Antwerpen had de cyberaanval misschien niet kunnen voorkomen maar ze had de impact wel kunnen verminderen

Ook na de commissie achter gesloten deuren van dinsdagavond 28 februari, blijft Ben Van Duppen, woordvoerder van PVDA Antwerpen, op zijn honger zitten over de vraag hoe het zo ver is kunnen komen.

Het werd duidelijk dat de Digipolismedewerkers de laatste maanden alles op alles hebben gezet om de schade te beperken, diensten opnieuw online te krijgen, en dat er nu versneld een heleboel veiligheidsmaatregelen worden ingevoerd. Maar cyberveiligheid werd nooit centraal gezet in het IT beleid van de stad, en daardoor werd er zo weinig aangepakt sinds een doorlichting uit 2020 heel wat pijnpunten blootlegde.

De stad wil geen vraagtekens zetten bij de besparingslogica die tot de onveilige software geleid heeft. Dit moet anders. De stad pakt na de aanval haar cyberveiligheid stevig in handen, maar ze dreigt zich compleet afhankelijk te maken van Microsoft en dure consultancybureaus. We moeten onze publieke IT-dienst, Digipolis, versterken en samenwerkingen opzoeken met andere steden zoals Amsterdam en Barcelona.

De gevolgen van de cyberaanval zijn van 5 december niet mals. De stedelijke dienstverlening is al maandenlang verstoord, onze persoonlijke data zijn mogelijks gelekt en de stadskas verliest in tijden van budgettaire krapte tientallen miljoenen euro’s.

Besparen onder het mom van nieuwe hippe technologie, bling-bling besparen, dat was jarenlang de inzet van het IT beleid van het stadsbestuur. Nieuwe glimmende applicaties die deel waren van het zogenaamde Antwerp City Platform as a Service (ACPaaS) moest Antwerpen op de kaart zetten als innovatieve stad en tegelijk mensen vervangen. Maar door de druk op nieuwe functies en een te beperkte IT budgetten was veiligheid en dienstverlening nooit een prioriteit. Cyberveiligheid werd uitbesteed aan externe consultants die vooral dure rapporten schreven die nadien stof bleven vergaren.

‘Ultiem gebruiksgemak voor de Antwerpenaar! U kan niet alleen gebruik maken van gloednieuwe zelfbedieningszuilen, maar er is ook de lancering van de Antwerpen-app’, daarmee probeert de N-VA haar besparingsproject ‘loket op maat’ te verkopen.

Stadsloketten worden afgebouwd en medewerkers worden vervangen door digitale zuilen. Die staan natuurlijk niet in de loketten, maar voor de aanvraag van een document zal je voortaan naar het zwembad moeten. Deze communicatie toont hoe de stad al jaren naar technologie kijkt. Het dient om te besparen, en dat op opzichtige ‘bling-bling’ manier te verkopen. Ook al staat de software niet op punt: de besparing op het personeel is al doorgevoerd en dus moet het project doorgaan. Resultaat zijn overwerkte medewerkers, dienstverlening die steeds verder achteruit gaat en veel mensen die niet meer mee zijn.

Dit is slechts één voorbeeld, maar dit beleid dat al sinds de vorige legislatuur de digitale agenda van de stad bepaalt, heeft ook de basis gelegd van de zwaktes die de hackers uitbuitten. Het strategisch plan van Digipolis beschreef het zo: ‘Doorgedreven vermindering van de budgetten voor digitalisering, met een in verhouding (te) grote focus op nieuwe projecten, zorgden op verschillende domeinen voor een afkalving van onze bedrijfsvoering. Dit heeft impact op onze medewerkers en op onze resultaten.’

Er moeten altijd nieuwe applicaties bijkomen, voor steeds minder geld. Waar IT bij overheidsorganisaties doorgaans 4.5% van het werkingsbudget beslaat, is dat in Antwerpen minder dan 2.7%. Maar de Bling-Bling ambities zijn heel groot. En meer nieuwe functies met steeds minder middelen, dat wil zeggen besparen. Niet op de zichtbare projecten natuurlijk. maar wel op wat niet zichtbaar is: de veiligheid. Het strategisch plan wees hier al op: ‘Een te groot deel van de huidige applicaties is verouderd en al jaren niet meer onderhouden […] we zijn niet meer mee met de security vereisten van vandaag de dag.’ ‘Er is een groot gevaar dat op korte termijn één of meerdere kritieke systemen niet meer beschikbaar zullen zijn.’ Woorden die in december 2022 plots profetisch bleken.

