"Een loper die op alle sloten past." Zo noemt de gemeente Epe zelf het account waarmee een hacker binnen vijftien uur van één onschuldige klik naar 871 GB gestolen data ging. BSN's van bijna alle inwoners, 845 geldige identiteitsbewijzen en een rekening van 345.000 euro (en waarschijnlijk meer). Epe verdient bewondering voor haar openheid, maar leg je alle stukken naast elkaar, dan zie je dat het zelfoordeel (te?) mild is in vergelijking met wat er feitelijk gebeurde.

Epe communiceert uitgebreid

Een groot datalek is naar, maar openheid helpt zeker

Op 22 april 2026 leverde Eye Security het forensisch onderzoeksrapport op over de cyberaanval bij gemeente Epe. Op 4 juni volgde de evaluatie aan de raad, opgesteld samen met de Informatiebeveiligingsdienst. Daarnaast staat op epe.nl/datalek-gemeente-epe een uitgebreide tijdlijn, het ongevraagd advies van de Adviesraad Sociaal Domein, de reactie van het college daarop, en de huis-aan-huis-brief aan inwoners. Samen vormen deze stukken een (ongewoon) compleet beeld van het incident en datalek: van de technische inbraak tot de bestuurlijke afhandeling en ook niet onbelangrijk: de rekening. Dat Epe dit alles publiceert, is bewonderenswaardig. De meeste organisaties laten het bij een persbericht en de (uiteraard verplichte) datalekmelding bij de Autoriteit Persoonsgegevens.

Maar juist omdat er zoveel materiaal ligt, kun je het ook kritisch tegen elkaar aanhouden. Ik loop met je langs wat mij opviel, en als les kan dienen voor wie wil.

"Dat Epe dit alles publiceert, is bewonderenswaardig. De meeste organisaties laten het bij een persbericht en de (uiteraard verplichte) datalekmelding bij de Autoriteit Persoonsgegevens."

Break-glass account

Een break-glass account is voor noodtoegang: een account met vrijwel onbeperkte rechten, bedoeld voor het scenario waarin normale toegang uitvalt, bijvoorbeeld als alle beheerders buitengesloten raken of de identity provider zelf platligt. De naam komt van de brandblusserkast: (alleen) in noodgeval het glas breken en daarna gebruiken.

Juist daarom heeft zo'n account meestal geen multifactorauthenticatie (MFA). Het moet werken als het andere niet meer werkt, en MFA kan zelf ook uitvallen. Dat is dus zo ontworpen, maar het maakt het account ook het meest waardevolle doelwit in de hele omgeving: één wachtwoord, en je hebt de sleutel tot alles.

De compensatie zit dus (juist) niet in extra inlogdrempels, maar in alles daaromheen: het wachtwoord in een fysieke of digitale kluis, elk gebruik direct gesignaleerd/gealarmeerd en per definitie een nieuw wachtwoord na gebruik.

Vijf punten die mij opvielen

  1. Een eerlijke, maar ook (te?) milde evaluatie

De evaluatie noemt vier oorzaken: social engineering, het gekraakte beheerderswachtwoord, het onvoldoende beveiligde break-glass account en niet-eenduidige afspraken met leveranciers over incidentrespons. Dat laatste punt wordt direct gerelativeerd: "dat is bij dit incident evenwel niet het geval geweest." Vanwaar die stelligheid? Als je een organisatorisch tekort benoemt en in dezelfde alinea zegt dat het toevallig geen kwaad kon, is dat geen verbetering, maar een gok die goed uitpakte. Ik zou hier liever zien dat de gemeente Epe zegt: dit hadden we niet op orde, en dat had slechter kunnen aflopen.

Verder valt op dat de evaluatie stelt dat retentiebeleid pas "gepland" is, terwijl het forensisch rapport meermaals vermeldt dat de aanvaller moeiteloos beveiligings- en systeemlogs kon wissen, en dat de firewall-logs al overschreven waren voordat het onderzoek begon. Logging en retentie zijn dus niet alleen een verbetermaatregel voor de toekomst; het is een tekortkoming die het onderzoek zelf heeft belemmerd. Dan is "gepland" wel wat mager geformuleerd.

  1. Een break-glass account zonder compenserende maatregelen

Het forensisch rapport en de evaluatie beschrijven hetzelfde verloop, maar de evaluatie vertaalt het prettig naar drie overzichtelijke stappen. In het kort: een medewerker werd via ClickFix verleid tot het zelf uitvoeren van schadelijke code op 10 maart om 13:09 uur. MFA stond aan, maar dat helpt niet tegen een gebruiker die zelf het commando uitvoert; dat is precies het punt van ClickFix. Binnen 47 minuten was er al Kerberoasting gaande tegen service-accounts. En toen ging het echt mis.

