Cyberveiligheid stad Antwerpen had tientallen kwetsbaarheden: audit waarschuwt in 2021 al voor manke beveiliging
Gevoelige persoonlijke informatie in gedeelde folders, een zwak wachtwoordbeleid, verouderde software en te veel mensen met te veel rechten om iets aan te passen in de computersystemen van de stad Antwerpen. Hoewel de stad zegt dat cyberhygiëne hoog op de agenda staat, komen die "slordige hygiëne" op vlak van cyberveiligheid en andere kwetsbaarheden naar voren in een ICT-veiligheidsaudit uit 2021 die VRT NWS kon inkijken. Het is de eerste keer dat er details bekend raken over die bewuste doorlichting.
In het kort: op 6 december 2022 dringen hackers binnen in de IT-systemen van de stad Antwerpen. Die hack heeft tot op vandaag gevolgen voor het personeel en alle inwoners van de stad, zoals een bedrijf dat geen vergunning kan krijgen, beurtenkaarten in het zwembad die nog altijd niet kunnen aangevraagd worden of bibliotheken waar computers nog altijd niet werken.
De voorbije jaren liet stad Antwerpen twee keer een doorlichting uitvoeren van de IT-systemen, één keer in 2020 en één keer in 2021. De audit uit 2020 is een performantie-audit van Deloitte. Daaruit blijkt onder meer dat Antwerpen niet voldoet aan bepaalde veiligheidsmaatregelen gesuggereerd door het Belgische Centrum voor Cybersecurity. Uit die doorlichting wordt in documenten vaak geciteerd. De audit van augustus 2021 duikt echter zelden op.
Die doorlichting is een ICT-veiligheidsaudit van Deloitte, en daarin worden 22 kwetsbaarheden geformuleerd. Zowel de audit uit 2020 als die uit 2021 die VRT NWS kon inkijken, raden de stad aan om dringend meer werk te maken van cybersecurity.
BEKIJK - Tim Verheyden: "Er gingen eerder al alarmbellen af":
De focus van de ICT-veiligheidsaudit uit 2021 was om de weerbaarheid van de stad Antwerpen te meten tegen een cyberaanval. Daarom voerde het bedrijf Deloitte security-testen uit op de interne en de externe infrastructuur.
VRT NWS kon dat rapport inkijken. We delen bewust geen screenshots of bepaalde gevoelige en gedetailleerde informatie, om onder meer cybercriminelen niet op (nog meer) ideeën te brengen, en om de anonimiteit van onze bronnen te garanderen.
Veel persoonlijke informatie op tientallen "gedeelde schijven"
In het rapport lezen we onder meer dat er op de interne computersystemen 138 fileshares, of gedeelde mappen, gevoelige informatie is aangetroffen. Meerdere mensen hebben toegang tot die mappen. Mogelijk gaat het om meer dan 138 fileshares, het rapport stelt er enkel 138 vast.
Uit onderzoek van Deloitte blijkt dat in die 138 digitale mappen veel "persoonsgegevens" te vinden en te misbruiken zijn en dat daarvoor letterlijk “weinig technische kennis nodig is”. In de analyse staat dat “een aanvaller eerst toegang moet krijgen tot het interne netwerk en tot een account van een standaardgebruiker voor dat deze kwetsbaarheid misbruikt kan worden.” Met andere woorden: eens je het paswoord hebt van iemand, kan je meelezen.
Als de auditeurs steekproeven doen, treffen ze in 138 gedeelde schijven veel gevoelige en persoonlijke informatie aan. Het roept de vraag op wie al voor de hack allemaal toegang had tot die informatie
In de audit worden als voorbeeld 3 screenshots getoond: van een medisch attest, een ongeschiktheidsattest en een loonbrief met een personeelsnummer en vermelding van rijksregisternummer, burgerlijke staat, adres, enz… Gevoelige persoonlijke informatie dus.
In 2022 kregen de hackers toegang tot het interne netwerk van de stad Antwerpen. Het is niet duidelijk of zij in die gedeelde mappen zijn gaan kijken.
