Na de cyberaanval: ‘Als criminelen je vingerafdrukken stelen, zit je echt in de problemen’

Rijbewijzen, identiteitskaarten of financiële documenten van tienduizenden Antwerpenaren dreigen door een cyberaanval op de stad online te grabbel te worden gegooid. Tal van diensten blijven wellicht verstoord tot volgend jaar. ‘Dit is precies het scenario waarvoor we gewaarschuwd hadden.’

Wat is er aan de hand?

Het hackerscollectief Play heeft de servers van Digipolis, de IT-partner van de stad Antwerpen, gehackt. Vorige week maandag waren de servers van de stadsdiensten geblokkeerd geraakt, toen bleek dat hackers miljoenen files hadden versleuteld. Sindsdien zijn tal van stadsdiensten buiten werking. In de gemeente Diest is er iets gelijkaardigs aan de hand. De bibliotheek, verschillende scholen, cultuurcentra en stadsdiensten ondervinden problemen nadat de gemeente zondagnacht door een cyberaanval werd getroffen.

Play, die de cyberaanval in Antwerpen zondag opeiste, is een vrij nieuwe hackersgroep. Het zou een afsplitsing zijn van ransomware-groepen als Conti en Quantum die sinds juni vooral bedrijven en organisaties in Latijns-Amerika viseerde, maar nu ook in Europa steeds actiever wordt.

Welke impact heeft dit op de dienstverlening?

Online museumtickets kopen of boeken ontlenen uit de bibliotheek, dat lukt momenteel niet. Een kinderopvang boeken via ‘Mijn Kinderopvang’ in Antwerpen: niet mogelijk. Een nationaliteitsaanvraag of indienen of verblijfsprocedure opstarten in het stadhuis: opnieuw error. De stad Antwerpen houdt een lijst bij met alle diensten die verstoord zijn door de cyberaanval, maar hier komt het op neer: voor zo goed als alles waarbij de IT-dienst van de stad Antwerpen komt kijken, is het momenteel behelpen. “De kans is klein dat dat deze week opgelost raakt. Dit zal nog enkele weken duren”, zegt Dirk Delechambre, woordvoerder van de stad.

Dat kan vervelend zijn, bijvoorbeeld als je tijdelijk geen materiaal van de stad kunt ontlenen, maar op een aantal diensten is de impact ronduit problematisch. Zo zijn er woon-zorgcentra die hun bestellingen voor het eten niet meer kunnen beheren, terwijl OCMW-diensten problemen hebben om aanvragen voor financiële steun te verwerken. “We proberen al het mogelijke klaar te zetten”, zegt een ambtenaar op het OCMW. “Maar zolang het programma waarop alles draait offline is, kunnen we nieuwe aanvragen voor sociale tarieven of andere financiële steun niet verwerken. Als dat tegen het einde van de maand niet opgelost is, dreigen heel wat mensen niet of te laat steun te krijgen waarop ze recht hebben.”

Dreigt er gevoelige informatie van tienduizenden burgers te lekken?

Dat risico is reëel. Op het darkweb heeft Play het Antwerpse stadsbestuur een deadline gegeven: maandag 19 december. Als er tegen dan geen losgeld betaalt wordt, dan geeft Play naar eigen zeggen 557 gigabyte aan paspoorten, rijbewijzen, financiële en persoonlijke gegevens in brokken vrij. “Zo is dat ook gebeurd toen de server van de politiezone van Zwijndrecht gehackt werd”, zegt Bart Preneel, expert in cybersecurity. “In tien minuten tijd kon je de telefoonnummers van politieagenten zomaar op het darkweb terugvinden.”

De gevolgen van zo’n enorm datalek kunnen desastreus zijn, zegt ook ethisch hacker Inti De Ceukelaire. “Met die gegevens kunnen cybercriminelen in jouw naam betalingen doen of GPDR-verzoeken doen om je telecomgegevens te verzamelen. Er zal sowieso betaald worden, of het nu met losgeld is of persoonsgegevens.”

Het risico op identiteitsfraude is nog groter bij mensen die een vingerafdruk op hun identiteitskaart hebben, wat sinds 2019 verplicht is voor alle nieuwe identiteitskaarten. “Een identiteitskaart kun je vervangen, maar je vingers helaas niet”, zegt privacy-expert Matthias Dobbelaere-Welvaert. “Als criminelen je vingerafdrukken stelen om aan identiteitsfraude te doen, zit je echt in de problemen. Dit is precies het scenario waarvoor we gewaarschuwd hadden toen de verplichte vingerafdruk ingevoerd werd.”

Hoe is dit kunnen gebeuren?

Uit veiligheidsoverwegingen is de politie erg karig met de informatie die ze naar buiten brengt.
Afgaande op wat we weten van eerdere aanvallen van de hackersgroep, is de kans groot dat het gaat om een ransomware-aanval, waarbij de criminelen met een phishingmail of via een slecht beveiligde server een achterpoort vinden om in het hele IT-systeem binnen te dringen.

Wat moet er nu gebeuren?

De eerste moeilijke knoop die doorgehakt moet worden is: betalen of niet? Betaalt Antwerpen geen losgeld, dan riskeert het grootschalige diefstal van persoonsgegevens en langdurige problemen voor tal van diensten. Betaalt Antwerpen wel, geeft het een nu al puissant rijke criminele organisatie nog een stevig duwtje in de rug.

Indien Antwerpen niet betaalt, is de eerste opdracht de schade te beperken. Volgens De Ceukelaire is het bijvoorbeeld aan te raden om de paspoorten die mogelijk gelekt zijn ongeldig te verklaren, zodat ze niet frauduleus gebruikt kunnen worden.

Daarnaast moet de stad zo snel mogelijk back-upsystemen aan de praat krijgen, tenminste als daarop geen malware meer geïnstalleerd is. “Er zal een prioriteitenlijst opgesteld moeten worden van wat zo snel mogelijk weer online moet en wat nog even kan wachten”, zegt cybersecurity-expert Eddy Willems van G Data.

Toch hopen experts vooral dat het niet daarbij blijft, en door de aanval onze overheid cybersecurity eindelijk serieus neemt. “Eens te meer blijkt dat we kwetsbaar zijn voor dit type aanvallen. Dit moet een wake-upcall zijn”, zegt Bart Preneel.