Privacyverklaring

Stad Diest: “De impact van de cyberaanval was gigantisch”

7 april 2023
Tekst
Lieven Desmet

Ook steden en gemeenten hebben steeds vaker te maken met cybercriminaliteit. Diest kreeg af te rekenen met een aanval op zijn onlinediensten, met een gigantische impact op de dienstverlening tot gevolg. “Sinds de cyberaanval is het wel gemakkelijker om budgetten voor beveiliging vrij te maken”, blikt financieel directeur Jo Haenraets terug.

Eind december 2022 werden de onlinediensten van de stad Diest ’s nachts gehackt. Toen de stadsdiensten op maandagochtend nietsvermoedend aan de slag wilden, bleken de interne systemen niet te werken. De loketdiensten lagen plat, net als de software om inwoners digitaal verder te helpen. Naast de stad zelf werden ook de bibliotheek, verschillende scholen en het lokale cultuurcentrum getroffen. “We konden geen e-mails beantwoorden of ontvangen, niets lukte nog”, zegt Jo Haenraets. “Voor een stadsdienst is de dienstverlening naar de inwoners cruciaal. Onze eerste zorg was dan ook die opnieuw op gang te krijgen.”

De financieel directeur van de stad Diest en het OCMW zegt dat de stad een business continuity plan (BCP) had opgemaakt tijdens de covidperiode. “Conclusie was dat dit niet zo bruikbaar was. Covid was een heel andere soort crisis. Uiteindelijk heeft een externe instantie een businessimpactanalyse gemaakt, die een BCP meestal voorafgaat. Met zo’n analyse ga je na hoe kritiek het wordt wanneer processen een tijdlang zijn uitgeschakeld en wat per proces de kritieke limiet is.”

Digitalisering maakt ons kwetsbaar

Eerder waren onder meer Antwerpen, Genk en Zwijndrecht slachtoffer van cybercriminaliteit. Of het om hetzelfde hackerscollectief ging, weet Jo Haenraets niet. “Eerlijk gezegd interesseerde ons dat niet. We zijn ook geen onderhandelingen opgestart en hebben niets betaald. Als je daarmee begint, weet je niet waar je eindigt. We wilden vooral zo snel mogelijk alle applicaties opnieuw actief krijgen.” Diest startte noodloketten op, zodat de dienst bevolking bereikbaar was. “De administratie van de dienst burgerzaken heeft ruim twee en een halve maand via een noodloket in het stadhuis van Diest gewerkt, omdat enkel daar een beveiligde verbinding mogelijk was.” Tot vandaag is Diest bezig met het inhalen van de achterstand en het wegwerken van de laatste stuiptrekkingen.

De boekhoudkundige diensten waren eveneens getroffen. Leveranciers konden niet betaald worden. “Ook was het niet mogelijk om bijvoorbeeld kinderopvang of maaltijddiensten af te rekenen. Hetzelfde gold voor de loonberekening van het personeel, de btw en de bedrijfsvoorheffing. We dienden alles manueel te verwerken. Dan pas merk je hoe kwetsbaar we zijn door de verregaande digitalisering. Zonder die toepassingen kan je eigenlijk niets aanvangen.”

Extra investeringen

Intussen bouwde Diest een volledig nieuw netwerk, met verschillende clouddiensten, tweefactorauthenticatie, een doorgedreven back-upbeveiliging met tapes en het worm-principe (write once, read many). “We hebben ingeboet aan gebruiksgemak, maar we hebben veel sprongen gezet richting meer veiligheid. Niemand van het personeel klaagt over de vele veiligheidsparameters, omdat ze weten wat het alternatief is”, glimlacht Jo Haenraets. Het kostenplaatje voor de schade liep op tot ruim 700.000 euro. Al wil de financieel directeur dat wel nuanceren: “Een groot deel van dat bedrag gaat naar extra investeringen om de cyberveiligheid te verhogen en een nieuwe aanval in de toekomst te vermijden. Veel van de investeringen stonden op de planning en werden nu versneld doorgevoerd. We hebben zo goed als geen rechtstreekse inkomsten gederfd. Het bedrag gaat bijna volledig naar datarecuperatie, ondersteuning en verdere investeringen (hardware en software) in cyberveiligheid.”

Gemiddelde score

Ironisch genoeg had Diest net voor de hacking nog een ICT-audit gehad. “We scoorden bij de gemiddelde steden in Vlaanderen”, zegt Jo Haenraets, die de nieuwe Europese NIS2-richtlijn tegemoet ziet. “We zitten nu boven ons IT-budget voor dit jaar, maar eigenlijk was het in het verleden niet echt een kwestie van middelen. Sinds de cyberaanval is het wel makkelijker om budgetten vrij te maken, moet ik toegeven. Daar hebben we deze richtlijn niet voor nodig. Voor de bewustwording zal het zeker nuttig zijn.”