VRT: audits waarschuwden in 2021 en 2020 voor IT-beveiliging van Antwerpen

De stad Antwerpen was in twee audits gewaarschuwd voor de slechte beveiliging van computersystemen van de stad. Zo gebruikte de stad verouderde software en was er een zwak wachtwoordbeleid. De stad heeft nog steeds last van een hackaanval uit december.

VRT kreeg inzage in twee audits die in 2020 en 2021 zijn uitgevoerd, waarin de beveiliging van de computersystemen werd doorgelicht. Uit beide audits blijkt dat de computersystemen kwetsbaar waren. Zo was op niet alle systemen multifactorauthenticatie ingesteld en was er ook geen sterk wachtwoordbeleid. In de audits wordt ook gesproken over te veel gebruikers die te veel rechten hebben en Windows-software die sinds 2015 niet meer wordt ondersteund.

Mocht een hacker toegang krijgen tot de computersystemen van de stad Antwerpen, dan zou die ook direct veel toegang kunnen krijgen tot documenten, blijkt uit de audits. Zo waren er tijdens de audits minstens 138 gedeelde mappen met 'veel' persoonsgegevens die door 'standaardgebruikers' geopend konden worden. Het ging om medische attesten, ongeschiktheidsattesten en loonbrieven met persoonsgegevens. Verder schreef de functionaris gegevensbescherming van de stad in het jaarverslag van 2021 dat een informatieveiligheidsplan met aanbevolen acties en maatregelen 'stof ligt te vergaren'.

Naar aanleiding van de audits besloot de stad de beveiliging te verbeteren en werd bijvoorbeeld in oktober 2021 een cybersecurityprogramma gestart. In dat programma stond volgens VRT dat 'met de huidige technische back-ups er geen garantie is op een minimale dienstverlening' na een hack. Daarom ging de stad over naar het lokaal back-uppen van belangrijke computersystemen. Een cloudback-up werd als te duur gezien.

Dat cybersecurityprogramma liep eind 2022 vertraging op. Zo was het verbeterde wachtwoordbeleid, de multifactorauthenticatie en het beperken van toegangsrechten nog niet volledig geïmplementeerd. Begin december 2022 werd de stad getroffen door een cyberaanval. Bij die hack werd 557GB data gestolen, inclusief privégegevens van Antwerpenaren. Inwoners waren daarnaast beperkt in het regelen van digitale zaken en de stad kon bijvoorbeeld geen parkeerboetes meer innen. Bijna drie maanden na de aanval heeft de stad nog steeds last van de hack.

Reacties (40)

k995 28 februari 2023 17:37

Als ik het verslag lees , leest dat echt als zowat elk groter bedrijf die hun IT eerder als louter een kost beschouwen :

Men wist wat de problemen waren, men wist wat de risico's waren. Maar door de ingewikkelde structuur (tientallen aparte entiteiten) , onder financiering van de IT diensten en onwil van de gebruikers werden de voorgestelde maatregelen sinds 2021 maar traag en met mondjesmate ingevoerd.

sprankel

België

@k995 • 28 februari 2023 20:11

Dit soort problemen los je niet op met een audit, risico's in kaart te brengen en wat maatregelen te treffen.

Immers de IT'ers die er nog zitten die vinden het allemaal wel best, anders waren die al lang vertrokken. De huidige managers trekken hun paraplu open want als nu plots héél sterk in security geïnvesteerd moet worden, wat hebben zij dan liggen doen de afgelopen jaren?

Feitelijk moet je na een dergelijk rapport eerst met de borstel door het managment en een nieuwe IT manager binnen halen die met een ijzeren vuist de boel recht trekt. Echter zeker bij een overheid, veel geluk daarmee, die managers functies worden daar nog veel te vaak gegeven aan politieke vriendjes en dan zit je nog met vastgeroeste ambetenaren die hun stoel niet willen afgeven terwijl ze heel goed beschermd zijn.

Dan ga je ook nog vers volk moeten aantrekken want wat zijn de huidige IT'ers aan het doen? Brandjes blussen, zorgen dat de boel niet uitvalt want ze zitten met een berg legacy, sommige legacy is blijkbaar zelfs niet meer ondersteund. Maar IT'ers, zeker de goede, die verdienen veel in de privé dus veel geluk met die te overhalen naar de overheid te komen.