Ik ken je wachtwoord
Uit de doorlichting blijkt ook dat tijdens gesprekken die de onderzoekers doen met medewerkers van de stad Antwerpen, er niet op alle externe systemen multi-factor authenticatie is ingesteld. Multi-factor authenticatie wil zeggen dat wanneer je je aanmeldt, je jezelf ook nog op een andere manier je identiteit moet bevestigen. Je moet dus twee keer bewijzen dat jij het wel degelijk bent die aanklopt. Via een paswoord en bijvoorbeeld nog met een code die je per sms krijgt doorgestuurd.
“Door het feit dat die multi-factor authenticatie er niet is”, zegt het rapport, “laat dit een externe aanvaller toe om in te loggen met gelekte wachtwoorden, waarna de aanvaller gevoelige informatie kan vinden of intern phishing mails kan beginnen sturen.”
Zo'n paswoord kan gewoon terug te vinden zijn in de vele datalekken die de laatste jaren op internet zijn gevonden. De voorbije jaren zijn er wereldwijd meer dan 8 miljard paswoorden gelekt. Vaak is het zo dat mensen hetzelfde wachtwoord gebruiken voor verschillende websites, ook voor het e-mailadres van hun werk. Als die gegevens bij een datalek bij hackers terechtkomen en die dubbele authenticatie is niet ingesteld, dan zijn hackers zo binnen in je werkcomputer.
Zwak wachtwoordbeleid
Opmerkelijk. Op een persconferentie op 19 december, twee weken na de aanval, zei de Antwerpse burgemeester Bart De Wever dat hij sinds een week ook met multi-factor authenticatie moet inloggen in zijn mailbox. Dat is dus ruim een jaar na de aanbevelingen uit de doorlichting van Deloitte. Het roept meteen de vraag op welke vooraanstaande politici, burgemeesters, schepenen, parlementsleden… nog steeds niet op deze manier werken en ‘te hacken’ zijn.
Uit het rapport blijkt ook dat het basis wachtwoordbeleid van de stad Antwerpen "niet in lijn is met de ‘best practices’". Ze zijn dus niet in orde met wat algemeen wordt beschouwd als de basis voor een sterk wachtwoord, zoals een minimale lengte van 8 tekens en andere elementen. Daardoor zijn wachtwoorden makkelijker te raden door hackers.
Er wordt wel de nuance gemaakt dat het basiswachtwoord uiteindelijk door gebruikers zal worden veranderd en dat dat dus betekent dat niet alle wachtwoorden noodzakelijk zwak zijn.
Onderstaande grafiek geeft de tendens van het rapport mee en is een zogenoemde heatmap. De nummers zijn benoemde kwetsbaarheden.
Misconfiguraties en verouderde software
Verder in het rapport staan nog veel technische details over misconfiguraties, een foute configuratie van een informatiesysteem dat tot kwetsbaarheden kan leiden. Te veel mensen binnen de stad Antwerpen hebben volgens de audit te veel rechten om iets te veranderen op de IT-systemen. Mogelijk weten ze dat zelf niet eens, maar als een hacker hun account kraakt, kan hij wel meteen veranderingen in het systeem doorvoeren.
"Met de huidige technische back-ups is er geen garantie op een minimale dienstverlening."
Er wordt ook verouderde software gebruikt, onder meer een versie van Windows die sinds juni 2015 niet meer wordt ondersteund, andere toepassingen niet meer sinds 2020. Dat wil zeggen dat kwetsbaarheden niet langer worden ontdekt en verholpen door de leveranciers, staat in het rapport. “Als een aanvaller de software kan compromitteren, is het mogelijk om volledig toegang te verkrijgen tot de systemen. Dit kan leiden tot het volledige compromitteren van systemen en kan ernstige gevolgen hebben voor de reputatie van de stad Antwerpen”, staat te lezen in de analyse.