De stad wist al lang dat er veel met haar cyberveiligheid schortte. In 2020 en 2021 trok ze tienduizenden euro’s uit voor doorlichtingen van consultancybedrijf Deloitte. De resultaten waren bedroevend. De veiligheid van de computersystemen, waarop duizenden gigabytes aan persoonlijke informatie van ons allemaal staan, is ‘geen doel op zich’. Niet minder dan zeven kritieke punten met topprioriteit waren er. Maar oplossingen werden uitgesteld wegens beperkte budgetten. Maar er werden wel bijkomende budgetten toegekend voor nieuwe beleidsprojecten. Over de redenen voor dit uitstel was het op de raadscommissie stil.

Cyberveiligheid werd ge-outsourced naar Deloitte, om er nadien niets mee te doen. Het ging zo ver dat deze consultant de stad er in 2021 nog op moest wijzen dat wachtwoorden van systeembeheerders, die aan overal aan kunnen, best complexer zijn dan acht tekens. ‘12345678’ was een valabel wachtwoord. Zelfs op de receptjessite ‘Libelle-lekker’ zijn ze strenger. De stad heeft cyberveiligheid nooit centraal gezet. Het geeft immers niet de bling-bling die de politieke gezagsvoerders van onze stad van nieuwe apps verwachten..

Maar wat wel blinkt zijn zogenaamde ‘kroonjuwelen’. Dat zijn digitale diensten die zo cruciaal zijn dat ze extra beveiligd zouden moeten worden. En  dat je ervoor zorgt dat niet iedereen er zomaar aan kan morrelen, of toegang hebben tot hun gegevens. De stad kon maar niet niet beslissen welke haar kroonjuwelen waren. De drang naar steeds meer nieuwe apps en functionaliteiten zorgde voor een versnippering in niet minder dan 600 toepassingen die allemaal met elkaar verbonden waren. Hierdoor konden de hackers, eens ze binnen waren, ze in no-time heel veel verschillende onderdelen van de stad raken. Dat is de reden waarom de impact van de aanval zo groot is.

Wij betalen nu allemaal samen de gigantische rekening van tientallen miljoenen omwille van het stedelijk Bling-Bling-Besparingsbeleid. Het is ook duidelijk dat alleen een nieuwe Deloitte studie dit niet gaat oplossen. We moeten het over een andere boeg gooien en nieuwe technologie eindelijk in zetten om dienstverlening voor de mensen te versterken die echt verschil maken natuurlijk technologie waarbij cyberveiligheid een nummer 1 prioriteit is.

Dat vraagt meer budget voor cyberveiligheid, daar is nu iedereen het over eens. En ook dat we nieuwe digitale projecten, zoals loket op maat’, nu niet halsoverkop moeten uitvoeren. Maar het vraagt ook dat de stad cyberveiligheid centraal stelt en het dus ook in eigen handen houdt. Het werkt niet om voor deze cruciale know-how steeds te moeten afhangen van externe consultants. Bovendien is de stad in haar reactie op de cyberaanval zich nu tegen een sneltreinvaart aan het afhankelijk maken van Microsoft. Op korte termijn is dat misschien de enige oplossing, maar we weten dat big tech alles doet om je afhankelijk van hen te maken en nadien de prijzen op te drijven. De stad moet zelf investeren en de expertise van Digipolis zelf versterken. Er is in onze stad ongelofelijk veel IT-potentieel en we moeten dat echt grijpen. Daarnaast kan de stad ook samenwerken met andere steden zoals Amsterdam en Barcelona. Die laatste steden werken samen om veilige en publieke open source IT-infrastructuur te ontwikkelen. De hackers werken op internationaal niveau, tijd dat wij dat ook doen.