Dan zou je nog langdurige eenzijdige support moeten hebben van het managment want als je echt verandering doorvoert krijg je altijd tegenstand. Ook daar weer veel geluk mee bij de overheid, om de 4 jaar worden de postjes herverdeeld, als het bijna verkiezingen zijn wilt niemand nog ergens een risico nemen en telkens de postjes herverdeeld zijn is het eerste wat ze doen alles van hun voorganger afbranden gewoon omdat het van de voorganger was. Lange termijn visie op 10 jaar? Who cares?

Blokker_1999

België
Hackers
Hack
Beveiliging en antivirus

@sprankel • 1 maart 2023 07:04

Immers de IT'ers die er nog zitten die vinden het allemaal wel best, anders waren die al lang vertrokken.

Excuseer? Dus jij denkt dat omdat er problemen en tekortkomingen zijn dat mensen zomaar vertrekken. Jij wil alleen maar werken aan een omgeving die tip-top in orde is, waar alles op punt staat, waar niets meer moet veranderen? Dan heb je toch echt alle zin voor realiteit verloren lijkt mij. Het is net de uitdaging om die verandering door te voeren die de job interessant kan maken voor sommigen, het is dat je kunt bijdragen aan verbetering dat het de moeite kan maken.

De huidige managers trekken hun paraplu open want als nu plots héél sterk in security geïnvesteerd moet worden, wat hebben zij dan liggen doen de afgelopen jaren?

En wie zegt dat mgmt goed geinformeerd werd? De belangrijkere vraag vandaag is: wat is er gebeurd met de rapporten waarover de VRT NWS redactie beschikt?

Feitelijk moet je na een dergelijk rapport eerst met de borstel door het managment en een nieuwe IT manager binnen halen die met een ijzeren vuist de boel recht trekt.

En maandenlang nodig heeft om in te werken, alles en iedereen te leren kennen, de omgeving te leren, de huidige investeringen te leren, de huidige zwakke punten te leren, ... . Neen, hoewel er mogelijks koppen kunnen rollen, afhaneklijk van de uitslag, moet je vooral de nodige expertise in huis halen, en dat doe je niet door even heel je mgmt laag te gaan vernieuwen.

Echter zeker bij een overheid, veel geluk daarmee, die managers functies worden daar nog veel te vaak gegeven aan politieke vriendjes en dan zit je nog met vastgeroeste ambetenaren die hun stoel niet willen afgeven terwijl ze heel goed beschermd zijn.

En altijd weer dat gebash op overheidsfuncties. Weet je wat, ik heb zelf de helft van mijn carriere voor de overheid gewertkt, en als ik dat vergelijk met die andere helft, in de private sector, dan zie ik echt niet veel verschil. Ik durf zelfs beweren dat ik in mijn overheidsjaren heel wat mensen heel wat harder heb zien werken dan vandaag in de private sector.

Dan ga je ook nog vers volk moeten aantrekken want wat zijn de huidige IT'ers aan het doen? Brandjes blussen, zorgen dat de boel niet uitvalt want ze zitten met een berg legacy, sommige legacy is blijkbaar zelfs niet meer ondersteund. Maar IT'ers, zeker de goede, die verdienen veel in de privé dus veel geluk met die te overhalen naar de overheid te komen.

Waarom denk je dat de IT van de stad in een apart bedrijf zit? Dat is net omdat deze mensen, in tegenstelling tot wat jij lijkt te denken, niet als ambtenaar zijn aangenomen, niet vastzitten in de normale loonschalen maar net een marktconform loon kunnen krijgen. Dit soort constructies wordt net gebruikt voor die delen waar er een nijpend tekort is aan expertise. Ook andere overheidsdiensten doen dat al meer dan 10 jaar. Zeker voor IT, splits maar af zodat je een privaat bedrijf hebt dat goed personeel kan aantrekken

Dan zou je nog langdurige eenzijdige support moeten hebben van het managment want als je echt verandering doorvoert krijg je altijd tegenstand. Ook daar weer veel geluk mee bij de overheid, om de 4 jaar worden de postjes herverdeeld, als het bijna verkiezingen zijn wilt niemand nog ergens een risico nemen en telkens de postjes herverdeeld zijn is het eerste wat ze doen alles van hun voorganger afbranden gewoon omdat het van de voorganger was. Lange termijn visie op 10 jaar? Who cares?

