Eind vorige week waren berichten in de Belgische pers over de kosten van de cyberaanval op Antwerpen reden voor Nederlandse cyberexperts in de pen te klimmen. Wat zij communiceerden was deels voorspelbaar.
De genoemde schade zou bestaan uit circa 11 miljoen Euro kosten om de getroffen diensten weer aan de praat te krijgen en 84 miljoen investeringen “om het huidige programma dat de cyberveiligheid moet waarborgen extra te beveiligen”. Dat laatste bedrag bestaat uit twee delen. 48 miljoen is bestemd voor het versneld invoeren en 36 miljoen gaat naar Digipolis, de IT-partner van de stad, om de nodige ingrepen uit te voeren.
Grote bedragen
Iedereen met een kennis van IT bij de overheid zal schrikken bij het zien van deze bedragen. Dit zijn ongekend grote bedragen en zo te zien is voor geen van de kostenposten een aanbesteding gedaan. Nederlanders, niet bekend met de manier waarop in België politiek en ambtenaren opereren zullen de wenkbrauwen fronzen bij de meldingen in de lokale pers dat verschillende stadsdiensten zelf investeringen gedaan om de gevolgen van de cyberaanval op hun werking te counteren.
Nederlandse reacties
Door Nederlandse cyberexperts is gereageerd op de krantenkoppen die gaan over het bedrag van 95 miljoen Euro. Een deel wijst erop dat dit het gevolg kan zijn van je zaken niet voor elkaar hebben. Wat daaronder wordt verstaan blijft onduidelijk, maar Antwerpen is een waarschuwing. In een aantal gevallen wordt daarna een commerciële wending aan het verhaal gegeven. Voorspelbaar en weinig sympathiek.
Er is ook een ander geluid te horen en dat kan worden samengevat met twee woorden “hoe dan?” die reactie is veel interessanter. Wie die vraag stelt en ook wil beantwoorden zal moeten kijken naar de audit die in 2021 is doorgevoerd. De IT van de tweede stad van België was en is al jaren slecht onderhouden. MFA ontbrak voor bijna alle toepassingen. De audit, uitgevoerd door Deloitte Security, maakt melding van pijnlijke tekortkomingen. Zo was ‘12345678’ een geaccepteerd wachtwoord (bron).
De stadsbestuurders hebben niet minder dan 600 applicaties onderdeel laten zijn van het gemeentelijk IT platform. Controle op de kwaliteit was er niet, centrale regie al evenmin. Dan is het niet alleen onvermijdelijk dat je platform aan makkelijk doelwit wordt van cybercriminelen. Dat daardoor de kosten voor herstel uit de pan rijzen is dat ook.
Risisco of onbekwaam?
Iedereen die stelt dat deze cyberaanval niet vermeden kon worden en dat Antwerpen wel klappen moest krijgen heeft overigens ongelijk. Aanvallen zelf zijn niet te voorkomen, maar ze zijn af te weren en daarmee is elke vorm van schade in te dammen. Wie alleen maar inzet op meer en hippe apps en niet serieus investeert in security neemt onverantwoorde risico’s of is cyberonbekwaam.