De Stad Antwerpen communiceert voor het eerst over de cyberaanval die de IT-infrastructuur al twee weken lang teistert. Volgens burgemeester Bart De Wever zijn er naar alle waarschijnlijkheid geen gevoelige persoonsgegevens getroffen. De stad zal niet betalen aan de criminelen.
“Om vier uur ’s nachts op zes december werden de agressors gedetecteerd op de systemen van de stad”, zegt Youri Segers, CEO van Digipolis, tijdens de eerste persconferentie van de stad Antwerpen over de aanval. “De hackers zijn waarschijnlijk via een kwetsbaarheid op 24 november binnengeraakt in de systemen van de stad. We hebben in de nacht van zes december meteen beschermende maatregelen genomen en de back-ups afgesloten.”
Segers geeft daarmee de meest concrete informatie tot nu toe over de cyberaanval op de stad, al blijft het onduidelijk hoe de hackers van collectief Play precies zijn binnengeraakt en waarom de stad de malafide activiteiten in het netwerk niet heeft gedetecteerd.
De hackers konden op relatief korte tijd aan de haal gaan met 557 GB aan gegevens, wat de stad min of meer bevestigd. “Met dank aan experten hebben we kruimels gevonden die een indicatie geven van wat gestolen is”, zegt Chief Resilience Officer Bart Bruelemans. “We kunnen niet helemaal zeker zijn, maar de data die wij inschatten is ongeveer even groot als het gestolen pakket aan gegevens.”
Gestolen data
Waarmee is Play nu precies aan de haal gegaan? Burgemeester Bart De Wever is duidelijk. “Tot op heden zijn er geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt waarmee particuliere burgers erg benadeeld zouden kunnen worden. Ieder woord van dat statement is belangrijk.”
Tot op heden zijn er geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt waarmee particuliere burgers erg benadeeld zouden kunnen worden.
Bart De Wever, Burgemeester Antwerpen
Dat pakken we even uit: de stad communiceert meteen transparant over het feit dat een reconstructie van de feiten niet sluitend is. “We zien wat we zien, maar we zien niet wat we niet zien”, aldus Bruelemans. Vervolgens zegt De Wever niet dat er geen persoonsgegevens zijn buitgemaakt, wel dat het naar alle waarschijnlijkheid niet gaat over gegevens die vlot misbruikt kunnen worden.
Vooral de interne systemen van de stad zouden geraakt zijn. Play kon veel administratieve data stelen zoals bouwplannen, boekhoudkundige data en mailverkeer. Die gegevens bevatten ongetwijfeld wel wat gevoeligheden, maar er zijn geen aanwijzingen dat er databases met gegevens rond bijvoorbeeld identiteitskaarten of biometrische data zijn buitgemaakt.
Geen cent betaald
De burgemeester maakt heel duidelijk dat de stad niet betaald heeft aan Play en dat ook niet van plan is. “Wij gaan niet onderhandelen of betalen. Die beslissing is genomen. Dat is geen evidente beslissing en we hebben alle begrip voor collega’s die het anders aanpakken. Wij kunnen het ons permitteren door de situatie waar we inzitten.” De Wever verwijst daarmee naar de back-ups die intact zijn, zodat Antwerpen geen losgeld hoeft te betalen om opnieuw aan de eigen gegevens te geraken.
De stad heeft verder meteen andere besturen gecontacteerd met details over de aanval van Play. Ook elders in ons land zouden de hackers zich toegang hebben verschaft tot het netwerk. Daar zijn de aanvallers nu buiten gewerkt zonder dat ze hun aanval konden vervolledigen. Of dat ook impliceert dat er nergens anders gegevens werden gestolen, is onduidelijk.
Beschikbaarheid systemen
Antwerpen heeft uit voorzorg meteen heel veel systemen offline gehaald. “We zijn zelf in digitale lockdown gegaan uit voorzorg”, zegt De Wever. “De heropstart van onze systemen kan sneller gaan, maar het is onze bedoeling om absoluut secuur te werk te gaan. Alleen wanneer de veiligheid van een systeem honderd procent gegarandeerd is, gaat het terug online.”
