Geraardsbergen. Naar aanleiding van de cyberaanval op de stad en het OCMS is er zeer gevoelige en persoonlijke informatie gelekt. Gisteren en deze morgen verschenen er kritische commentaren op het optreden van schepen van ICT Veerle Mertens (CD&V). We vroegen schepen Mertens om een reactie. Omwille van de ernst van de zaak publiceren we haar reactie integraal:
‘De cyberaanval werd vanaf de ontdekking ervan op 22 september meteen zeer ernstig genomen. De hackers gebruikten daarbij ransomware of software die informatie versleutelt. Alles werd onmiddellijk na de ontdekking van de hacking uitgeschakeld en geïsoleerd om verdere besmetting en encryptie te voorkomen (er werd dus niet anderhalve week getreuzeld, zoals mr. Bourlau laat uitschijnen). Tijdens het incident werden alle nodige acties ondernomen om de verspreiding van de kwaadaardige software tegen te gaan. Het lokaal bestuur riep ook meteen de hulp in van gespecialiseerde emergency respons teams, cybersecurity-experten, politiediensten en andere overheidsdiensten en autoriteiten.
De stelling dat er een geringere impact was bij de cyberaanval vorig jaar had betrekking op de gevolgen voor de dienstverlening en bereikbaarheid van de diensten. Nadat de nodige acties werden ondernomen, werden de servers vanaf de back-ups volledig heropgebouwd, zodat de dienstverlening aan de burger zo snel mogelijk opnieuw maximaal gegarandeerd kon worden. Uiteraard werden ook nieuwe wachtwoorden verspreid na de cyberaanval (in tegenstelling tot wat wordt beweerd, heeft niemand nog met zijn oude wachtwoorden kunnen werken sinds het ontdekken van de hacking). De dienstverlening kon terug snel worden opgepikt omdat heel wat van de systemen de laatste jaren werden ondergebracht in de cloud (en dus niet geïmpacteerd werden). Ook konden de bestanden die wel getroffen waren, via de back-ups gerecupereerd worden. Dat werd inderdaad op de gemeenteraad vermeld.
De forensische onderzoeksteams vonden bij de analyses van de hacking vorig jaar geen bewijs of indicaties dat er effectief data gestolen zouden zijn. Het is pas gisteren, bij de publicatie van bepaalde data, dat hierover zekerheid ontstond. Het is ook pas op dat moment duidelijk geworden welk type informatie gelekt is en wat de mogelijke impact is.
Tot op vandaag werd het lokaal bestuur niet rechtstreeks gecontacteerd door de hackersgroep. Twee weken geleden werd via de pers vernomen dat de hackersgroep Lockbit op het dark web dreigde om bepaalde gegevens publiek te maken die het toen mogelijks gestolen zou hebben. Tot dan wist men niet welke hackersgroep achter de cyberaanval zat. Specialisten hebben tijdens de crisisvergaderingen ook ten stelligste afgeraden in te gaan op eventuele losgeldeisen van hackers. Hun ervaring leert namelijk dat een betaling niet steeds tot een (werkende) ontgrendelingssleutel leidt. Zelfs bij betaling en ontgrendeling wordt soms de poort opengezet voor verdere afpersing, of wordt soms de info alsnog gepubliceerd door de hackers of doorverkocht aan andere groeperingen die op hun beurt proberen af te persen. Het advies van al deze gespecialiseerde diensten en experten is dan ook duidelijk, nl. niet ingaan op dergelijke eisen.
Dergelijk hacking misdrijf bestaat vaak uit twee delen. Als men niet betaalt bij het blokkeren van de servers, doen de hackers een volgende afperspoging door te dreigen eventueel gestolen data te publiceren.
Bij een tweede afperspoging worden de slachtoffers gecontacteerd door de hackers met bewijs dat zij wel degelijk de hackers zijn en zij over gestolen data beschikken. In het geval van lokaal bestuur Geraardsbergen werd echter geen contact gezocht met het bestuur, werd geen bewijs van bezit van data geleverd en werd geen mogelijkheid geboden om met hen in contact te komen.
Al de acties en inspanningen konden jammer genoeg niet voorkomen dat bepaalde data, waaronder ook privacygevoelige data, in handen kwamen van de betrokken hackersorganisatie en nu gepubliceerd werden. Geraardsbergen is zeker geen alleenstaand geval. Tal van andere publieke en private organisaties en bedrijven werden en worden gehackt. Cybercrime is moeilijk te bestrijden en is één van de grote uitdagingen van vandaag en morgen.
Er werd de laatste jaren steeds sterk geïnvesteerd in de ontwikkeling van onze ICT-infrastructuur en het voortdurend verbeteren van de veiligheid ervan. Er werden externe audits gedaan en verbeterplannen opgesteld en uitgevoerd. Na de hacking werden een aantal security-verbeteringsprojecten die gepland stonden, versneld uitgevoerd. Er werden ook bijkomende investeringen goedgekeurd voor verbeterprojecten die nu in uitvoering worden gebracht. Toch zijn gespecialiseerde securitybedrijven het erover eens dat er nooit 100% digitale veiligheidsgarantie geboden kan worden. Waakzaamheid is steeds geboden en het lokaal bestuur, de lokale politie en safe on web geven hier ook tips voor.
Het lokaal bestuur heeft direct in alle openheid naar haar burgers gecommuniceerd, zowel bij de cyberaanval vorig jaar als nu bij de publicatie van de gelekte data, en zal ook verder sensibiliseren om de nodige waakzaamheid aan de dag te leggen. Er werd ook een infolijn opgezet voor inwoners die vragen zouden hebben of ongerust zouden zijn: 054/43.42.99 of info@geraardsbergen.be.
Bovendien worden de komende dagen brieven verspreid over het ganse grondgebied om de inwoners van Geraardsbergen verder te informeren en te sensibiliseren.’
Link naar persbericht lokaal bestuur dd. 15/02/2023: Update 15/02/2023 ransomware-aanval Geraardsbergen – Lokaal Bestuur Geraardsbergen