Eind vorige week presenteerde het onafhankelijke auditbedrijf Deloitte een ICT-veiligheidsrapport rond cyberveiligheid in de stad Kortrijk. In de audit werden sterktes en zwaktes van het stadsnetwerk bekeken. Maar ook hoe goed het netwerk bestand is tegen cyberaanvallen. “Het team van Deloitte definieerde 34 focuspunten, 9 van die aandachtspunten zijn prioritair”, aldus de IT-dienst van de stad Kortrijk die zelf de audit had besteld. “We zijn nu volop bezig om de bevindingen van het rapport te verhelpen.”
Volgens Vlaams Belang-raadslid Wouter Vermeersch gaat het om een alarmerende situatie. “De vastgestelde kwetsbaarheden kunnen leiden tot een overname van de systemen, het lekken van gevoelige data en de onbeschikbaarheid van diensten. Volgens de audit kent de interne infrastructuur van de stad heel wat gebreken. Een aanvaller kan zich hierdoor zo goed als vrij bewegen in het interne netwerk en gemakkelijk toegang krijgen tot bestanden en systemen”, zegt Wouter Vermeersch verontrust. “Onze gegevens zijn helemaal niet in veilige handen bij het stadsbestuur. Zeker omdat Kortrijk massaal gegevens van bewoners en bezoekers verzamelt via haar camera’s en softwaretoepassingen.”
Problematische pijnpunten
Vermeersch somt nog een paar pijnpunten op die in de audit staan. “Het is mogelijk om in naam van een interne en externe partij e-mails te versturen naar stadsmedewerkers. En er is geen plan om na een geheel of gedeeltelijk uitvallen van het ICT-netwerk terug op te starten. Het is dus niet duidelijk of de dienstverlening na een cyberaanval verzekerd blijft. Problematisch”, volgens Vermeersch, ‘zeker om dat gegevens definitie verloren dreigen te gaan als hackers die stelen of beschadigen.”
Geen enkel IT-systeem is 100% veilig
De stad Kortrijk reageert op de uitlatingen van Wouter Vermeersch. “Geen enkel IT-systeem is 100% veilig, dat bewijzen de verschillende voorbeelden van gemeenten en bedrijven die het slachtoffer werden van zo’n aanval. De Kortrijkse IT-diensten zijn permanent bezig met dit probleem, reden waarom deze onafhankelijk audit gebeurde op vraag van de stad. Want we willen onze cyberveiligheid zo scherp mogelijk houden.”
Gegevens correct verzameld
“De audit zegt niet dat de stad op een verkeerde manier gegevens verzamelt van bewoners en bezoekers. Integendeel, de Data Protection Officer van de stad bevestigt dat we slechts bijhouden wat noodzakelijk is voor een goede dienstverlening en steeds conform alle GDPR-wetgeving.”, aldus de IT-dienst.
Risico dataverlies klein
Volgens de stad Kortrijk kunnen aanvallers zich overigens niet zo goed als vrij bewegen in het interne netwerk van de stad. “Daarvoor werden voldoende schotten ingebouwd in de structuur. Wanneer het netwerk (deels) uitvalt zijn al onze systemen voorzien om de nodige back-ups te maken, waardoor het risico op dataverlies zo klein mogelijk wordt gehouden. Op dit moment is er nog geen business continuity plan woordelijk uitgeschreven, maar we voeren er wel degelijk een beleid rond”, klinkt het op de IT-dienst. .
Raadslid brengt cyberveiligheid in gevaar
“Deze audit toont juist aan dat Stad Kortrijk cyberveiligheid van de stad en de bescherming van haar data en die van haar inwoners continu behartigt. Het is juist door het uitvoeren van dit soort analyses en audits dat we onze eigen systemen kunnen versterken en verbeteren”, zegt schepen Wouter Allijns. Hij is als schepen van digitale informatie bevoegd voor het IT-beleid van de stad. “Ik betreur het ten zeerste dat de resultaten van deze audit doro een raadslid publiek werden gemaakt. Want ze zijn uitdrukkelijk bedoeld voor intern gebruik. Wie zoiets doet, heeft de veiligheid van de stad en haar inwoners niet voor ogen. Integendeel, hij brengt daarmee net de cyberveiligheid van de stad in gevaar! Gelukkig beschikken we over een uitstekend IT-team. Cyberveiligheid blijft een permanent aandachtspunt om nieuwe bedreigingen op te volgen en om onze systemen daar zo veel mogelijk tegen te wapenen.”
Vraag mij af indien deze audit niet naar buiten werd gebracht de kortrijkzaan hierover ook maar een letter zou te lezen krijgen?