Zucht ... altijd maar weer die vooroordelen ...

Enkel de topposities kunnen al wel eens politiek benoemd zijn, maar alles daaronder blijft over het algemeen op post. Men gaat niet ineens heel het mgmt vervangen omdat er verkiezingen zijn geweest, die op dat niveau trouwens maar om de 6 jaar zijn en waarbij de meerderheid al niet zo snel wisselt naar een andere coalitie.

the_stickie @Blokker_1999 • 1 maart 2023 16:31

Je hebt gelijk... maar Digipolis geeft zelf aan dat ze door budgettaire beperkingen a) niet de juiste mensen in dienst konden nemen b) niet konden voorzien in voortdurende opleiding c) een probleem hadden met retentie (houden van werkkrachten).

Al bij al heeft een IT'er met wat kennis en ervaring echt wel de mogelijkheid te kiezen waar hij/zij aan de slag gaat, en dan is/was Digipolis gewoon niet de eerste keus...

Overigens...ik heb zelf voor een overheid gewerkt (via-via, zoals wel meer voorkomt in de IT sector), en mijn indruk was net dat ze twee troeven hadden die de meeste commerciële bedrijven uitdrukkelijk niet hebben: tijd en geld. Alleen was IT een dusdanig grote organisatie, dat zelfs zo goed geregeld als het was, het geheel een behoorlijk logge structuur was waar vooral gedaan werd wat gevraagd werd (en niet veel meer).

Verwijderd @Blokker_1999 • 3 maart 2023 02:40

Zucht ... altijd maar weer die vooroordelen ...
Tja, het zijn ook iedere keer dezelfde die ‘prooi’ vallen.

Ik denk dat je vooral naar de kern van zijn argument moet kijken: niemand gaat hierom ‘gestraft’ worden en er wordt wederom niets geleerd. Ja, de audits gaven het allemaal vooraf aan en men deed er niets mee. En nu zitten die mensen gewoon weer bij een andere gemeente (baangarantie). We gaan weer gewoon op naar het volgende grote incident.

Mathijs Kok @sprankel • 28 februari 2023 22:20

Dit soort problemen los je niet op met een audit, risico's in kaart te brengen en wat maatregelen te treffen.

Grappig is dat je in dit statement allemaal dingen opnoemt die juist WEL in het rapport staan.

De audit was heel duidelijk in waar de risico's lagen (als je het leest) en welke maatregelen nuttig zijn (als je het leest). De tweakers die je comment een upvote gaven hadden beter moeten weten (als je het leest). Geef eens aan waar de audit onjuist was, waar de audit dingen gemist heeft?

Kan het zijn dat je de audit niet gelezen hebt? Niet eens de conclusie? Niet eens hoe IT sites de conclusie in twee zinnen hebben samengevat? Heb je ook maar ENIG idee wat in de audit staat?

Lezen van de bron lijkt meer en meer een stap te ver te zijn voor tweakers.

sprankel

België

@Mathijs Kok • 28 februari 2023 23:54

Graag een link naar het audit rapport zelf want bij mijn weten ligt dat niet in het openbaar domein, de bron is enkel VRT die de audit heeft kunnen inkijken.

Vogel666 @sprankel • 1 maart 2023 04:14

Het probleem zit hem bij de overheid in de papieren tijger.
Iedere slak wordt zout op gelegd terwijl juist in de basis er heel veel werk verzet moet worden.
Er moet een gedetailleerd plan komen dat dan een jaar lang door nitwits 'besproken wordt' (maar vooral ergens op een stapel ligt)
Tegen de tijd dat er akkoord komt op het plan is alle relevantie verdwenen omdat de systemen uit het plan inmiddels niet meer bestaan...
En qua security....de deuren hebben allemaal A-rating politie-keurmerken, maar niemand neemt ooit de moeite om ooit de deur op slot te draaien....of de sleutel zit altijd op het slot. Dezelfde mentaliteit zie je terug in de IT systemen,

bigbadbull @sprankel • 1 maart 2023 14:19

Dan ga je ook nog vers volk moeten aantrekken want wat zijn de huidige IT'ers aan het doen? Brandjes blussen, zorgen dat de boel niet uitvalt want ze zitten met een berg legacy, sommige legacy is blijkbaar zelfs niet meer ondersteund. Maar IT'ers, zeker de goede, die verdienen veel in de privé dus veel geluk met die te overhalen naar de overheid te komen.