Het is niet zo dat de digitale deuren van het Antwerpse IT-systeem wagenwijd openstaan voor cybercriminelen, maar de audit laat, net als die uit 2020 al, wel de rode vlaggen wapperen. De voordeur had een driedubbel veiligheidsslot, maar de achterdeur leek wel open te staan voor personen met slechte bedoelingen.
De vraag is niet of, maar wanneer een cyberaanval zal plaatsvinden en wij het slachtoffer zijn
De hoogdringendheid van een betere cyberveiligheid sijpelt stilaan door bij het Antwerpse bestuur en na de audits van 2020 en 2021 wordt begin oktober 2021 een “cybersecurity programma” voorgesteld. Digipolis, de IT-partner van de stad, zal alles vertalen naar concrete projecten.
In het “cybersecurity programma” dat wordt voorgesteld aan het managementteam van de stad, dat zijn tientallen directeurs van alle stadsdiensten, staat letterlijk te lezen dat “de vraag niet is of maar wanneer er een cyberaanval zal plaatsvinden en wij het slachtoffer worden”.
Er staat ook dat “met de huidige technische back-ups er geen garantie is op een minimale dienstverlening”. Een back-up is een kopie van computergegevens die ‘elders’ is opgeslagen, zodat die kan worden gebruikt om alles te herstellen na verlies van data of een hack. Als er dus iets fout gaat bij de stad, zijn er mogelijk grote problemen. De bedenkingen zijn dan nog theoretisch.
De kroonjuwelen
In het “cybersecurity programma” wordt ook melding gemaakt dat in de eerste perfomantieaudit van Deloitte in 2020 al werd geadviseerd dat de stad Antwerpen moest bepalen welke IT-systemen als “kroonjuwelen” beschouwd worden. “Voor deze systemen moeten de risico’s en de business impact van cyberaanvallen worden geëvalueerd. Vervolgens kunnen bijkomende maatregelen gedefinieerd worden om de maturiteit te verhogen tot het gewenste niveau.”
Nog één van de beslissingen die men moest nemen ging over de back-up van deze “kroonjuwelen”; een fysieke back-up voorzien of eentje in de cloud. Die laatste toepassing is ettelijke miljoenen duurder dan een fysieke back-up (ruim 17 miljoen euro t.o.v. 11 miljoen euro). Uiteindelijk beslist men om voor de goedkopere oplossing te gaan.
In een interview met de Gazet Van Antwerpen zei Schepen van Digitalisering Erica Caluwaerts (Open VLD) eerder dit jaar dat de ‘meerwaarde van de cloud klein zou zijn en dat dezelfde beslissing genomen zou worden.”
Het is onmogelijk om te zeggen of de beslissing om back-ups op te slaan in de cloud de impact van de recente hacking zou hebben verkleind. Maar het kan, omdat ook fysieke back-ups bij een cyberaanval gegijzeld kunnen worden. De hack zou alvast daardoor niet voorkomen kunnen worden.
Vraag blijft wel: heeft de stad ondertussen wel bepaald wat haar zogenaamde 'kroonjuwelen' zijn (en worden die beter beschermd)?
Na de voorstelling van het programma op 6 oktober 2021 wordt er een plan van aanpak uitgerold, maar in najaar van 2022 loopt de implementatie van een aantal maatregelen vertraging op. Het gaat onder meer om de uitrol van een wachtwoordbeleid en multi-factor authenticatie en het verwijderen van een aantal toegangsrechten die heel wat mensen hebben op lokale systemen. Een probleem dat aangekaart werd in de audit van 2021. Enkele weken later wordt de stad gehackt.
“Stof vergaren”
Begin 2022 duikt nog een andere bezorgdheid op. Kort na de voorstelling van het programma om de cyberveiligheid aan te pakken, publiceert ook het Data Protection Office (DPO) van de stad Antwerpen zijn jaarverslag van 2021, het ‘Jaarverslag informatieveiligheid’. De DPO geeft de stad advies over gegevensbescherming. Het verslag wordt voorgesteld aan het managementteam van de stad.
