AchtergrondCyberaanval
Te weinig investeringen, verouderde applicaties: hoelang zat de hack van ’t Stad er al aan te komen?
Morgen is deadlinedag voor de hackers die de stad Antwerpen hebben aangevallen. Gooien ze hun data op straat of kunnen de stadsdiensten weer opstarten? Burgemeester Bart De Wever heeft vertrouwen in de tweede piste, maar: ‘We hebben niet onderhandeld.’
In Antwerpen konden de inwoners de afgelopen weken geen digitale afspraken meer maken, het OCMW kon geen attesten afleveren, het mailverkeer van de politie liep mank en er werd zelfs gevreesd dat binnenkort de loonadministratie van de ambtenaren een probleem zou worden: het was een ongemeen zware cyberaanval waarvan de stad eind november slachtoffer was geworden.
De aanval werd op het darkweb – het verborgen internet – al snel opgeëist door de hackersgroep Play. Het zou maandag alle 557 gigabyte aan data die het naar eigen zeggen had weten te bemachtigen – “persoonlijke informatie, paspoorten, identiteitsdocumenten en financiële documenten” – integraal op het internet gooien, tenzij er losgeld betaald zou worden. Zaterdag was de melding van de Antwerpse cyberaanval plots verdwenen. Was er dan een deal gesloten?
Dat wordt nadrukkelijk ontkend door De Wever. “We hebben niets betaald, geen enkele overheid of instantie van dit land. En we gaan ook niet betalen”, zei hij vanochtend bij De zevende dag in een eerste reactie op de cyberaanval. Al liet hij op het einde van het gesprek een kleine opening: “Je moet ook niet zo heel stoer zeggen dat je nooit zult betalen, want in veel contexten – ziekenhuizen, de stad Luik – had men geen andere keuze en heeft men wel moeten betalen. Wij denken niet dat we in die toestand zijn.”
Geen liefdadigheidsinstellingen
De Wever liet in het midden of de dreiging voorbij is dat allerlei privégegevens van de Antwerpenaren morgen op straat zullen worden gegooid. “Het is alsof de inbreker nog in je huis zit, dan is het niet raadzaam om al te communiceren.” De Antwerpse burgemeester liet wel nog weten dat de stad “eens de D-Day er is, zoveel mogelijk transparantie zal geven”.
Bart Preneel, hoogleraar computerbeveiliging aan de KU Leuven, begrijpt het standpunt van De Wever. “Het zou ethisch de juiste keuze zijn om zulke organisaties niet te betalen omdat het criminele feiten zijn. Je zit hier tussen twee vuren en moet een moeilijke keuze maken.” Dat de melding van de stad Antwerpen niet meer op de website van Play terug te vinden is, zegt veel maar niet alles. “Ik kan daar onmogelijk conclusies uit trekken. Deze organisaties zijn geen liefdadigheidsinstellingen, maar ze zijn meestal wel betrouwbaar en houden zich doorgaans aan hun woord.”
Lees ook
Als je op straat Bearcats en granaatcamera’s plaatst, moet je digitaal evenwaardige maatregelen nemen
In ieder geval was al 2,5 jaar geleden na een performantieaudit van Deloitte duidelijk geworden dat er een en ander schortte aan de cyberveiligheid binnen de systemen van de stad Antwerpen. Een van de grote pijnpunten was dat er veel te weinig middelen beschikbaar waren voor digitalisering in vergelijking met internationale gemiddeldes. In het strategisch plan van Digipolis Antwerpen 2023-2027, dat wij konden inkijken, wordt er uitdrukkelijk verwezen naar deze audit. Uit benchmarks bleek dat IT-organisaties binnen de overheid gemiddeld 4,5 procent van het werkingsbudget kregen toegewezen, in Antwerpen was dit slechts 2,7 procent.
En binnen die IT-middelen ging er in Antwerpen ook nog eens eens veel te klein aandeel naar cybersecurity – slechts 1,2 procent van de middelen ten opzichte van een gemiddelde industriestandaard van 10 procent –, zoals blijkt uit een presentatie tijdens de raad van bestuur van Digipolis in mei dit jaar. Vandaar dat er voor 2022 een “inhaalbeweging” was voorzien, om in 2023 te zorgen voor een “opstap naar cyberveiligheid” en in 2024 te komen tot een “minimale veiligheid en cyberweerbaarheid”. Met andere woorden, door een onderinvestering in het verleden was er een achterstand die moest ingehaald worden. Impliciet werd zo ook aangegeven dat de stedelijke IT-infrastructuur pas tegen 2024 voldoende veilig zou zijn.
600 verschillende applicaties
Er werden vanaf 2021 wel meer middelen uitgetrokken voor Digipolis – 148 miljoen euro – maar nog altijd werd er slechts 2,8 procent (4,2 miljoen euro) extra voorzien voor cybersecurity. Dat zou trouwens voor de jaren 2025 weer zakken naar 2,9 miljoen euro, zoals blijkt uit de een derde aanpassing van de meerjarenplanning 2021-2025.
De audit van Deloitte heeft de tanker dus wel kunnen keren, maar er is veel werk voor de boeg. Zo werd er in de audit onder andere verwezen naar de meer dan 600 verschillende applicaties die gebruikt werden binnen de stad, waarvan er een groot deel “verouderd en al jaren niet meer onderhouden waren”. Bij Digipolis stelt men op 28 oktober 2022 zelfs letterlijk dat er een groot gevaar bestaat “dat op korte termijn een of meerdere kritieke systemen niet meer beschikbaar zullen zijn”.
Het gaat om technisch complexe problemen, waar heel wat achtergrondkennis voor nodig is. Dat gaf De Wever ook aan in De zevende dag. “Ik ben helemaal geen cyberexpert. Ik heb daar in korte tijd heel veel van geleerd. Dat is allemaal buitengewoon ingewikkeld. De stad Antwerpen is niet toevallig slachtoffer. Wij hebben een enorm grote digitale omgeving met heel veel toegangen en heel veel systemen.”
De stad Antwerpen en Bart De Wever waren onbereikbaar voor verder commentaar.
