Terug
Gepubliceerd op 23/09/2021

2021_MV_00090 - Mondelinge vraag van raadslid Giel Van de Zande: IT security gemeente Berlaar
Gemeenteraad
di 21/09/2021 - 20:00 Digitaal via Teams
Behandeld

Samenstelling

Aanwezig

Walter Horemans; Rudy Nuyens; Lies Ceulemans; Nadine Boekaerts; Ingeborg Van Hoof; Stefaan Lambrechts; Suzy Put; Jan Hendrickx; Willy Beullens; Koen Kerremans; Dirk Aras; Geert Fierens; Wim Kelber; Thomas Wellens; Brend Van Ransbeeck; Guy Staes; Giel Van de Zande; Nathan Rijnders; Leen Vervoort; Miguel Vissers; Anja Neels, algemeen directeur

Verontschuldigd

Hanne Cuypers

Secretaris

Anja Neels, algemeen directeur

Voorzitter

Walter Horemans
2021_MV_00090 - Mondelinge vraag van raadslid Giel Van de Zande: IT security gemeente Berlaar 2021_MV_00090 - Mondelinge vraag van raadslid Giel Van de Zande: IT security gemeente Berlaar

Motivering

Indiener(s)

Giel Van de Zande

Tijdstip van indienen

do 16/09/2021 - 23:14

Toelichting

Deze zomer heeft de gemeente twee problemen gehad met IT-security. Graag had ik hierover meer informatie:


 Het eerste voorval op 27/07 zorgde ervoor dat verschillende inwoners waarvan de kinderen ooit op de kinderopvang gezeten hebben een betalingsaanvraag kregen.

  • Hoeveel inwoners waren er getroffen?
  • Zijn alle betalingen recht gezet?
  • Wat was de oorzaak van dit voorval?
  • Welke stappen heeft de gemeente ondernomen zodat een dergelijk scenario zich niet meer kan herhalen?
  • Hoe lang worden gegevens bijgehouden gezien het in sommige gevallen gaat over gezinnen die de BKO niet meer gebruiken

Bij het tweede voorval op 16/08 werden er vanuit het gemeentebestuur phishingmails gestuurd naar inwoners.

  • Hoeveel inwoners waren er getroffen?
  • Wat was de oorzaak van dit voorval?
  • Welke stappen heeft de gemeente ondernomen zodat een dergelijk scenario zich niet meer kan herhalen?

 

Kunnen we in het algemeen conclusies trekken uit deze twee voorvallen? Zijn de gegevens van de burgers wel voldoende beveiligd? Heeft de gemeente de nodige expertise wel in huis? Moet het hiervoor geen beroep doen op gespecialiseerde bedrijven?

 

Bespreking

Antwoord

Schepen Willy Beullens antwoordt:

Eerste voorval:

Hier ging het niet om een ICT probleem maar om een menselijke fout van een medewerker.

Er werd zoals elke maand een bestand overgemaakt vanuit de BKO naar de dienst financiën om de opvraging te doen van de gedomicilieerde rekeningen .

Er werd verkeerdelijk een bestand van 2018 genomen ipv 2021 waardoor de inhoud foutief was.

93 gezinnen zagen enkele dagen later een bedrag van de rekening gaan. Het bedrag dat overeenkomt met de facturatie van juni 2018. Bij deze gezinnen waren er een aantal wiens kind ondertussen al in de middelbare school zit én dus geen gebruik meer maken van de opvang.

Hier is onmiddellijk een rechtzetting gebeurt en de ontvangen bedragen werden onmiddellijk teruggestort. Alle gezinnen werden ook op de hoogte gebracht via mailing.

Ondertussen is er ook extra controle op de bestanden die doorgezonden worden.

De oude bestanden werden reeds verwijderd uit de map van de boekhouding maar dienen wel  10 jaar te worden bijgehouden.

Tweede voorval: 

De account van een receptiemedewerker is gehackt geweest meer dan 30 dagen op voorhand en men heeft hierdoor de sporen kunnen wissen van hoe ze de gegevens hebben kunnen bemachtigen.

We vermoeden hier dat het om een phishing mail gegaan is, al weten we dit niet met zekerheid.

Er werd vanuit het account e-mail verzonden met een phishing link erin.

Er was wel een verzendbeperking waardoor de eerste 500 mails zijn buitengegaan maar nadien hebben we de mailserver kunnen blokkeren alvorens de 2de batch van 500 kon vertrekken.

Het waren niet enkel bewoners maar ook medewerkers en andere correspondenten.

Deze werden ook allen op de hoogte gebracht via e-mail. (ook de raadsleden)

We hebben ons onmiddellijk laten bijstaan door een gespecialiseerd bedrijf welke ons reeds bijstonden voor het uitrollen van de beveiliging algemeen.

We hadden al heel wat beveiliging opgezet, maar na het incident hebben we dit verder aangescherpt door MFA volledig verplicht te maken voor iedereen.

Verder hebben we mailnotificaties opgezet voor dringende problemen.

Er is een stappenplan uitgewerkt om legacy authenticatie uit te faseren. (Dit is authenticatie op oudere toestellen die moderne aanmeldingsmethodes niet ondersteunen. Dit zijn oa Android-toestellen die geen updates meer ontvangen.)

Verder wordt er ook naar leveranciers gekeken om onveilige communicatie zoals pop3 aan te passen naar meer gepaste communicatiemiddelen.

Intern wordt er ook gekeken om communicatie te optimaliseren; geen gesprekken per mail voeren, maar via chat of video-conference in teams.

Op een veilige manier documenten delen met burgers via privé-kanalen in Teams en niet via ongecontroleerde gratis tools zoals dropbox, wetransfer of andere.

Er wordt ook werk gemaakt om intranet via sharepoint op te zetten zodat de algemene communicatie niet per sé via mail moet verlopen.

RDS zal op korte termijn ook ge-upgrade worden naar de meest recente versie om ook de beveiliging op dat vlak in orde te brengen. We hebben bvb al gemerkt dat MFA niet altijd correct werkt op de oude omgeving. Dit heeft ook te maken met Legacy authenticatie.

 

Er wordt periodiek een campagne opgezet via windows defender om mensen intern op te leiden op het vlak van phishing, malware en andere gevaren op vlak van internet beveiliging.

Er worden af en toe testmails gezonden zoals bv. op 6/8 met volgende titel: “Uw persoonlijke storage voor uw Office 365-account is vergroot”

De mensen die toch de mail zulke mail openklikken krijgen allen een uitnodiging om een online bewustwordingscampagne te volgen. Dit betreft een video die ongeveer 4 minuten duurt.

Er waren een aantal medewerkers die de mail toch openden.

De mailcampagnes worden niet aangekondigd en worden verstuurd naar alle gebruikers op het mailplatform.

Als zou blijken dat dit niet efficiënt genoeg is zal er bijkomende opleiding voorzien worden.

do 23/09/2021 - 16:12

Bijlagen