(Video onder bericht. Dit verhaal is gebaseerd op aflevering 6 (seizoen 3) van Cultuurshift, de podcast van DEN (kennisinstituut voor cultuur & digitale transformatie).
De cultuursector, en daarmee ook de openbare bibliotheek, vormt een steeds aantrekkelijker doelwit voor cybercriminelen. Hackers zijn opportunistisch en azen op de waardevolle persoonsgegevens die instellingen beheren. In een recente aflevering van de podcast Cultuurshift duiken hosts Anic van Damme en Splinter Chabot in de harde realiteit van ransomware. Aan tafel delen George Wilson (IT-hoofd bij het Britse National Museum of Royal Navy) en Darius Heydarpour, voormalig systeembeheerder bij een middelgrote Nederlandse bibliotheek, hun aangrijpende crisismomenten én de onmisbare lessen voor de sector.
De tijd dat we konden denken dat een cyberaanval de bibliotheekdeuren stilletjes voorbij zou gaan, ligt definitief achter ons. Ook openbare instellingen zonder winstoogmerk, met hun fundamentele waarden van openheid en toegankelijkheid, zijn in de ogen van hackers een lucratieve goudmijn. Niet vanwege de fysieke collectie, maar vanwege de digitale infrastructuur.
De hack: een race tegen de klok
Voor Darius Heydarpour begon de nachtmerrie op een rustige zondagochtend in juni 2023. Een medewerker belde op dat een Excel-bestand niet wilde openen. Toen Heydarpour op afstand inlogde om mee te kijken, zag hij tot zijn schrik de bestanden razendsnel van naam veranderen. Het systeem werd live versleuteld door ransomware. “Het was een onbeschrijfelijk moment. Ik noem het altijd ‘ijsbloed’. Ik werd helemaal koud,” vertelt Heydarpour in de podcast. Hij bedacht zich geen moment: “Ik woon op twaalf minuten afstand van de bibliotheek. Dat heb ik in zes minuten afgelegd. Ik heb letterlijk een sprint getrokken, ben naar het serverrack met acht servers gerend en heb ze allemaal uitgezet om de aanval te stoppen.”
Datadiefstal en afpersing: de kwetsbaarheid van persoonsgegevens
Waar het criminelen voorheen ging om het simpelweg ‘gijzelen’ van systemen, is de tactiek inmiddels veel dwingender geworden. Zelfs als een bibliotheek over goede back-ups beschikt en weigert losgeld te betalen, slaan de aanvallers toe met afpersing. De aanvallers scannen systemen doelbewust op identiteitsbewijzen, paspoorten, arbeidscontracten en BSN-nummers van medewerkers. Toen de bibliotheek weigerde te betalen, werden er kopieën van paspoorten van medewerkers (die in HRM-mappen stonden) gelekt op sociale media via een public shaming tactiek. Heydarpour heeft daar een harde, maar direct toepasbare tip over voor elke directie: “Zet geen kopieën van ID-bewijzen meer op je netwerk. Print ze uit en bewaar ze in een fysieke ordner in een afgesloten kast.”
Flipovers en WhatsApp: de deuren openhouden
Bij een complete lockdown van de digitale infrastructuur vallen ook alle publieksvoorzieningen uit. Toch besloot de bibliotheek de volgende dag haar deuren open te houden voor het publiek. Studenten konden – na een veilige controle door externe cyber-experts – weer gebruik maken van een gesegmenteerd wifinetwerk. Binnen de organisatie moest men back to basics. “De systemen van de bieb konden niet draaien, maar we hadden een noodprocedure,” legt Heydarpour uit. “We zijn echt weer met flipovers gaan werken en via WhatsApp-groepen gingen collega’s met elkaar communiceren. Mensen konden zo hun boeken alsnog inleveren.” George Wilson van het Britse National Museum of Royal Navy deelt een vergelijkbare ervaring: na hun hack moesten ook zij tijdelijk overstappen op pen, papier en mobiele pinapparatuur om de kaartverkoop, hun belangrijkste inkomstenbron, draaiende te houden.
Het lek: een blinde vlek bij derde partijen
Een veelgestelde vraag is hoe criminelen een gesloten systeem binnendringen. Terwijl het bij het Britse museum ging om een kwetsbaarheid in de e-mailserver, kwam de aanval bij de Nederlandse bibliotheek uit onverwachte hoek: een extern Amerikaans softwaresysteem dat werd gebruikt voor het publiekprinten in de bibliotheek. Dit benadrukt dat de digitale veiligheid van de bibliotheek niet stopt bij de eigen firewalls, maar sterk afhankelijk is van de beveiliging van externe partners en leveranciers.
De 3-2-1 regel en mentale weerbaarheid
Naast het heropbouwen van de systemen — een operatie waarbij apparaten soms stuk voor stuk handmatig gereset moeten worden — was de psychologische impact enorm. De onzekerheid of decennia aan opgebouwde collectiekennis en archieven nog bestonden, trok een zware wissel op het bibliotheekteam.
Beide IT-professionals sluiten af met een dwingend advies aan elke culturele instelling: hanteer zonder concessies de 3-2-1 back-up regel. Zorg voor minstens drie kopieën van je data, op twee verschillende locaties, waarvan er minimaal één volledig offline of onveranderbaar is. “Hak niet op de kosten voor robuuste back-ups en betere virusscanning,” waarschuwt Heydarpour. “Daar ga je tegenwoordig echt op stuk.”
Advies
Voor advies over het opstellen van een digitaal noodplan (Incident Response Plan) voor uw bibliotheek: bezoek den.nl/cultuurshift.