A'pen heeft heel weinig IT'er, en werkt met privé dienstverlening.
Aan die IT'ers ligt het niet, die doen wat gevraagd wordt. En vragen doorgaans meer dan ze mogen doen.
Vers volk aantrekken is dus geen probleem van 't stad, enkel geld en commitment.

Een audit lost NOOIT problemen op, die brengt ze enkel in kaart, Als het even kan levert die ook nog oplossingen of aanbevelingen aan.
Het is daarna aan het management (en ev. politiek) om er iets te laten aan doen.

Mavamaarten @k995 • 28 februari 2023 18:00

Ben het niet eens met jouw stelling dat elk groot bedrijf IT enkel als kost ziet. Het gebeurt jammer genoeg wel vaak, en het zijn exact dat soort bedrijven dat ten prooi vallen van dit soort praktijken.

k995 @Mavamaarten • 28 februari 2023 18:24

dat elk groot bedrijf IT enkel als kost ziet.

Zeg ik dan ook niet, echter was dit er wel 1 .

g4wx3 @k995 • 28 februari 2023 23:35

Uiteindelijk zijn het IT-ers dit deze systemen in elkaar hebben gezet.
Nu moeten we IT-ers betalen omdat ze hun werk niet goed gedaan hebben.
Als IT-ers iets opleveren, moet dat veilig zijn, ongeacht gebruiker, ongeacht contract.

Dat dit nog kon gebeuren in 2010 kan ik me voorstellen, maar we zijn nu al in 2020

k995 @g4wx3 • 1 maart 2023 01:42

Grappig, alsf IT'ers alles bepalen en niet het management erboven.

Horla @k995 • 28 februari 2023 20:57

Bwa, dat is wat kort door de bocht. Digipolis is juist opgericht puur om de IT van Antwerpen (en Gent) te doen. Het is hun core business

rousseauxy @Horla • 28 februari 2023 22:14

Digipolis Antwerpen en Gent zijn al sinds januari 2021 afgesplitst

the_stickie @Horla • 1 maart 2023 16:16

...maar ze krijgen nog wel hun centen van stad Antwerpen.
Digipolis geeft volgens het artikel van de vrt aan dat ze gewoon te weinig geld hebben (hadden), en daarom ook te weinig van de juiste mensen. Ook geld voor voortdurende opleiding was klaarblijkelijk een pijnpunt. Alles samen was er ook een probleem met 'retentie' ofte werknemers met kennis en ervaring hadden al snel door dat het gras elders groener is...
Ook heeft "'t Stad" heel wat in de pap te brokken als het gaat om prioriteiten. Tijd en geld spenderen aan die audits leek wellicht minder interessant dan zich als 'moderne stad' profileren.

dasiro @k995 • 28 februari 2023 22:03

het feit dat er met de audits effectief iets gedaan werd is al meer dan in menig bedrijf

analog_ @dasiro • 1 maart 2023 12:09

Dankzij de audit wisten ze dat ze hun gat moesten afvegen en betaalde NVA de crypto-ransomware met hun vastgoed. *denkik*

Blokker_1999

België
Hackers
Hack
Beveiliging en antivirus

@k995 • 1 maart 2023 06:52

Het gaat niet altijd om IT als een kost aanzien. Het gaat niet altijd om onvoldoende budgetten. In mijn huidige firma hebben we bijv. budget genoeg, we komen simpelweg de mankracht te kort om al die projecten te doen.

We weten waar vele van onze zwakheden liggen, we werken eraan om die weg te werken, Maar dat kost ook tijd. Dat is niet op enkele weken of maanden opgezet. En als laatste heb je inderdaad de onwil van gebruikers om te veranderen. Ondanks veel moeite om hen in te lichten welke data waar moet staan, blijven wij data op verkeerde locaties tegenkomen en moeten wij steeds opnieuw aandringen om voor die te verplaatsen.

Het implementeren van grote projecten gaat nu eenmaal traag.

kevchenko @Blokker_1999 • 1 maart 2023 10:45

we komen simpelweg de mankracht te kort om al die projecten te doen.

