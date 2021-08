Diemer Kransen: ‘Denk nooit dat je het goed op orde hebt. Want dat is niet zo.’ Beeld Guus Dubbelman / de Volkskrant

Zul je net zien. De directeur van de Veiligheidsregio Noord- en Oost-Gelderland die belast is met de veiligheid bij een grote brand of dijkdoorbraak, belt op zondag 13 september 2020 de minister van Justitie en Veiligheid om te zeggen dat er iets goed mis is in zijn eigen organisatie. Een uitslaande brand in de systemen van de Veiligheidsregio. Tweeduizend man personeel, 58 brandweerposten, 22 burgemeesters en 1 miljoen inwoners lopen gevaar.

Directeur Diemer Kransen (54) is niet snel van de leg. De explosie in 2014 bij Shell in Moerdijk, wateroverlast, grote branden; hij maakte het allemaal mee. Maar dat weekend van 12 en 13 september krijgt hij te maken met een nieuw soort crisis. ‘Meestal is het snel handelen. Knal, blussen en weer weg.’ Nu niet. Een hack is andere koek. Met weinig informatie moet hij beslissingen nemen. Hij doet er een belangrijk inzicht op. ‘Denk nooit dat je het goed op orde hebt. Want dat is niet zo.’

Terug naar die zaterdag, september 2020. Het begint met een telefoontje van het hoofd ict. ‘Haperingen in het systeem.’ De brandweerwagens die uitrijden krijgen niet de adressen van hun bestemming door. Later die middag komen mailtjes niet aan of met grote vertraging. Als de problemen met het systeem in de avond nog voortduren, ontstaat de indruk dat het behoorlijk ernstig is. Zondagochtend pakt hij de auto om over de A1 naar Apeldoorn te rijden, voor een crisisvergadering om 10 uur op het hoofdkantoor.

Specialisten van KPN, Fox-IT en het Nationaal Cyber Security Center arriveren. Hij dacht aan een interstatelijke hack. Spionage of sabotage. Kransen is ook verantwoordelijk voor informatiebeveiliging bij alle veiligheidsregio’s in Nederland. ‘Misschien zijn ze via mij binnengekomen, veronderstelde ik, en hebben ze in de systemen gekeken en ze daarna platgegooid. Noord-Koreanen, Russen of Chinezen.’

De veiligheidsregio houdt bij wat de belangrijkste risico’s zijn in een regio en wat de operationele slagkracht is. Zoals bij de opslag van chemische stoffen, hoogwater, een uitslaande brand op de Veluwe. Kransen moet deze zondagochtend besluiten wat te doen. ‘We wisten niet welke documenten weg waren, waar ze bij konden, we wisten niet of andere veiligheidsregio’s ook waren geïnfecteerd. We wisten niet of de minister in een moeilijk pakket zou komen met vragen over de hack. We hadden geen idee hoever de daders waren gekomen.’ Hij beslist: ‘Alle stekkers eruit.’ De vijf servers waarop de organisatie draait, worden afgekoppeld en gaan naar Fox-IT in Delft.

Kransen formuleert een tweetal uitgangspunten. Zorgvuldigheid moet boven snelheid gaan. ‘We zaten midden in de coronacrisis, ik kon me niet veroorloven enig risico te nemen.’ En altijd eerst de eigen mensen informeren, dan pas de rest. ‘Niet meer op je laptop, ga van het systeem af. We weten niet of er in de privésystemen is gekeken.’ Daarna stuurt hij een mail naar de 22 burgermeesters van alle veiligheidsregio’s: we zijn gehackt, er is geen gevaar voor onze medewerkers. Telefoontje naar minister Ferd Grapperhaus: we houden u op de hoogte. Daarna de pers. ‘We hebben meteen het frame gebruikt: wel getroffen, geen gevaar voor de dienstverlening.’

Maar dat wist u toen toch helemaal niet?

