Stad Antwerpen meermaals gewaarschuwd voor ‘manke’ beveiliging

Stad Antwerpen manke beveiliging
Stad Antwerpen werd bij beveiligingsaudits in 2020 en 2021 gewezen op meerdere gevaren in haar systemen. Ondanks de signalen kon de stad misbruik van de kwetsbaarheden niet voorkomen.

Volgens stad Antwerpen stond cyberhygiëne de voorbije jaren hoog op de agenda. In 2020 werd nog besloten tot een verhoging van het budget voor cyberveiligheid tot 19,4 miljoen euro. Erica Caluwaerts, schepen van Digitalisering bij stad Antwerpen, weersprak met die beslissing claims dat het stadsbestuur onvoldoende oog had voor de beveiliging van computersystemen. Onderzoek van de VRT wijst uit dat ambtenaren dit budget grotendeels hebben opgesoupeerd voor beleidsplannen, die in de loop der tijd op de achtergrond verdwenen.

Tientallen kwetsbaarheden opgespoord

Dat de systemen van de stad kwetsbaar waren mocht voor de IT-afdeling alvast niet als verrassing zijn gekomen. Zowel in 2020 als 2021 kwam via audits naar voren dat computersystemen van stad Antwerpen kwetsbaar waren. Verschillende departementen maken volgens de audits nog gebruik van Windows-software die al sinds 2015 niet meer wordt ondersteund. Tweetrapsauthenticatie – een vorm van authenticatie waarbij je naast een wachtwoord ook nog een extra beveiligingscode nodig hebt om in te loggen – werd daarnaast niet op alle systemen ingeschakeld. Iemand die dus toegang kreeg tot het wachtwoord van een medewerker, kon in al die systemen rondsnuffelen.

De onderzoekers concluderen ook dat een sterk wachtwoordbeleid ontbrak en dat gebruikers soms te veel rechten kregen. Hierdoor kregen ze toegang tot meer data dan nodig was om hun functie uit te voeren. Via minstens 138 gedeelde mappen kreeg iedereen in de ‘systemen’ van stad Antwerpen bovendien toegang tot persoonsgegevens. Het gaat dan onder meer om ongeschikheidsattesten en loonbrieven. Hackers die toegang kregen tot de systemen van de stad konden zulke data dus zeker meepakken, nog zonder zichzelf specifieke rechten te verschaffen.

‘Nieuw cybersecurityprogramma’

Verder blijkt uit de audits dat de stad nonchalant is omgegaan met plannen om de beveiliging van haar systemen op te schroeven. Aanbevolen acties en maatregelen van de IT-afdeling verdwenen onder een laag stof, meldde de functionaris van gegevensbescherming in het jaarverslag van 2021. Dat die plannen in de schuif verdwenen, lijkt onder meer het gevolg van budgettaire beperkingen. Cloudback-ups om de dienstverlening aan Antwerpenaren na een hack te garanderen werd te duur bevonden. Het stadsbestuur besloot daarom tot lokale back-ups van belangrijke computersystemen.

Die back-ups maken onderdeel uit van een cybersecurityprogramma dat na de audits van 2021 werd opgestart. Dit programma moest de beveiliging van computersystemen in rap tempo naar een hoger niveau brengen. Onderdeel van de ‘werkzaamheden’ was het toepassen van tweetrapsauthenticatie in alle computersystemen. Ook kwam er een sterker wachtwoordbeleid voor de systemen. Voordat de plannen konden worden ingevoerd, werd de stad aangevallen door cybercriminelen.

Persoonsgegevens Antwerpenaren

Bij de aanval op 6 december werd 557 GB aan data gestolen, waaronder persoonsgegevens van Antwerpenaren en gegevens van medewerkers van de stad. Inwoners en medewerkers van de stad hebben nog altijd last van de aanval. Verschillende computersystemen zijn nog altijd offline. Zo kan een bedrijf nog altijd geen vergunningen aanvragen en kunnen burgers geen beurtenkaarten voor het zwembad aanvragen.

Gerelateerde artikelen

Volg ons

TechPoll

Zou jij plaatsnemen in een zelfrijdende Waymo-taxi?

Laden ... Laden ...
De beste elektronica-acties van februari

De beste elektronica-acties van februari

Bekijken bij bol.com

Business