1. Introductie

Een DDoS-aanval, oftewel Distributed Denial of Service, is een georganiseerde poging om een website, server of online dienst te overbelasten door deze te overspoelen met enorme hoeveelheden verkeer. Hierdoor raken de systeembronnen uitgeput en wordt de normale werking verstoord, met als gevolg dat gewone gebruikers geen toegang meer hebben tot de service. Dit kan leiden tot frustratie voor burgers die de website of service willen gebruiken, de DDoS-aanval zelf vormt geen gevaar maar kan gebruikt worden als masker voor andere aanvallen.

Hoewel een DDoS-aanval geen direct risico vormt of verdere bedreigingen voor een lokaal bestuur met zich meebrengt, is het toch belangrijk om bewust te zijn van de situatie en te overwegen welke preventieve alsook reactieve maatregelen genomen kunnen worden. In dit artikel bespreken we wat u als lokaal bestuur best tegen een DDoS-aanval kan doen alsook kijken naar strategieën voor het voorkomen van zulke aanvallen in de toekomst.

2. Beleid

Organisatorische maatregelen

Overzicht en Analyse: Maak een gedetailleerd overzicht van alle websites, toepassingen en diensten die u publiek aanbiedt via het internet. Bepaal of het kritieke websites, toepassingen of diensten zijn. Dit geeft u een inzicht in welke acties u mogelijk moet ondernemen tijdens een DDoS-aanval en welke partijen u op de hoogte moet brengen, alsook een prioriteit welke applicaties zo snel mogelijk weer normaal moeten functioneren.
Incident Response Plan: Ontwikkel en implementeer een hoodstuk specifiek gericht op DDoS-aanvallen in uw huidig Incident Response Plan. Dit hoofdstuk moet duidelijke stappen bevatten voor detectie, reactie en herstel, evenals communicatieprotocollen (meer informatie hierover vindt u op: Crisiscommunicatie voor lokale besturen) voor relevante partijen en om downtime tot deze (kritieke) diensten snel op te vangen, zo kan de normale dienstverlening weer gegarandeerd worden.

Technische maatregelen

Training en Opleiding: Zorg ervoor dat IT-medewerkers goed zijn opgeleid in de technische maatregelen die ze kunnen nemen zoals beschreven in de aanbevelingen:
- Geo-blocking instellen.
- Tijdelijke caching implementeren.
- Rate limiting configureren.
Meerdere Beschermingslagen: Implementeer een beschermingsstrategie met meerdere lagen, waaronder firewalls en anti-DDoS oplossingen met mogelijks filtering op netwerktraffiek (meer informatie hierover vindt u op:De gevaren van onvoldoende netwerksegmentatie en filtering).
Monitoring en Detectie: Voer continue monitoring uit van alle netwerkactiviteiten om snel afwijkingen en verdachte activiteiten te detecteren die kunnen wijzen op een DDoS-aanval, zoals veel traffiek van dezelfde IP-adressen. Voor verdere informatie over efficiënt en correct monitoren, lees ook zeker: Security Information & Event Management (SIEM)

Mensgerichte maatregelen

Bewustmaking en Opleiding: Zorg ervoor dat medewerkers, niet alleen IT-personeel, goed geïnformeerd zijn over wat een DDoS-aanval inhoudt en wat de mogelijke impact kan zijn. Dit helpt hen om effectief te communiceren met burgers en andere relevante partijen.
Communicatie en Meldingen: Houd het personeel op de hoogte van actuele bedreigingen door regelmatig nieuws te volgen en in contact te blijven met relevante cyberbeveiligingsinstanties. Voorzie vooraf voorbereide communicatiematerialen en instructies voor het geval van een aanval.
Transparantie naar Burgers: Communiceer duidelijk naar burgers wat er gebeurt tijdens een DDoS-aanval, welke maatregelen worden genomen en wanneer normale diensverlening terug wordt verwacht. Transparantie helpt het vertrouwen te behouden en zorgt voor begrip en geduld onder de bevolking.

3. Aanbevelingen

DDoS-aanvallen zijn vaak gericht op een bredere groep van meerdere lokale besturen of andere overheidsinstanties, en hebben doorgaans een tijdelijk karakter. Toch zijn er enkele proactieve stappen die u kunt ondernemen om uw website of toepassing zo goed mogelijk reactief kan beschermen.

