IT-experts over de cyberaanval in Antwerpen: ‘Als alles wat de stad zegt klopt, zijn we getuige van een kerstmirakel’

Volgens het Antwerpse stadsbestuur hebben de door hackers gestolen gegevens geen ernstig nadeel opgeleverd voor burgers. Het zou vooral om administratieve gegevens gaan. Experts hebben zo hun bedenkingen bij die uitleg.

‘Uit wat experts tot op heden hebben kunnen opmaken, zijn er momenteel geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt waardoor particulieren ernstig benadeeld kunnen worden.’ Dat zei Antwerps burgemeester Bart De Wever (N-VA) maandagochtend op een persconferentie over de aanval van hackerscollectief Play.

Maandag was dan ook Deadline Day, de dag waarop de stad over de brug moest komen met losgeld in ruil voor de gegevens die het hackerscollectief zo’n twee weken geleden buit had gemaakt. De Wever bevestigde nogmaals wat hij al eerder had aangegeven: dat de stad geen losgeld betaald heeft en niet onderhandelde met het hackerscollectief. Waarom Antwerpen niet langer op de website van Play vermeld staat, daarvoor had ook de stad zelf geen verklaring.

Het is een verhaal dat Pieterjan Van Leemputten, IT-journalist bij Data News, maar moeilijk kan geloven. ‘Dat zou ik heel raar vinden’, zegt hij. ‘Als alles wat de stad zegt klopt, zijn we getuige van een kerstmirakel. Wat er dan wel gebeurd is volgens mij? Dat is pure speculatie. Misschien heeft een andere partij of bedrijf namens de stad betaald en wordt dat achteraf vergoed? Ik weet het niet.’

Kruimels volgen

Wel kwam de stad met extra uitleg over wat er gebeurd was. De openlijke aanval van Play op de stadsdiensten begon op 6 december. ‘Via forensisch onderzoek kwamen we erachter dat de hackers al sinds 24 november in de systemen van de stad zaten’, zegt Youri Segers, Chief Digital Officer en CEO van Digipolis. Hoe Play toegang verkreeg tot de systemen van de stad kon of wilde Segers niet zeggen.

Toen de aanval aan het licht kwam, ging de stad razendsnel in een digitale lockdown. Het gevolg was dat heel wat stadsdiensten een tijdlang onbereikbaar waren. Voor sommige diensten is dat nog altijd zo. Die trage heropstart heeft een goede reden: de stad wil systemen pas herstarten als ze zeker is dat het risico op een nieuwe aanval niet te groot is. Het kan tot eind januari duren eer alle diensten weer draaien. Intussen bouwt de stad ook aan een nieuwe digitale infrastructuur met betere beveiliging.

Vrijwel meteen na de aanval ging Antwerpen ook zelf op zoek naar welke gegevens de hackers wisten te stelen. Daarvoor volgde ze de sporen die Play achterliet en controleerde ze zelf de meest gevoelige data. ‘Als we alle kruimels samenleggen die we gevonden hebben, komen we aan een pakket data dat ongeveer even groot is als wat de criminelen zelf op het dark web beweren buitgemaakt te hebben’, zegt Bart Bruelemans, Chief Resilience Officer.

Voor zover Antwerpen kan nagaan, zijn het vooral administratieve gegevens die de hackers konden inkijken. Het gaat dan om personeelsgegevens, e-mails, bouwplannen, verzekeringsdossiers of boekhoudkundige gegevens. Al houdt de stad een serieuze slag om de arm. ‘Deze groepen zijn gespecialiseerd in het onder de radar blijven’, zegt Segers.

‘Hoe goed kunnen ze nagaan wat er juist gestolen is? Dat is en blijft inderdaad de vraag’, zegt professor computerbeveiliging Bart Preneel (KU Leuven). ‘Als hackers sporen gewist hebben, weet de stad dat niet. Daarom dat de formulering van de stad zo voorzichtig is. Ze kan nu niet met absolute zekerheid zeggen welke informatie gelekt is. Een boodschap van ‘we kunnen op onze beide oren slapen’, zou hier niet aan de orde zijn.’

Gevoelige informatie

Anderzijds kan het volgens Preneel wel dat de hackers niet doelgericht op zoek zijn naar gevoelige informatie, maar gewoon zoveel mogelijk proberen te pakken te krijgen. ‘Die hackers zijn geen Vlamingen’, zegt hij. ‘Wellicht weten ze niet goed waar ze naar op zoek moeten gaan. Zo zou het kunnen zijn dat ze systemen hebben geraakt die minder gevoelig zijn. Al kan er ook in personeelsgegevens of bouwaanvragen gevoelige informatie zitten.’

Dat is wat computerwetenschapper Jeroen Baert stoort aan de communicatie van de stad Antwerpen. ‘Het lijkt alsof Antwerpen een inschattingsfout maakt van hoeveel last zelfs secundaire data zoals een mailadres, naam of moment van vergadering kan veroorzaken voor phishing. Stel nu dat een hacker weet wanneer wij afgesproken hebben. Als die hacker jou in mijn naam een mail stuurt met daarin de vraag of jij ‘na onze ontmoeting van vorige week dit document even kan nakijken’, ga jij er al snel vanuit dat enkel de echte Jeroen Baert kan weten dat er een afspraak was waardoor je dat document opent. Het kan dat dit allemaal deel uitmaakt van een communicatiestrategie om zo weinig mogelijk te zeggen, maar dat er precies geen rekening gehouden wordt met de mogelijkheid dat er wel veel gevoelige data gelekt is, boezemt mij geen vertrouwen in.’

Wellicht laat de stad Antwerpen niet het achterste van haar tong zien. Al beseffen alle experts maar al te goed waarom dat zo is. ‘Dat zou ik begrijpen’, zegt Van Leemputten. ‘Als journalist zou ik liever alle informatie op tafel zien. Maar als het over ransomware gaat, weet ik dat bedrijven en overheden niet alles kunnen delen. Je wil criminelen niet het signaal geven dat je ervoor openstaat om losgeld te betalen bijvoorbeeld.’

Ook zou de stad Antwerpen zo onrechtstreeks meebetalen aan andere aanvallen op andere doelwitten. Dat risico is niet te onderschatten. Uit het onderzoek van de stad bleek dat ook andere steden zoals Leuven, Hasselt en Genk mogelijk gevaar liepen. De Vlaamse Vereniging van Steden en Gemeenten (VVSG) bevestigde aan persagentschap Belga dat zij maatregelen namen.

(DM)