Alleen wanneer de veiligheid van een systeem honderd procent gegarandeerd is, gaat het terug online.
Bart De Wever, Burgemeester Antwerpen
De Wever wijst erop dat toepassingen momenteel met mondjesmaat terug beschikbaar komen. “De komende dagen wordt er veel hersteld, maar de allerlaatste zaken zullen nog weken in beslag nemen, tot eind januari.”
Kon erger
Zo lijkt de stad er al bij al goed vanaf te komen. “Met goede back-ups is het in een complexe omgeving zoals die van een grote stad een werk van weken om back-ups volledig te herstellen”, bevestigt Mark Loman, VP Software Engineering bij Sophos. Zonder de intacte back-ups was de situatie anders. Dan slaan de gestolen en vernietigde gegevens een erg diep gat. Loman weet uit ervaring dat de impact zich in zo’n geval maanden tot zelfs jaren laat voelen.
lees ook
De 5 fases van een cyberaanval: wanneer kan je nog tussenkomen en wanneer is het te laat?
De Wever geeft nog aan dat Antwerpen volop bezig was met de uitbouw van de beveiliging. “Net zoals de Spaanse omwalling ook elf jaar heeft gekost om te bouwen, kan je een enorme digitale omgeving als de stad ook niet meteen beveiligen.” De stad had met andere woorden nog een stevige legacy-omgeving waar de beveiliging niet helemaal op punt stond.
Zip-bestandjes
“Iets oudere omgevingen zijn doorgaans gebouwd rond perimeterbeveiliging”, licht Loman nog toe. Wanneer een hacker in zo’n geval voorbij de verdediging raakt, heeft hij vrij spel. Loman vertelde ons eerder nog dat hackers zoals Play na de initiële kraak data kunnen inpakken in een zip-bestandje en dan grote volumes kunnen uploaden naar een clouddienst. Segers bevestigt tijdens de persconferentie dat Play die strategie exact heeft gevolgd.
Een gebrek aan monitoring verklaart ook hoe Play op korte tijd een halve terabyte aan data kon buitmaken. “In veel gevallen neemt een dergelijke aanval maar enkele weken in beslag”, bevestigt Loman nog.
Sprint en marathon
Momenteel versnelt Antwerpen zijn beveiligingstraject. “De beveiliging van de omgeving is een marathon”, zegt De Wever. “Daarvan gaan we nu een deel sprinten. Een aantal aspecten die de komende jaren zouden gebeuren, worden nu de komende maanden uitgevoerd. Ik word er zenuwachtig van.”
De Wever alludeert op het gebrek aan gebruiksgemak dat extra beveiliging met zich meebrengt, al is dat een visie die voor een stuk berust op vooroordelen. Goed geïmplementeerde beveiliging hoeft werknemers niet te beperken in hun taken, al betekent dat wel dat de juiste oplossingen op de juiste manier moeten uitgerold worden.
lees ook
Wat is MFA en hoe veilig is het echt?
“We mogen niet beloven dat alles op sprintniveau kan blijven gaan”, zegt De Wever nog. “Dat is niet realistisch.”
Niet op de lauweren rusten
Uit de persconferentie blijkt dat Antwerpen de ernst van de zaak goed begrijpt. Het is niet de ambitie om alles te herstellen zoals het was. Schepen voor Digitalisering Erica Caluwaerts: “We gaan alles veilig maken. Dat impliceert een verbouwing van de globale IT-architectuur. We zijn ons bewust van de zware verantwoordelijkheid betreffende data die wij bezitten.”
Dat zal nodig zijn, horen we van Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense. “Er is een verhoogde activiteit van ransomware-groeperingen in Europa”, weet hij. “Dat komt voor een stuk omdat nieuwe wetgeving in de VS het moeilijker maakt voor slachtoffers om losgeld te betalen. Aanvallers richten zich daarom op andere doelwitten.” Van Antwerpen lijkt Play in ieder geval niet rijk te zullen worden.
De Wever besluit: “Ik wil me verontschuldigen voor het ongemak dat burgers hebben moeten ondervinden, we doen er alles aan om dit zo snel mogelijk op te lossen.”