In een opmerkelijke alinea staat te lezen dat de opvolging van het Informatieveiligheidsplan, dat al op 30 april 2020 werd goedgekeurd, door het stadsbestuur vragen oproept.
Het Informatieveiligheidsplan, goedgekeurd in 2020, ligt in een kast '"stof te vergaren"
Dat informatieveiligheidsplan bevat acties en maatregelen die moeten genomen worden op heel veel niveaus om de cyberveiligheid en de veiligheid van de gegevens van inwoners van Antwerpen en andere data te garanderen.
In het jaarverslag staat letterlijk te lezen: "We merkten echter dat dit document, eens opgesteld, niet gebruikt wordt in de werking van de stad en 'ligt stof te vergaren'."
"Besparingsrondes Digipolis negatief effect op IT-expertise"
Enkele weken voor de hack in december 2022 stelde Digipolis Antwerpen haar strategisch plan voor 2023-2027 voor. Daarin worden de plannen voor de komende jaren uit de doeken gedaan. Een plan waarin ambitie wordt uitgesproken, maar ook zeer duidelijk gevraagd wordt voor meer financiële middelen.
Er wordt nogmaals verwezen naar de eerste audit van 2020 waaruit blijkt dat Digipolis Antwerpen “beperkte middelen toekent aan digitalisering in vergelijking met internationale gemiddelden.”
“Digipolis ondersteunt vandaag meer dan 600 producten, waarvan een te groot deel verouderd is. Bijgevolg kunnen we de cyberveiligheid ervan niet garanderen, […]. Daarnaast zijn er applicaties in gebruik binnen de stad Antwerpen die niet door Digipolis gekend zijn en we dus ook niet beheren. Zij vormen potentieel een risico.”
In de tekst staat ook letterlijk: “Door de besparingsrondes bij Digipolis zijn we jarenlang aangewezen op gratis opleidingen en zelfstudie, wat onvermijdelijk een negatief effect heeft op onze IT-expertise. Bovendien worden onze collega’s niet voldoende geprikkeld en begeleid in hun carrière, wat nefast is qua retentie.” Met andere woorden: het is moeilijk om goede mensen te houden.
De ultieme hack
Veel steden en gemeenten en bedrijven worstelen met cyberveiligheid. Cybersecurity is heel complex. Amper 1 op de 2 bedrijven heeft een beveiligingsstrategie bleek onlangs uit onderzoek van werkgeversorganisatie Voka. De situatie in Antwerpen zal voor veel organisaties herkenbaar zijn. Beveiliging kost handenvol geld en er is een serieuze krapte op de arbeidsmarkt als het op cybersecurity-specialisten aankomt. Criminelen zijn meedogenloos en straffen elk digitaal foutje af.
Toch wijst in Antwerpen alles erop dat intern en extern al langer de alarmbellen afgingen. Met de ultieme hack tot gevolg.
“Vanaf het begin van deze legislatuur stond cyberhygiëne wel degelijk hoog op onze agenda", reageert de stad Antwerpen. "Het budget werd direct initieel verhoogd naar 800 duizend euro per jaar. Na het uitvoeren, en op basis, van de audits, juist met als doel om potentiële hiaten op te sporen, werd besloten om het budget te verhogen met 14,6 miljoen aangezien de stad er zich van bewust van was dat er een versnelling hoger moest worden geschakeld."
"Timinggewijs en rekening houdend met het feit dat de stad een zeer grote publieke overheidsdienst is, was het bijna onmogelijk om het volledige cyberprogramma uitgerold te hebben tegen de hack. Bepaalde zaken, zoals bijvoorbeeld default paswoorden op een aantal kritische systemen, werden wel degelijk opgespoord en aangepast."
"De strategienota van Digipolis was nét klaar in december 2022, en daar zet ik mijn schouders volledig mee onder om die te realiseren waarbij correcte financiering en een aantrekkelijk HR-beleid er uiteraard deel van uitmaakt."