LEES OOK. Doorlichtingen toonden in 2020 en 2021 zwakke plekken in IT-systeem stad Antwerpen: “Duidelijk nog stevige investeringen nodig”

Dat meldt VRT NWS, dat de ICT-veiligheidsaudit van 2021 kon inkijken. Het nieuws komt ongelegen voor het Antwerpse stadsbestuur. In het Antwerpse stadhuis vindt vanavond de raadscommissie achter gesloten deuren plaats over de cyberaanval die Antwerpen eind vorig jaar trof.

De opstellers van deze audit, Deloitte security, verweten Antwerpen een “slordige hygiëne” op het vlak van cyberveiligheid.

Eén van de zwaktes zijn de 138 gedeelde mappen op het digitale systeem van de stad Antwerpen. Meerdere mensen hadden toegang tot soms gevoelige informatie in deze mappen. Persoonsgegeven die volgens de audit uit 2021 met weinig technische kennis te raadplegen waren en dus ook te misbruiken zijn. Wie eenmaal het paswoord had, kon deze mappen inkijken. Het gaat onder meer over gevoelige informatie van personeelsleden van de stad, zoals medisch attest, een ongeschiktheidsattest en een loonbrief met een personeelsnummer en vermelding van rijksregisternummer, burgerlijke staat en adres.

Wachtwoord

Bovendien was het kennen van het wachtwoord al voldoende en was er geen systeem waarbij als extra beveiliging ook nog eens een code moest worden ingegeven of een multi-factor authenticatie.

Volgens VRT NWS wijst het rapport duidelijk op de gevaren. “Door het feit dat die multi-factor authenticatie er niet is, laat dit een externe aanvaller toe om in te loggen met gelekte wachtwoorden, waarna de aanvaller gevoelige informatie kan vinden of intern phishing mails kan beginnen sturen”, aldus de audit

Bovendien zou volgens deze audit de stad Antwerpen zeker niet bij de beste van de klas behoren als het om het beleid van wachtwoorden gaat. De gebruikte wachtwoorden zijn onvoldoende veilig.

Daarnaast stelt de audit vast dat te veel mensen rechten hadden om wijzigingen door te voeren in het informaticasysteem van de stad. Dat betekent ook dat als een hacker zich eenmaal toegang verschafte tot het IT-systeem, hij zelf ook veranderingen kan doorvoeren.

Verouderd

Als klap op de vuurpijl was de software van de stad Antwerpen verouderd, zoals een versie van Windows die sinds juni 2015 niet meer wordt ondersteund. “Als een aanvaller de software kan compromitteren, is het mogelijk om volledig toegang te verkrijgen tot de systemen. Dit kan leiden tot het volledige compromitteren van systemen en kan ernstige gevolgen hebben voor de reputatie van de stad Antwerpen”, staat volgens VRT NWS in de audit.

Het Antwerpse stadsbestuur begon na onder meer deze audit met een plan uit te rollen om de systemen beter te beveiligen. Het informatieveiligheidsplan legde de te volgen stappen vast rond een betere cyberveiligheid. Er worden echter vragen gesteld of dit echt wel de nodige hoogdringendheid kreeg. Begin 2022 publiceerde het Data Protection Office van de stad Antwerpen haar jaarverslag van 2021. Daarin staat volgens VRT NWS het volgende te lezen: “We merkten echter dat dit document, eens opgesteld, niet gebruikt wordt in de werking van de stad en 'stof ligt te vergaren'.”

LEES OOK. Groen verwijt stadsbestuur foute keuzes te hebben gemaakt in cyberveiligheid

LEES OOK. Gemengde verwachtingen over raadscommissie over cyberaanval achter gesloten deuren

Antwerps burgemeester Bart De Wever (N-VA) en schepen van Digitalisering Erica Caluwaerts (Open Vld) kunnen zich vanavond aan een reeks kritische vragen verwachten van de raadsleden. Omdat de toelichting over de cyberaanval en cyberbeveiliging gevoelige informatie bevat, zal deze zitting achter gesloten deuren plaatsvinden. Caluwaerts kondigde na de cyberaanval aan dat het budget voor cyberveiligheid gevoelig zou worden opgetrokken.