeld? Had je je back-ups nou wel of niet goed voor elkaar? Zijn er wel of geen persoonsgegevens gestolen? Je wil hackers niet wijzer maken dan ze al zijn. Want als je losgeld betaald hebt, blijk je dus chantabel en een interessante prooi om nog eens bij langs te gaan.

Meer achtergrondinformatie over ransomware.

Clickbait – pas op!

We moeten dus af van de gedachte dat het ons bibliotheken niet zal overkomen omdat we niet interessant zijn. Aanvallers kijken niet naar wat of wie je bent, en of je een kleine of sympathiek organisatie bent. Hackprocessen worden vaak automatisch gelanceerd en slecht beveiligde systemen worden automatisch gedetecteerd en geïnfecteerd. Een mailtje met een besmet bestand wordt naar een groot aantal adressen gestuurd in de hoop dat er een paar mensen op klikken. En als daar toevallig een bibliotheek tussen zit, daar maalt een hacker niet om. Dat maakt jouw organisatie kwetsbaar. Een goede voorbereiding op dit soort rampen is van essentieel belang, want de kans dat het je een keer overkomt is groot. Daarbij gaat het niet dat je zo’n aanval kunt vermijden, maar veel meer hoe snel je weer overeind kunt krabbelen.

Onlangs werd het Novacollege in Haarlem gehackt en zij gaven een uitzonderlijk en open inkijkje bij wat er komt kijken na een cyberaanval (account aanmaken is nodig).’