4 min Security

Cyberaanval op Limburg.net toont zwaktes in Belgische beveiliging en privacyzorgen

Cyberaanval op Limburg.net toont zwaktes in Belgische beveiliging en privacyzorgen

Op 13 december 2023 slaagde de ransomwarebende Medusa erin een ‘grootschalige aanval’ te plegen op Limburg.net. De Belgische afvalverwerker kreeg van Medusa de opdracht 100.000 euro losgeld te betalen om de data privé te houden. Dat verzoek werd geweigerd, waarop de hackers de buitgemaakte gegevens op maandag 22 januari online verspreidden. Die gegevens bleken meer te omvatten dan eerder werd gedacht, wat tot bezorgheid leidde bij Limburg.net, inwoners van Limburg en de Vlaamse overheid.

De cyberaanval op Limburg.net gaat steeds meer partijen aan. Zowel burgers als de Vlaamse overheid zitten met steeds meer vragen. Alleen kan Limburg.net nog maar moeilijk de antwoorden geven. “We vragen de tijd om een volledig overzicht te kunnen krijgen, zodat we volledig en juist kunnen communiceren”, geeft woordvoerder van de Belgische afvalverwerker, Hans Roggen, aan.

Omvang lek blijkt groter en groter

Het onderzoek is nodig om de exacte omvang en gevolgen van de cyberaanval in kaart te kunnen brengen. Over de omvang van de aanval wordt er wel steeds meer duidelijker. Zo communiceerde Limburg.net eerder dat er data van 311.000 personen was buitgemaakt. Die data zou dateren uit 2014 en 2015. Het zou gaan om namen van personen, hun adressen en de zogenoemde rijksregisternummers of BSN-nummers van gezinshoofden.

Dat werd bijgesteld toen de openbaar gemaakte data verder was onderzocht en er ook gerechterlijke en notariële documenten bleken te zijn ingekeken. Daarnaast bleken er meer personen te zijn getroffen, met een totaal van 383.000 slachtoffers.

Weinig middelen

De aanval op de systemen van de verantwoordelijk voor de afvalophaling in de Belgische provincie Limburg legt daarnaast een groter probleem binnen België bloot. Dat probleem handelt over de zwakke cyberbeveiliging van de digitale systemen van Belgische steden en gemeenten. Zo staat Limburg.net net als de andere afvalverwerkers, alleen in voor de beveiliging van deze systemen. Dat maakt het moeilijk de boel te beveiligen omdat er vaak onvoldoende kennis en middelen zitten in één organisatie.

Dat probleem krijgt erkenning nu er reeds een aanval werd gepleegd waarvan de slachtoffers jarenlang de gevolgen zullen dragen. De Vereniging van Vlaamse Steden en Gemeenten (VVSG) vraagt namelijk om een eengemaakt systeem van alle steden en gemeenten tijdens het radioprogramma De Ochtend op Radio 1. Op die manier zou de beveiliging in handen komen van de Vlaamse of zelfs de federale overheid, die veel meer middelen kunnen inzetten voor de beveiliging.

Alleen staatssecretaris voor Digitalisering, Mathieu Michel, wil die verantwoordelijkheid afschuiven op Europa, meldt VRT NWS. Via een Europese richtlijn vindt hij dat Europa steden, gemeenten en vitale sectoren zoals ziekenhuizen, moet verplichten om de cyberveiligheid intern te verhogen. De staatssecretaris schuift daarmee het cybersecurityprobleem op de lange baan, aangezien regelgevingen vanuit Europa vaak lang op zich laten wachten. Hackers daarentegen wachten niet op de wetgeving en dat stelt de cybersecurity-problemen van alle Belgische steden, gemeenten en vitale organisaties bloot aan grote risico’s. Dat bewees de ransomware-aanval op stad Antwerpen al in 2022 en wordt nu opnieuw pijnlijk duidelijk.

Lees ook: Cybersecurity in 2023: is het vijf voor of vijf over twaalf?

Privacyprobleem

Een andere kwestie waarmee de Vlaamse overheid zich nu ook gaat bemoeien, is of de afvalverwerker teveel persoonlijke informatie bezat. Zo is het nog onduidelijk waarom Limburg.net precies over de financiële gegevens van personen beschikte. Vlaanderen stelt zich nu burgerlijke partij omdat het erop wil toezien of er gevoelige informatie van de Vlaamse overheid en burgers oneigenlijk werd gebruikt.

Die zaak wordt ook bij het Parket Limburg onderzocht. Vanuit die hoek krijgt de afvalverwerker ook hulp in het onderzoek naar de harckers. Verder wordt er permanent overleg gepleegd met de Gegevensbeschermingsautoriteiten.

Veel vragen, weinig antwoorden

De hele aanval op Limburg.net legt verschillende problemen op vlak van IT bloot. Zo wordt er op hoger niveau te weinig ondernomen om de systemen van afvalverwerkers, steden en gemeenten beter te beveiligen. Iedere organisatie draagt hiervoor zelf de verantwoordelijkheid, ook al missen vaak de middelen en de kennis. Daarnaast laat het de vraag rijzen welke organisatie eigenlijk welke data nodig heeft om goed te kunnen functioneren.

Oplossingen voor die problemen en bezorgdheden zijn er nog niet. Het blijft ook afwachten of die oplossingen er wel gaan komen, aangezien er al tekenen zijn bij de overheid dat dit probleem wordt doorgeschoven naar een Europese verantwoordelijkheid. Op antwoorden over de volledige cyberaanval op Limburg.net blijft het in de tussentijd ook wachten. Informatie over de cyberaanval en antwoorden op de meest gestelde vragen zijn te vinden op een speciale pagina van de afvalverwerker.

Lees ook: Wacht België te lang met plan om cybercrime te bestrijden?