Audits IT-systeem Antwerpen wezen jaren geleden al op cyberrisico

Digipolis, de IT-poot van de stad Antwerpen, wist op basis van een audit van Deloitte uit juni 2020 dat de cyberveiligheid van de grootste stad van Vlaanderen ondermaats was. In 2021 bracht een tweede doorlichting, een Vlaamse cyberaudit, opnieuw pijnpunten naar boven.

Op basis van de audits ging Digipolis aan de slag, want de uitdaging bleek groot. 'We ondersteunen vandaag meer dan 600 producten, waarvan een te groot deel verouderd is. Bijgevolg kunnen we de cyberveiligheid ervan niet garanderen’, staat te lezen in zijn ‘strategisch plan 2023-2027’ dat werd opgemaakt na de audits, en dat De Tijd kon inkijken. Een deel van de applicaties 'is niet door Digipolis gekend, waardoor het die ook niet kan beheren'.

Ook heeft de IT-poot het over de ‘doorgedreven vermindering van de budgetten’ waardoor hij zijn werk niet meer naar behoren kan doen. 'Slechts 1,2 procent van de IT-middelen is beschikbaar voor IT-beveiliging, terwijl de standaard 10 procent is', bleek uit de audit van 2020. 'Beveiliging was nooit een beleidsdoelstelling op zich.'

De groep beslist om in 2022 een ‘inhaalbeweging’ in te zetten om in 2024 te landen bij een 'minimale veiligheid’. Tijdens dat traject moesten ook de ‘kroonjuwelen’ geïdentificeerd worden.

Te laat, zo blijkt. Begin vorige week sloeg het hackerscollectief Play toe. De aanval vond vorige week maandagnacht plaats, maar leidt nog altijd tot de blokkage van tal van stadsdiensten. Het collectief heeft naar eigen zeggen meer dan een halve terabyte gegevens buitgemaakt. Het gaat onder meer over die bewuste ‘kroonjuwelen’: persoonlijke gegevens, financiële documenten en paspoorten van Antwerpenaren. Als de stad geen losgeld betaalt, dreigt de groep de data te lossen.

'Onvoldoende gehoor'

Op basis van de audits voorzag de stad Antwerpen de voorbije vier jaar in 19,4 miljoen euro extra budget voor cybersecurity, benadrukte schepen voor Digitalisering Erica Caluwaerts (Open VLD) dinsdagavond in de raadscommissie. Ze gaf ook aan dat nog 'stevige investeringen nodig zullen zijn'.

De Antwerpse oppositiepartij Groen vindt dat het allemaal te traag op gang kwam. ‘Ondanks de bezorgdheid in de audits en de actieplannen van Digipolis volgden de stedelijke middelen te traag en onvoldoende’, zegt gemeenteraadslid Niel Staes. ‘Dat komt ons nu duur te staan.’

Groen wijst ook fijntjes naar het contrast met een royale investering in politie en klassieke ordehandhaving. ‘We hebben nood aan bestuur dat minder kickt op bearcats en drijvende combi’s, en kiest voor een robuust veiligheidsbeleid op maat van de 21ste eeuw.’

Het kabinet van burgemeester Bart De Wever (N-VA) is karig met commentaar. 'Antwerpen werkt al een hele tijd aan een robuust plan rond cyberveiligheid maar het vergt effectief tijd om zoiets volledig uit te rollen over een organisatie met talloze toepassingen die vaak al lang ingebed zijn', zegt woordvoerder Johan Vermant.

Over de inhoud van de twee audits verwijst de burgemeester door naar Caluwaerts, die over enkele dagen een jaar op de post zit. Naast haar schepenpost is ze ook voorzitster van Digipolis en zit ze de maandelijkse vergaderingen van dienst voor. Caluwaerts wenste 'in het kader van het onderzoek' echter niet te reageren.