De provincie Gelderland is getroffen door een cyberaanval. De dader slaagde erin om data uit personeelsdossiers te vergaren. Het datalek kwam woensdagavond aan het licht en is donderdagochtend direct gedicht. De provincie heeft inmiddels aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens op de hoogte gebracht. Dat schrijft de provincie Gelderland zaterdag in een persbericht, zo melden diverse media.
De provincie huurt een extern ICT-bedrijf in om alle ICT-voorzieningen te onderhouden. Dat bedrijf ontdekte woensdagavond dat er een inbraak had plaatsgevonden bij het actualiseren van personeelsdossiers. Medewerkers dichtten daarop het lek, zodat de hackers of cybercriminelen niet langer toegang hadden tot het computernetwerk van de provincie.
Veel details over de aanval ontbreken op dit moment. Zo is het onbekend wie er verantwoordelijk is voor de datadiefstal en hoe de hackers het netwerk hebben weten te infiltreren. De provincie Gelderland kan op dit moment niet zeggen welke gegevens op straat zijn beland. Wellicht gaat het om persoonlijke gegevens van provinciemedewerkers, zoals namen, adressen, contactgegevens en andere relevante informatie. Dat is echter nog niet officieel bevestigd door de provincie, waar zo’n 1.600 werknemers werken.
De provincie Gelderland zegt dat ze donderdagochtend aangifte heeft gedaan bij de politie. Het voorval is eveneens gemeld bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) verplicht bedrijven, organisaties en (politieke) instellingen om een datalek binnen 72 uur te melden aan de nationale privacytoezichthouder. Hoe eerder het lek gemeld wordt en gedupeerden op de hoogte worden gebracht, des te eerder men maatregelen kan nemen om de schade te beperken.
De provincie laat weten dat het onderzoek naar de cyberaanval in volle gang is en ze voorlopig geen aanvullende informatie geeft over het voorval.
Datalekken en cyberaanvallen komen wel vaker voor bij politieke organen in Nederland. Eind vorig jaar werd de gemeente Hof van Twente getroffen door een ransomware-aanval. Hackers wisten de computersystemen van de gemeente binnen te dringen en privacygevoelige informatie van de gemeente en haar inwoners te versleutelen. De aanvallers wisten onder meer de financiële administratie en informatie over aanvragen voor jeugdzorg en omgevingsvergunningen buit te maken. Verder stalen de daders vertrouwelijke informatie over werk, inkomen en schulden van burgers. Tot slot wisten ze de back-up systemen plat te leggen.
In maart publiceerde cybersecuritybedrijf NFIR haar onderzoekrapport naar de aanval. Tegelijkertijd maakte beveiligingsonderzoeker Brenno de Winter zijn duidingsrapportage openbaar. Daaruit bleek dat de beveiliging op een aantal punten te wensen overliet. Door een aanpassing in de firewall kon de FTP-server overal vandaan bereikt worden. Bovendien draaide deze server op een kwetsbare versie van het Remote Desktop Protocol (RDP) van Microsoft. Tot slot was het wachtwoord van de FTP-server weliswaar aangepast, maar allesbehalve sterk: deze luidde Welkom2020. Een pentest waarschuwde hier niet voor.
Burgemeester Ellen Nauta vreest dat dat het herstellen van de schade enkele jaren in beslag gaat nemen. De schade als gevolg van de aanval wordt geschat op 3,9 miljoen euro.