‘De auto’s van de brandweer gingen er gewoon uit. We konden de adressen waar ze naartoe moesten telefonisch doorgeven. Onze medewerkers hebben we middels een gigantische belronde bereikt. Stop met alles, was onze boodschap. En dat hielp. We moesten toen nog onderzoeken hoever de infectie was gekomen. Van direct gevaar was geen sprake meer.’

’s Avonds vindt iemand een melding in het Engels: betalen, anders krijg je de systemen niet terug. ‘80.000 dollar, wat een lachertje is op een omzet van 60 miljoen euro. Toen wisten we dat de hackers geen idee hadden wie ze te pakken hadden.’ Een dag later doet hij aangifte bij de politie. ‘Hou ze maar aan het lijntje, zeiden die. Van betalen kon geen sprake zijn.’ Geen zorgen meer over spionage. Een ‘licht amateuristische’ groep hackers heeft op het darkweb gijzelsoftware gekocht en gewacht op een zwakke plek. ‘Die malware heeft waarschijnlijk weken voor de poorten gelegen, zoals de Spanjaarden voor de vesten.’

Kransen neemt een onorthodox besluit: de ict’ers krijgen als eerste het woord bij het dagelijkse crisisoverleg. ‘Zij hebben de kennis, dus moet je niet schromen ze belangrijk te maken. Mijn vraag aan hen: wat hebben jullie nodig?’ Hij laat ‘het beste eten’ komen, een uitgebreid buffet met de lekkerste broodjes. Ze slapen in goede hotels. ‘Ik heb ze compleet in de watten gelegd. Ze buffelden maar door.’ Na anderhalve week is het systeem enigszins opgebouwd en krijgen de eerste mensen hun laptops weer terug. Nog eens drie weken later hebben alle werknemers een schone laptop.

Wie waren de hackers?

‘Dat weten we niet precies. De politie heeft ontdekt dat de gijzelsoftware op het darkweb is gekocht door een Oost-Europese criminele organisatie. Die hebben het lukraak uitgezet. De aanvalsservers analyseren om bij de daders te komen, is ingewikkeld. Dan staat ergens in Roemenië bij een geitenfokker een server te draaien waar eens in de maand iemand langskomt om wat geld te geven. Erg professioneel was het in elk geval niet. Ze hadden geen idee wie ze te pakken hadden.’

Hoe kwamen ze binnen?

‘Een van onze beste mensen wilde in het weekend vanuit huis iemand op een brandweerpost helpen. Hij was daarmee bezig toen de deurbel ging. Even een pakketje aannemen. Er stond een poort open en hup, binnen waren ze.’

U bent gewend aan crises, niet aan deze crisis. Wat heeft u geleerd?

‘Dat je besluiten moet nemen met halve informatie. Het is cruciaal om je uitgangspunten scherp te hebben: wat is er aan de hand, wat zou je moeten doen, en wat gaan we besluiten? Dat gaf telkens een nieuw beeld.’

Dat klinkt vanzelfsprekend.

‘We stappen direct in de crisisstructuur, dat zijn we gewend. KPN en Fox-IT hebben daarvan geleerd. Die hebben hun beleid aangepast nadat ze zagen hoe wij met de hack omgingen.’

Wat leerde u nog meer?

‘Wees eerlijk en open. Ik heb tegen voorzitter Ton Heerts gezegd: ‘We zijn geraakt, ik kan nog niet vertellen wat het betekent maar het is goed mis.’ Dat helpt, hou geen lulverhaal. Hetzelfde geldt voor de eigen werknemers, de minister en de pers. Ga niet verzwijgen dat je gehackt bent.’

U zei het contract met twee IT-leveranciers op. Waarom?

‘Zij wilden dat ik eerst papieren ging tekenen dat zij niet juridisch verantwoordelijk waren voor de hack. Die heb ik er meteen uitgegooid. Dan kom je niet om te helpen. Ik kan iedereen aanraden: praat eens met je leveranciers of ze bij een hack ook echt komen helpen.’

Jullie stapten af van WhatsApp en gingen via Signal communiceren.