Het is aangeraden om als lokaal bestuur onderstaande oplossingen te implementeren om een DDoS-aanval reactief te verhelpen:

Geo-blocking: U kunt ervoor kiezen om uitsluitend verzoeken naar uw webpagina toe te laten vanuit een specifiek land. Bijvoorbeeld, u kunt instellen dat alleen verzoeken vanuit België tijdelijk worden toegestaan. Dit kan de belasting op uw server aanzienlijk verlagen. Meer informatie over hoe dit werkt kunt u vinden in het volgende artikel: Geo-blocking
Caching: Als u controle heeft over de webapplicatie, kunt u mogelijk een tijdelijke caching oplossing implementeren. Hierdoor zal een client bij het opvragen van dezelfde pagina vaker een lokale kopie ontvangen in plaats van steeds nieuwe verzoeken naar de server te sturen. Dit vermindert de belasting op de server aanzienlijk.
Rate Limiting: Door rate limiting in te stellen op de webserver, kunt u bepalen dat eenzelfde webpagina bijvoorbeeld, maximaal vijf keer per uur per IP-adres kan worden opgevraagd. Hiermee voorkomt u dat een client herhaaldelijk dezelfde pagina honderden keren opvraagt, wat de servers overbelast.
Netwerkdiensten uit het nieuwe raamcontract: Het is sinds kort mogelijk voor lokale besturen om gebruik te maken van netwerkdiensten uit het nieuwe raamcontract, waarin een beveiliging tegen DDoS-aanvallen is opgenomen. Deze oplossing zorgt ervoor dat als er te veel verkeer naar uw webpagina gaat, dit verder wordt afgehandeld door servers van de leverancier in het raamcontract. Hierdoor wordt uw site gespaard van overbelasting door DDoS-verkeer. Meer informatie hierover kan u vinden op :https://www.vlaanderen.be/digitaal-vlaanderen/lokaal-digitaal-biedt-lokale-besturen-3-extra-veiligheidstools

Door deze maatregelen te implementeren, kunt u als lokaal bestuur de impact van DDoS-aanvallen verminderen en de beschikbaarheid van uw digitale diensten waarborgen.

4. Verklarende lijst

Term	Verduidelijking	Link naar meer informatie

Term

Verduidelijking

Link naar meer informatie

Rate limiting

Rate limiting is een strategie om het netwerkverkeer te beperken. Het stelt een limiet aan hoe vaak iemand een actie binnen een bepaald tijdsbestek kan herhalen, bijvoorbeeld om in te loggen op een account.

https://www.cloudflare.com/learning/bots/what-is-rate-limiting/#:~:text=Rate%20limiting%20is%20a%20strategy%20for%20limiting%20network,It%20can%20also%20reduce%20strain%20on%20web%20servers.

Caching

Webpagina’s die u regelmatig bezoekt kunnen door uw browser lokaal worden opgeslagen. Zo kan uw browser opnieuw deze pagina ophalen lokaal in plaats van deze terug van de webserver af te halen.

https://www.hostingadvice.com/how-to/what-is-caching/#:~:text=When%20you%20use%20a%20computer%20or%20browse%20the,from%20the%20main%20storage%20every%20time%20it%E2%80%99s%20needed.

IP-adres

Een IP-adres is een uniek nummer dat je krijgt van je internetprovider. Het dient om jouw apparaat te herkennen en info te verzenden of ontvangen via het internet. Je kan het dus bekijken als een adres voor je toestel. Tijdens het surfen, typ je een websitenaam in de browser. IP-adressen worden ook gebruikt voor geografische locatietracking en om cyberaanvallen te voorkomen.

https://www.proximus.be/nl/id_b_cr_ip_address/particulieren/blog/news/bits-and-bytes/wat-is-een-ip-adres.html

5. Referenties

Wat bedoelen we nu juist met een DDoS-aanval? - https://www.microsoft.com/nl-be/security/business/security-101/what-is-a-ddos-attack?msockid=198003ea4f7864d10db117184e1465ea
Extra veiligheidstools voor lokale besturen tegen DDoS aanvallen - https://www.vlaanderen.be/digitaal-vlaanderen/lokaal-digitaal-biedt-lokale-besturen-3-extra-veiligheidstools
Geo-blocking - Geo-blocking
Crisiscommunicatie voor lokale besturen - Crisiscommunicatie voor lokale besturen

Cyber Response Team