De speciale gemeenteraadscommissie van gisteravond toont aan dat de stad Antwerpen en Digipolis op de hoogte waren van de cyberrisico's, maar dat ze die onvoldoende snel heeft opgelost. “De stad maakte cyberveiligheid ondergeschikt aan het lanceren van steeds meer apps met veel bling bling. Een ander IT-beleid had de cyberaanval van december misschien niet kunnen voorkomen, maar het had de impact wel kunnen verminderen”, zegt PVDA-woordvoerder Ben Van Duppen. “De stad pakt na de aanval haar cyberveiligheid stevig in handen, maar ze dreigt zich compleet afhankelijk te maken van Microsoft en dure consultancybureaus. We moeten onze publieke IT-dienst, Digipolis, versterken en samenwerkingen opzoeken met andere steden zoals Amsterdam en Barcelona.”
De gevolgen van de cyberaanval van 5 december zijn niet mals. De stedelijke dienstverlening is al maandenlang verstoord, onze persoonlijke data zijn mogelijks gelekt en de stadskas verliest in tijden van budgettaire krapte tientallen miljoenen euro’s. “Nochtans wist de stad al sinds 2020 dat de beveiliging van haar IT-infrastructuur onvoldoende was. Dat staat zwart op wit te lezen in verschillende audits: de veiligheid van de computersystemen - waarop duizenden gigabytes aan persoonlijke informatie van ons allemaal staan - waren 'geen doel op zich', de wachtwoorden waren veel te gemakkelijk te hacken, er was een wildgroei van maar liefst 600(!) apps die allemaal beveiligd moesten worden en er was geen lijst van ‘kroonjuwelen’, cruciale diensten die extra beveiligd moeten worden. Door deze en andere zwaktes konden de hackers, eens ze binnen waren, in no-time heel veel verschillende onderdelen van de stad raken”, aldus Van Duppen.
Waarom nam de stad de bestelde audits dan onvoldoende au sérieux? Van Duppen onderscheidt twee redenen: “Ten eerste dient digitalisering voor dit stadsbestuur om te kunnen besparen. Het verhaal van de loketten is een mooi voorbeeld. Het stadsbestuur besliste om te besparen op loketpersoneel. Fysieke loketten moeten afgebouwd worden en vervangen worden door digitale zuilen. Dat digitale systeem staat nog niet op punt, maar het moet en zal snel gelanceerd worden met de hete adem van de besparingen in de nek”, weet Van Duppen.
“Ten tweede wil dit bestuur meer doen met minder middelen”, vervolgt Van Duppen. “Er moeten altijd nieuwe applicaties bijkomen, voor steeds minder geld. Binnenkort wil de burgemeester met veel bombarie de Antwerpen-app lanceren. Maar Digipolis schreef zelf nog in november 2022 in haar strategisch plan dat haar budget vermindert en een te grote focus op nieuwe projecten zorgt voor een afkalving van de bedrijfsvoering. Digipolis waarschuwde één maand voor de aanval - bijna profetisch - voor het grote gevaar dat op korte termijn één of meerdere kritieke systemen niet meer beschikbaar zouden zijn, door verouderde apps die niet meer onderhouden werden en door de security-eisen die onvoldoende waren.”
Van Duppen benadrukt dat de oorzaak ligt bij de politieke keuzes van dit stadsbestuur en niet de bij de medewerkers van Digipolis, die zich de afgelopen maanden uit de naad hebben gewerkt. De vraag stelt zich nu hoe we nu verder moeten. “Het is evident dat cyberveiligheid een nummer 1 prioriteit krijgt en dat dit ook moet blijven. Maar er schuilt een tweede gevaar in deze crisis, namelijk dat we voor deze cruciale know-how afhankelijk worden van de externe consultancybureaus zoals Deloitte en technologiereuzen als Microsoft.”
“Het kan een juiste keuze zijn om op dit moment van crisis beroep te doen op private firma’s”, zegt Van Duppen. “Maar dat zijn geen wilde weldoeners. We weten dat big tech alles doet om je afhankelijk van hen te maken en nadien de prijzen op te drijven. De stad moet zelf investeren en de expertise van Digipolis zelf versterken. Er is in onze stad ongelofelijk veel IT-potentieel en we moeten dat echt grijpen. Daarnaast kan de stad ook samenwerken met andere steden zoals Amsterdam en Barcelona. Die laatste steden werken samen om veilige en publieke open source IT-infrastructuur te ontwikkelen. De hackers werken op internationaal niveau, tijd dat wij dat ook doen.”
