STORY

Veiligheidsregio Noord en Oost Gelderland

Het klinkt als een ongeloofwaardig boek. Edwin Moraal (CISO bij VR NOG) was aan het vissen met zijn zoon. Op dat moment belde een collega: Je moet echt naar kantoor komen, er gebeuren heel erg vreemde dingen.

Snel werd duidelijk dat het niet ging om technische problemen. Het werd een leerzame periode. VNOG en Edwin hebben besloten heel transparant te zijn en hun ervaringen te delen, zodat andere daarvan kunnen leren en profiteren.

‘Het is in deze tijd ook niet de vraag of je gehackt gaat worden, maar wanneer dat gaat zijn. Het enige dat je kunt doen om dat zo lang mogelijk uit te stellen, is zorgen dat je de boel op orde hebt en continu ook update’, zegt Edwin Moraal.
‘En zorg voor bewustwording als het gaat om ict-veiligheid. Menselijk handelen is de grootste risicofactor. Wees je ervan bewust dat phishing mails tegenwoordig behoorlijk echt kunnen lijken. Opletten blijft essentieel voor iedereen in de organisatie, van schoonmaakster tot ceo.’

‘Op zaterdagmiddag 12 september wordt Edwin Moraal, CISO van Veiligheidsregio Noord- en Oost-Gelderland, gebeld door collega’s van de ict-afdeling. De mail synchroniseert niet en ze kunnen er op afstand niet bij. ‘We hebben de leverancier ingeschakeld en alle externe verbindingen afgesloten. Toen zij er ook niet bij konden, gingen de alarmbellen rinkelen. Ik vroeg of ze wel bij de back-up konden, die hebben ze uit voorzorg uitgeschakeld.’

‘DIT IS IN MIJN VAKGEBIED DE ERGSTE NACHTMERRIE WAARMEE JE TE MAKEN KUNT KRIJGEN’

De leverancier gaat ter plaatse en constateert samen met de ict-afdeling dat de digitale omgeving gecompromitteerd is. Moraal: ‘Op dat moment staat je wereld stil. Dit is in mijn vakgebied de ergste nachtmerrie.’ Moraal informeert de meldkamer, het NCSC en Diemer Kransen, de directeur van de veiligheidsregio, evenals de voorzitter en andere veiligheidsregio’s. ‘Andere regio’s kunnen dan proactief kijken of het probleem ook bij hen speelt. Gelukkig was dat niet zo.’

VAN KWAAD TOT ERGER

De specialisten zien zaterdag al een groot probleem, dat in de loop van de avond verergert. ‘Het probleem bleek in de nacht van zaterdag op zondag onoplosbaar’, vertelt Kransen. ‘Zondagochtend kwamen we bijeen en begonnen vanuit de crisisstructuur te werken. Alle partners werden geïnformeerd, van de GGD en GHOR tot de coronacrisisorganisatie en alle burgemeesters, de minister en collegadirecteuren.’

De VNOG gebruikte toen back-uptools van Microsoft op legacy hardware. Het was een uitdaging om data en processen te herstellen met een trage, verouderde back-upinfrastructuur.

Wederopbouw

De VNOG was net bezig met de aanschaf van Veeam-technologie toen de aanval plaatsvond. De organisatie schakelde daarom Veeamin voor hulp.

“Mijn motto luidt: never waste a good crisis”, zegt Moraal. “Onze eerste prioriteit was het herstellen van de normale gang van zaken. Daarnaast herzien we ons security-beleid en toolset. De aanval had erger kunnen zijn, dus we wilden beter voorbereid zijn.”

“Hoewel het laat was en weekend, kreeg ik direct contact met Veeam. Zij adviseerden it2grow. Die belden mij al voordat ik hen kon bellen!”, zegt Moraal. “Zij hielpen ons meteen met het herstel.”

Direct werden nieuwe servers en hardware besteld zodat it2grow experts de digitale omgeving opnieuw konden bouwen.

In de dagen daarna werd stap voor stap de ict-omgeving opnieuw opgebouwd. De systemen met de grootste prioriteit waren snel beschikbaar. ‘We werkten van ’s ochtends vroeg tot ’s avonds laat en soms tot diep in de nacht. In totaal zijn we twee weken lang bezig geweest, draaiend op adrenaline.’

De it2grow/Veeam-oplossing

it2grow implementeerde de Veeam Availability Suite en Veeam Backup for Microsoft 365 en hanteerde de ‘3-2-1-1-0’-regel. Dit houdt in dat er minimaal drie kopieën van data zijn, waarvan twee op afzonderlijke opslagmedia en een onwijzigbare back-up op een externe locatie. Hierdoor kan de VNOG zijn data altijd herstellen.

“Dankzij Veeam en it2grow verbeterde onze IT-omgeving aanzienlijk”, zegt Moraal. “We maken nu elke avond back-ups van 17 TB voor 130 virtuele machines. Dat was vroeger niet mogelijk.”

De VNOG profiteert van sneller en eenvoudiger gegevensherstel. Het IT-team is zeer tevreden, zeker na een ransomware-aanval.

“We voelen ons veiliger met onwijzigbare back-ups van Veeam”, zegt Moraal. “De user interface is zo intuïtief dat zelfs nieuwkomers gegevens kunnen herstellen of back-ups configureren. Als we Veeam hadden gehad tijdens de aanval, zou het herstelproces eenvoudiger zijn geweest.”

Toekomst

De VNOG gebruikt Veeam nu voor bescherming van workloads op locatie en in de cloud. De organisatie implementeerde een cloud first-strategie, waarbij Veeam een sleutelrol speelt.

“Momenteel slaan we twee kopieën op in elk van onze datacenters en een in de cloud”, zegt Moraal. “We willen overstappen op drievoudige redundantie in de cloud. Veeam biedt ons de vrijheid om een toekomstplan op te stellen dat goed werkt voor de VNOG, met volledige dataprotectie.”