De aanvaller bereikte uiteindelijk een break-glass account met vrijwel onbeperkte rechten en zonder MFA (zie kader). De evaluatie noemt dit zelf "een loper die op alle sloten past". Dat is een treffende metafoor, maar ook een understatement van het probleem. Een break-glass account zónder compenserende maatregelen is geen noodvoorziening meer, maar eerder een achterdeur die toevallig "nood" heet. Dit had met BIO2-maatregel 9.2.3 (beheer van bevoegde toegangsrechten) en met privileged access management (PAM) voorkomen kunnen worden, los van welk normenkader je aanhoudt.

GAP-analyse maatregelen

Inzicht in de implementatie(status) van beveiligings-maatregelen uit normenkaders, zoals de BIO2. Een dienst van qeep IT safe.

Lees er meer over ↗
  1. Een onderschatting van de privacyinbreuk

De brief van 21 april en de eerdere webpagina noemen NAW-gegevens, BSN, en bij sommigen contactgegevens, bankrekeningnummers of een ID-kopie. De evaluatie van 4 juni is explicieter: een BRP-export, medewerkersgegevens (inclusief profielfoto's), financiële gegevens, contractinformatie van leveranciers en meldingen van overlast of openbare orde. Daarbij is niet altijd te herleiden over wie het gaat.

Dat laatste punt is in mijn ogen het meest onderbelichte risico in de communicatie naar inwoners. Een gestolen BSN is vervelend, maar een gelekte melding over verstoring van de openbare orde, gekoppeld aan een naam die mogelijk niet eens goed te herleiden is naar de juiste persoon, is mogelijk een grotere privacy-inbreuk. Dat raakt immers aan je reputatie en kan ten onrechte iemand in verband brengen met een melding. De evaluatie noemt dit terloops, maar werkt het niet uit richting de getroffenen.

  1. Een formalistisch antwoord op een begrijpelijk Woo-verzoek

Punt 6.3 van de evaluatie vermeldt twee Woo-verzoeken, waarvan één breder vraagt naar de informatiebeveiliging van de gemeente. De evaluatie weegt per document de gevraagde openbaarheid af tegen andere belangen, wat juridisch correct is. Oké. Maar het is ook een indicatie dat er bij inwoners of organisaties twijfel bestaat of dit incident een uitzondering was of een symptoom van een groter probleem (ondermaatse beveiliging). Die twijfel wordt door de evaluatie niet expliciet weersproken of bevestigd; ze wordt juridisch 'geparkeerd'. Voor een document dat zegt te willen bijdragen aan leren door andere organisaties, is dat een gemiste kans om verder te gaan dan dit 'ene' incident. De bredere vraag uit het Woo-verzoek lijkt me immers volstrekt legitiem na zo'n datalek. Als inwoner zou ik het antwoord zeer onbevredigend vinden.

  1. Een stevige (en voorlopige) rekening van 345.258 euro

De financiële tabel in de evaluatie is verhelderend en leerzaam. Bijna 121.000 euro aan technisch onderzoek, bijna 80.000 aan projectleiding en advies, 80.000 aan ondersteuning bij Woo- en AVG-verzoeken en communicatie, en ruim 44.000 aan nazorg en vervanging van identiteitsbewijzen.

Wat hier (logischerwijs) ontbreekt, is een vergelijking met wat de structurele verbetermaatregelen zelf hadden gekost als ze vóór het incident waren doorgevoerd. Netwerksegmentatie aanscherpen, een break-glass account goed beveiligen en (log)retentiebeleid op orde brengen. Dat zijn geen kostbare innovaties, toch? Het zijn eerder basismaatregelen uit de BIO2. De 345.000 euro is dus niet alleen de hoge prijs van een aanval; het is voor een belangrijk deel de prijs van het uitstellen van werk dat al verplicht was. Ja, dat is makkelijk praten, maar ik doe het toch.

"De 345.000 euro is dus niet alleen de hoge prijs van een aanval; het is voor een belangrijk deel de prijs van het uitstellen van werk dat al verplicht was."

Alles bij elkaar genomen

Het kan (zeer) snel gaan en transparantie helpt enorm

Het datalek bij de gemeente Epe en haar communicatie daaromtrent is om twee redenen waardevol voor CISO's. Ten eerste laat het zien hoe 1) een ClickFix-aanval, 2) MFA-omzeiling via social engineering, en 3) Kerberoasting en een onbeveiligd break-glass account elkaar versterken tot een aanval die binnen vijftien uur van werkstation naar 871 GB exfiltratie gaat. Tot hoever zou een vergelijkbare aanval op jouw organisatie zijn gekomen? Het eerlijke antwoord kan confronterend zijn.

Ten tweede laat het zien dat de bestuurlijke en maatschappelijke afhandeling van een datalek minstens zoveel aandacht vraagt als de techniek. De Adviesraad Sociaal Domein bracht de menselijke onzekerheid bij kwetsbare inwoners in. Iets waar het technisch rapport en de evaluatie niet vanzelf aandacht voor hadden.

Epe verdient waardering voor de transparantie. Ik hoop dat het niet alleen voor de betrokkenen (inwoners) veel heeft betekend, maar dat CISO's van andere gemeenten en overheidsorganisaties er lering uit zullen trekken.

Share on