‘We konden WhatsApp niet meer vertrouwen. Signal heeft betere beveiliging – dat hadden we al van het ministerie doorgekregen. We merkten dat er informatie op WhatsApp rondging waarop we niet zaten te wachten. En er waren haperingen.’

Als Signal beter en veiliger is, waarom gebruikten jullie dat dan niet eerder?

‘Uit gewoonte. Tijdens de hack bleek dat we heel veel dingen uit gewoonte doen en pas als het misgaat wordt duidelijk dat dat niet zo handig is. Voorbeeld: mensen die, goedbedoeld, programma’s gebruiken die totaal verstorend werken in het systeem. Tekenprogramma’s, ontwikkelprogramma’s. Werknemers die op plekken met openbare wifi zware bestanden naar elkaar sturen. Met de beste bedoelingen gebeuren verkeerde dingen.’

Hoe goed was de beveiliging?

‘Uit testen bleek telkens dat we het redelijk goed voor elkaar hadden. We stonden ergens in de middenmoot van de veiligheidsregio’s. De kwetsbaarheid zat bij hulpvaardig personeel dat een fout maakt. En de mailserver was niet goed beschermd. We hebben na de hack alles aangescherpt: bewustzijn, multi-factor authenticatie. We hadden deze hack daarvoor nodig.’

Waarom?

‘Het gaat toch eens gebeuren en je kunt er nauwelijks op voorbereid zijn. Zet op maandagochtend maar eens je servers een paar uur uit. Moet je kijken wat er dan gebeurt – je wordt helemaal gek. Bijna 2.000 mensen gaan naar de helpdesk bellen, elkaar, en raken in paniek. Nog zoiets: we hadden ergens oude software draaien waar niemand iets van begreep. Uiteindelijk was er één persoon bij KPN die wist hoe het werkte.’

Waarom is het zo moeilijk om vooraf maatregelen te nemen?

‘Mensen wanen zich veilig en het gevaar is niet tastbaar. Er is geen lik op stuk beleid bij onachtzaamheid. Pas later blijken de consequenties.’

Jullie betaalden niet en konden alle systemen opschonen. Is dat voor iedereen een optie?

‘Voor ons als veiligheidsregio was het helder: we kunnen geen overeenkomsten sluiten met criminelen. Maar als ik een zaak heb met tien man en ik moet 10.000 euro betalen om mijn bedrijf overeind te houden of 100.000 euro om de ict te herstellen, dan is het een ander vraagstuk. Daar heb ik geen moreel oordeel over.’

Brandweer en politie zijn er voor fysieke veiligheid, niet voor de digitale. Is dat terecht?

‘Digitale veiligheid wordt veel te veel aan de markt overgelaten. Ik vind dat wij naar een groot publiek-privaat platform moeten, waarbij partijen als KPN en Fox in gemeenschappelijkheid samenwerken met overheidsorganisaties om een Star Wars-paraplu over Nederland te leggen. Zo moeten we de economie beschermen. Ik ben warm pleitbezorger van een ministerie voor Informatieveiligheid. Zoals we aan dijkbewaking doen, moeten we aan digitale dijkbewaking gaan doen.’

Bij wie moet de macht liggen?

‘Bedrijfsleven en overheden samen. We zijn te naïef geweest in het idee dat iedereen in onze economie de beste bedoelingen heeft. Die tijd is voorbij. De helft van de Rotterdamse haven is Chinees bezit, dat is echt niet alleen omdat ze graag met containers willen schuiven. Je kunt digitale veiligheid niet alleen maar bij de brandweer en de politie onderbrengen. Wij komen pas in actie als er iets gebeurt. Je moet veel eerder – in regelgeving, in wetgeving – de data beschermen.’

Wat moet zo’n nationaal platform doen?

‘Normen voor de techniek stellen en het bewustzijn omhoog brengen. De meeste bedrijven die denken dat ze niet zijn gehackt, zijn allang gehackt. Er is een enorme naïviteit. De helft van de klanten van KPN denkt dat ze het qua beveiliging prima op orde hebben. Wat een naïviteit! Ik dacht ook dat ik het prima op orde had. Nou, mooi niet.’