Factcheck: ‘Elke dag tot 6000 cyberaanvallen op gemeentelijke servers’

Deze factcheck is uitgevoerd op basis van de beschikbare informatie op de datum van publicatie. Lees hier meer over hoe we werken.

Dat lazen we onlangs in de krant Het Nieuwsblad. Maar klopt dat wel?

Met een nieuw datacentrum neemt de gemeente Beveren maatregelen tegen cyberaanvallen. Die zijn nodig, want ‘elke dag krijgt de gemeente zo’n vijf- tot zesduizend cyberaanvallen te verwerken’, stelt de Beverense ICT-afdeling in Het Nieuwsblad.

Inge Brocken, schepen van ICT-beleid, verduidelijkt dat het cijfer is gebaseerd op wat de securitysystemen van de gemeente registreren. Het omvat ‘alle geblokkeerde e-mails, geregistreerde en/of geblokkeerde onveilige trafiek door onze firewalls en het aantal aangeleverde bestanden die mogelijk besmet zijn.’ Bovendien vallen ook ‘ false positive-registraties’, valse alarmen dus, onder de 6000 aanvallen.

‘Als je dat allemaal als aanvallen beschouwt, is het cijfer zeker niet uitzonderlijk’, zegt ook Eddy Willems, expert op het gebied van computerbeveiliging. ‘Maar het gaat hier over scans en niet over doelgerichte cyberaanvallen. Ik vergelijk het met een scanner aan een poort: iedereen die op straat voorbij die poort wandelt, wordt gescand, maar dat wil niet zeggen dat ze allemaal de intentie hebben om de poort binnen te gaan.’

Sofie Royer, postdoctoraal onderzoeker aan het Centrum voor IT&IP Recht van de KU Leuven, vraagt zich af hoe de cyberaanvallen worden geteld. ‘Botnets bestaan uit heel veel verzoeken om een systeem ‘plat te leggen’. Is dat dan één aanval, of is elk verzoek een aparte aanval?’

‘Statistieken over het aantal cyberaanvallen zijn moeilijk bij te houden wegens het ontbreken van goede definities’, zegt woordvoerder Katrien Eggers van het Centrum voor Cybersecurity België (CCB).

‘Er bestaat een grote variatie in incidenten die men als aanval kan classificeren’, zegt ook het Vlaams kabinet voor Binnenlands Bestuur. ‘Als men ook het aantal geblokkeerde virussen en spam mails als cyberaanval rapporteert, komt men al snel tot vele duizenden aanvallen.’

Over het aantal cyberslachtoffers is meer bekend dan over het aantal aanvallen. De Europese privacywetgeving (GDPR) verplicht ook gemeenten om alle persoonsgegevenslekken te melden aan de Gegevensbeschermingsautoriteit. In 2018 kreeg die melding van 415 gegevenslekken: 28 procent daarvan kwam door menselijke fouten en 23 procent door hacking, phishing en malware.

Het CCB ontving 1600 incidentmeldingen in 2018. ‘In 2019 is dat cijfer aanzienlijk gestegen, toen ontvingen we 4484 meldingen, een stijging van 180 procent’, laat Eggers weten. Maar ook over het aantal slachtoffers weten we lang niet alles: ‘Het is zeer moeilijk om het exacte aantal slachtoffers van ransomware of ander cyberaanvallen te berekenen. Jammer genoeg is er een groot dark number. ‘

Royer verwijst naar de Veiligheidsmonitor van de Federale Politie. Uit die enquête blijkt bijvoorbeeld dat slechts 14 procent van de slachtoffers van hacking aangifte doet.

Ook voor gemeenten vormt echte cybercriminaliteit een probleem. Vorige maand nog werd Willebroek het slachtoffer van ransomware. In 2018 werden, in opdracht van Audit Vlaanderen, 28 gemeentelijke servers getest door ethische hackers. Over 24 daarvan konden de hackers controle krijgen. In 2020 zal opnieuw getest worden, omdat de helft van de aanbevelingen niet gerealiseerd werd.