In september 2021 viel een groot deel van de IT van de stad Berlijn uit en snel was te horen dat het om een DDoS, of andere cyberaanval ging. Pas vlak voor de kerst is de exacte oorzaak bekend gemaakt. Het had niets met cyberaanvallen te maken.
Berlijn
De stad Berlijn is ongeveer net zo groot als de provincie Utrecht. Dat er tienduizenden ambtenaren werkzaam zijn is dus logisch. Er is een eigen IT netwerk dat verschillende lagen kent. De 900+ scholen hebben uiteraard geen toegang tot de delen die voor de 22 rechtbanken zijn bestemd. Medewerkers van de plantsoenendienst en de tientallen bibliotheken hebben ook strikt gescheiden segmenten.
Door die segmentatie viel het op 29 en 30 september niet iedereen in de stad op dat er een IT probleem was. Voor de medewerkers van justitie onderdelen was die storing wel zichtbaar. Thuiswerkers hadden het zelfde zwarte scherm als de collega’s die op de bureaus aanwezig waren. Wie ook niets anders konden doen dan duimendraaien waren de medewerkers die de uitgifte van uiteenlopende documenten verzorgen. Aanvragen voor rijbewijzen, vergunningen en dergelijke waren niet mogelijk.
Is het een DDoS?
Om meerdere redenen leek het te gaan om een behoorlijk omvangrijke cyberaanval. Om precies te zijn een omvangrijke DDoS op een deel van de IT architectuur. Vreemd was wel dat nergens extern verkeerspatronen opvielen die dat bevestigden. Toen aan het einde van de middag een deel van de applicaties weer te gebruiken was, maar dan met een mindere functionaliteit en nog steeds alles traag ging, leek een goed gerichte DDoS nog steeds de oorzaak.
Twee oorzaken
Sinds vorige maand is bekend dat de IT uitval niets te maken had met een DDoS, maar eigenlijk toch wel een beetje. Er is ook nog sprake van een tweede oorzaak.
Die tweede oorzaak is een typisch geval van Murhpy. Op het moment dat de problemen optraden was er ook een kortstondige stroomuitval. Die leidde tot extra complicaties. Niet alle hardware kwam na de dip weer online. Die moest dus vervangen worden. Zoiets kost tijd en het is dan niet handig als om een andere onbekende reden een deel van het netwerk onbereikbaar is.
Waarom was het netwerk deels onbereikbaar? De oorzaak was geen externe, maar een interne DDoS. In het eindrapport staat dat begrip niet letterlijk, maar wel een omschrijving die die conclusie leidt.
Legacy
Formeel heet het dat de migratie van het oudste en centrale programma voor justitie naar de moderne omgeving heeft geleid tot een onvoorziene belasting van de servers en het netwerk. Dat programma is meer dan 20 jaar oud, echte legacy dus. Het heeft tot nu toe altijd zonder noemenswaardige problemen gedaan.
Legacy software doet zijn werk goed, zolang er maar niets verandert. Het porteren naar een virtuele omgeving is een verandering. En in dit geval is daar iets goed fout gegaan. Natuurlijk had dat eerder met testen boven tafel moeten komen. Waarom dat niets is gebeurd blijft onduidelijk. Wat wel duidelijk is, is dat niet alles dat lijkt op een cyberaanval van buitenaf dat ook is. Berlijn heeft zichzelf onderuit gehaald met een interne DDoS.