Vind ik een terechte opmerking. Zeker bij bedrijven/overheden waar de IT'er(s) van dienst zowat voor alles moet instaan.

mjtdevries @Blokker_1999 • 1 maart 2023 10:55

Dat klopt ja.
Maar het implementeren van een password policy die bij deze tijd past hoeft helemaal niet traag te gaan. Dat kun je heel snel realiseren, maar duurt blijkbaar ook extreem lang in Antwerpen.

k995 @Blokker_1999 • 1 maart 2023 13:10

Het gaat niet altijd om IT als een kost aanzien. Het gaat niet altijd om onvoldoende budgetten. In mijn huidige firma hebben we bijv. budget genoeg, we komen simpelweg de mankracht te kort om al die projecten te doen.

En vinden jullie dan niemand op de markt of word er niet gezocht?

We weten waar vele van onze zwakheden liggen, we werken eraan om die weg te werken, Maar dat kost ook tijd. Dat is niet op enkele weken of maanden opgezet. En als laatste heb je inderdaad de onwil van gebruikers om te veranderen. Ondanks veel moeite om hen in te lichten welke data waar moet staan, blijven wij data op verkeerde locaties tegenkomen en moeten wij steeds opnieuw aandringen om voor die te verplaatsen.Het implementeren van grote projecten gaat nu eenmaal traag.

Idd als er tientallen diensten mee gemoeid zijn, halve ambtenarij en redelijk verregaand ingrijpen kan ik me idd voorstellen dat dit rechtzetten jaren zal duren en dat deze hack gewoon pech is.

Orangelights23 28 februari 2023 17:57

Op basis van wat zijn de audits uitgevoerd? Weinig landen in Europa kennen een nationale verplichting zoals de BIO in Nederland. Zonder verplicht framework hoeft/kan een gemeente ook niet zo veel.

IStealYourGun

België

@Orangelights23 • 28 februari 2023 19:03

Vermoedelijk zijn die er op eigen initiatief gekomen. Genoeg bedrijven die jaarlijks een audit uitvoeren om te zien waar het fout loopt, ik zou niet weten waarom dit anders is bij een lokale overheid van een provinciestad. In het verleden heb ik bij genoeg bedrijven gewerkt waar dat zelfs onderdeel was van de interne objectieven.

Orangelights23 @IStealYourGun • 28 februari 2023 21:19

Maar een eigen initiatief op wat? Gebaseerd op ISO27001?

Ik ben CISO en heb security bij vele bedrijven naar een hoger niveau getild. Veel organisaties denken dat een audit uitvoeren al voldoende is om met de bevindingen aan de slag te kunnen gaan, maar zonder grondslag (dus wetten, regelgeving, frameworks, wat dan ook), heeft dit vrij weinig zit. Als zij een eigen control framework hebben, is dat goed natuurlijk, maar dit komt niet helder naar voren, waardoor dit een audit lijkt te zijn met een zeer oppervlakkige scope.

IStealYourGun

België

@Orangelights23 • 28 februari 2023 21:39

Welk framework je gebruikt beslis je als bedrijf toch zelf, al dan niet aangevuld met je eigen policies? Ik snap niet waarom je nadien niet met die bevindingen aan de slag zou kunnen gaan?

Ik vaak genoeg meegemaakt dat we een audit kregen en de bevindingen nadien als objectief werden gebruikt.

Orangelights23 @IStealYourGun • 1 maart 2023 06:15

Je snapt het nog steeds niet, haha. Misschien ben ik niet duidelijk genoeg.

De informatie oo basis van wat de audit is uitgevoerd, ontbreekt. Je moet een audit uitvoeren op basis van iets, maar er is niet te vinden op wat. Daarnaast zijn er overheidsinstanties die verplicht een framework moeten volgen.

Blokker_1999

België
Hackers
Hack
Beveiliging en antivirus

@Orangelights23 • 1 maart 2023 07:09

Je vindt het in dit geval niet omdat we het audit rapport niet kunnen inzien. De informatie is ook niet terug te vinden in het artikel van VRT NWS. Dat wil daarom niet zeggen dat de audit slecht of nutteloos is zoals jij lijkt aan te geven.De scope kan wel degelijk goed zijn, we weten het gewoonweg niet.

Een wettelijk kader is leuk, maar zal uiteindelijk ook maar een minimum stellen en zal ongetwijfeld door velen alsnog aanzien worden als onvoldoende.

Een audit zonder wettelijke grondslag zinloos noemen vind ik dan weer vreemd, want zolang je als bedrijf een goede scope neemt en ook met de aanbevelingen aan de slag gaat, ben je toch echt niet slecht bezig lijkt mij. We moeten niet alles wettelijk regelen.

