De stelling

Deze maand: "Onze lokale besturen zijn voldoende beveiligd tegen cyberaanvallen."

Inleiding

In januari werd de gemeente Willebroek getroffen door een grote cyberaanval. Die legde de meeste systemen plat. Kan dat ook gebeuren bij andere lokale besturen in Vlaanderen? Bereiden ze zich voor op zulke hacks? Hans Graux en Anne Teughels, respectievelijk voorzitter en adviseur bij de Vlaamse Toezicht- commissie (VTC), volgen dit dagelijks op.

Omschrijving

Hans Graux: “Het spreekt voor zich dat kleinere gemeenten het moeilijker hebben met hun beveiliging dan grote steden die daar soms een apart departement voor hebben. Bovendien kan niemand beweren 100 procent beveiligd te zijn, want dat is onmogelijk. Een van de grootste pijnpunten blijft het wachtwoordbeleid. Mensen kiezen nog te vaak zwakke wachtwoorden en passen die te weinig aan.”

Anne Teughels: “Overheden maken ook nog te weinig gebruik van tweestapsverificatie. Dan heb je, naast je wachtwoord, nog een andere manier nodig om te bevestigen dat je wilt inloggen. Dat kan bijvoorbeeld een sms’je met een code zijn dat naar je gsm wordt verstuurd of met je e-ID.”

Hans: “De gemakkelijkste manier om bestanden naar elkaar te sturen is via mail. Dat gebeurt ook bij lokale overheden, maar het is geen beveiligde omgeving. Zij hebben echter niet steeds de middelen om een beveiligde omgeving te bouwen om bestanden uit te wisselen. Gelukkig zijn er steeds meer universele tools die de kans op onderschepping door hackers verkleinen. Het VTC stimuleert het gebruik van die tools. We nemen waar mogelijk een adviserende rol op, eerder dan een sanctionerende rol. Het heeft geen zin sancties op te leggen als je niet eerst oplossingen aanreikt.”

Anne: “Menselijke fouten kunnen altijd gebeuren. We weten ondertussen wel wat een phishing mail is, maar ze worden beter en beter en dus minder herkenbaar. Tegenwoordig pikken mails zelfs in op een conversatie die je echt hebt gevoerd, bijvoorbeeld met je bank. Je moet al een professional zijn om die mails te spotten.”

Hans: “Phishing blijft dus de meest courante manier waarop hackingsoftware een systeem binnenkomt. Belangrijk in zo’n geval is dat niet alle computers op hetzelfde systeem zijn aangesloten. Zeker niet zonder enige beveiligingsmaatregelen of beperkingen. Door verschillende systemen te gebruiken, raakt slechts een deel geïnfecteerd. Zorg er ook voor dat je backup niet gelinkt is aan datzelfde netwerk. Je hebt niets aan een back-up als die even kwetsbaar is.”

Conclusie

Lokale besturen staan al veel verder dan enkele jaren geleden. De Europese GDPR-regelgeving dwong hen om een Data Protection Officer aan te nemen, een grote stap vooruit. Ook een incident als in Willebroek zorgt voor extra aandacht bij steden en gemeenten. Nu gaan we bij een deel van de gemeenten naar de volgende fase: de beveiliging is verbeterd, maar als je toch wordt aangevallen, hoe ga je daar dan mee om?

Personalization

Je webbrowser is verouderd en wordt niet ondersteund door de ACV-website. Klik hier om een nieuwere versie te installeren.