Orangelights23 @Blokker_1999 • 1 maart 2023 07:42

Ik noem niets over een nutteloze audit zonder wettelijke grondslag, graag even goed lezen waar mijn punt over gaat

Ik ben alleen benieuwd op basis van wat de audit is uitgevoerd, niets meer. Dit kan een wet zijn, een framework, wat dan ook.

Daarnaast is de Nederlandse BIO een goed voorbeeld hoe het in de praktijk werkt. Ik weet daarom niet waarom je schrijft dat mensen dit als onvoldoende zouden zien.

mjtdevries @Orangelights23 • 1 maart 2023 10:59

Als je de link naar het VRT artikel had geopend, dan had je gezien dat het hier niet om een ISO audit op een framework of zo iets ging, maar een pentest.
Die doe je dus niet op basis van een framework, maar op basis van de kennis en ervaring van het pentest team. En zal anders verlopen afhankelijk van de situatie die ze aantreffen.

Daar komen een lijst van gevonden kwetsbaarheden uit en de manieren om ze te mitigeren.

BIO en ISO 27001 zijn nuttig, maar halen geen kwetsbaarheden naar boven zoals een pentest doet.

Coolstart 28 februari 2023 17:38

Inwoners waren daarnaast beperkt in het regelen van digitale zaken en de stad kon bijvoorbeeld geen parkeerboetes meer innen.

Die functie werkt is inmiddels weer maar vorige week wilde ik een waardebon voor een stadsmuseum kopenen ze zeiden dat het voorlopig niet met het digitale systeem kon en dat hij met de hand moest gemaakt worden en afgehaald.

Zo zullen er nog wel wat zaken zijn die niet op orde zijn. Zeker zaken die niet direct geld opbrengen.
Hier een overzicht wat er wel werkt en wat niet.

Het is nog steeds een raadsel hoe het komt dat Stad Antwerpen van de hackers lijst is gehaald en dat zonder te betalen 'we onderhandelen niet met criminelen'. Er gaan hier geruchten de ronde dat zeer rijke project ontwikkelaars die som hebben opgehoest voor de stad in ruil voor nieuwe projectgronden of andere voordelen.

Verder schreef de functionaris gegevensbescherming van de stad in het jaarverslag van 2021 dat een informatieveiligheidsplan met aanbevolen acties en maatregelen 'stof ligt te vergaren'.

Beveiliging kost handel vol geld maar nu blijkt dat niets doen nog duurder is. Alle systemen zijn aan elkaar gekoppeld met een wirwar van connectors. Een stad is eigenlijk een Gigantische Tech start-up met heel erg veel digitale toepassingen. Zet in dat project team doorwinterde politiekers en ambtenaren op die niet begrijpen hoe complex en belangrijk beveiliging is --> dan eindig je op: 'het informatieveiligheidsplan ligt stof ligt te vergaren'.

Er wordt nogmaals verwezen naar de eerste audit van 2020 waaruit blijkt dat Digipolis Antwerpen “beperkte middelen toekent aan digitalisering in vergelijking met internationale gemiddelden.”Digipolis ondersteunt vandaag meer dan 600 producten, waarvan een te groot deel verouderd is. Bijgevolg kunnen we de cyberveiligheid ervan niet garanderen,

Digipolis (Het IT departement van de Stad antwerpen) heeft in strategisch plan voor 2023-2027 laten weten dat ze ondergefinancierd zijn.

Nog een leuk weetje, in de Audit van 2021 staat letterlijk:

De vraag is niet of, maar wanneer een cyberaanval zal plaatsvinden en wij het slachtoffer zijn

Dat is toch wel heel bezwarende informatie die hier naar buiten komt. Iedereen wist dat het scheef zat en toch was er geen oplossing. Beveiliging kost immers handenvol geld en er is een serieuze krapte op de arbeidsmarkt als het op cybersecurity-specialisten aankomt. Dat drijft de prijs natuurlijk nog verder op.

Laat het een les zijn voor alle steden die vollop inzetten op digitalisering.

[Reactie gewijzigd door Coolstart op 27 juli 2024 07:55]

telenut @Coolstart • 28 februari 2023 20:04

dat geruchten de ronde doen over bedrijven die in ruil voor grond de betaling deden hebben ze ook vooral aan zichzelf te danken.
Er is niks van communicatie geweest naar de buitenwereld over hoe het komt dat men van de lijst is gegaan zogezegd zonder te betalen...

dasiro @Coolstart • 28 februari 2023 22:01

Ik vind het niet zo erg dat je terug gewoon vrij je afval naar het recyclagepark kan doen zonder dat je daarvoor een afspraak moet maken, da's sinds corona een belachelijke maatregel geweest die hopelijk nooit meer terug komt.

Digipolis is trouwens de dienstverlener, maar geen "departement" van de Stad Antwerpen.

Iedereen die zulke audits al eens gelezen heeft weet quasi op voorhand al dat er altijd wel iets te vinden is en dan zijn 138 gedeelde mappen (geen idee of ze netwerkshares tellen of subfolders) nog relatief weinig op héél de infrastructuur waar honderden of mss zelfs duizenden werknemers gebruik van maken.

De reden waarom we van die lijst verdwenen zijn is waarschijnlijk ter discretie aan de gemeenteraad wel toevertrouwd, want anders had de oppositie al lang op hun achterste poten gestaan. Dat ("onderzoeks")journalisten die niet mogen te weten komen zegt genoeg over hoe precair de oplossing misschien wel is.

Skiddie 28 februari 2023 18:23

Nou het staat in de eerste link. Aangevraagd door Antwerpen, met oogmerk op performance in 2020 en cybersecurity in 2021. Verlpichting en zijn er weinig, maar het BCC heeft wel uitgebreide "suggesties".

EDIT: bedoeld als reactie op @Orangelights23

[Reactie gewijzigd door Skiddie op 27 juli 2024 07:55]

Orangelights23 @Skiddie • 28 februari 2023 21:17

Dat is niet wat ik bedoel. Ik ben benieuwd naar welke wet- en regelgeving of andere frameworks aanwezig zouden moeten zijn en dus de grondslag bieden voor het uitvoeren van een audit. Iets aanvragen is nog niet genoeg.

Slonzo @Orangelights23 • 28 februari 2023 23:19

Ik denk dat je als CISO te diep in de security scene zit om de onkunde of onwetendheid omtrent cyber security nog in te kunnen schatten

Veel mensen geraken bij cyber security niet verder dan een paar oppervlakkige controls implementeren en het "goed genoeg" te noemen.

Naar alle waarschijnlijkheid is er geen grondslag. Ik heb het al een aantal keer gezien: zonder verantwoordelijke of zonder basiskennis van (information) security management lijkt het voor een 'oningewijde' geen onaannemelijke veronderstelling dat een "security audit" (in realiteit een oppervlakkige pentest geregeld door een onwetende manager) alles naar voor zou moeten brengen "dat je moet oplossen om veilig te zijn". Een paar high prio items uit een pentest oplossen lijkt voor de leek alsof 'ie veel bereikt hebt, terwijl het enkel een vals gevoel van veiligheid geeft.

mjtdevries @Slonzo • 1 maart 2023 11:04

Die high prio items van de pentest zullen niet naar voren komen uit een 27001 audit.

BIO, ISO 27001 en SOC2 type I & II zijn zeker nuttig, maar als je wilt voorkomen dat hackers binnen komen is een pentest door een goed pentest team veel effectiever.

AnD 28 februari 2023 21:41

En bij zo dingen blijft het, er is niet één persoon die aansprakelijk is en er zal ook niemand gestraft worden. Degene die het voor het zeggen hebben blijven mooi rondhuppelen en doen gewoon door zoals ze bezig zijn.

swtimmer 28 februari 2023 22:10

Zelfs het innen van schoolkosten kan al 3 maanden niet in Stad Antwerpen. Dus volgens mij is er nog steeds een hele boel wat niet werkt. Kon laatst wel weer een afspraak digitaal maken voor het districtshuis, maar laten wijzigingen maken lukte dan weer niet. Voelt als inwoner wel echt allemaal heel knullig voor zo'n grote stad.

biglia 1 maart 2023 11:58

Zulke organisaties zien af van multi-factor authenticatie omdat veel van hun personeelsleden geen authenticator app kunnen installeren. Ze krijgen geen smartphone van de werkgever (te duur) en weigeren het te installeren of te gebruiken op hun privé toestellen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (40)

Sorteer op:

Weergave: