Het hackerscollectief Play dreigt ermee komende maandag een halve terabyte aan gevoelige data van Antwerpenaren op het internet te zetten. Op zijn darkwebsite claimt Play dat het gaat over onder meer persoonlijke informatie, paspoorten, identiteitskaarten en financiële documenten. ‘Mensen mogen de gevolgen van zo’n lek niet onderschatten’, zegt ethisch hacker Inti De Ceukelaire.
In de nacht van 5 op 6 december werd de stad Antwerpen het slachtoffer van een grootschalige cyberaanval. Het collectief Play hackte de servers van Digipolis, de IT-partner van Antwerpen die in heel wat stadsdiensten is ingebed. Als de stad voor 19 december geen losgeld betaalt, dreigen de hackers ermee de gevoelige data online te zetten.
Antwerpen is overigens niet de enige stad waar hackers het op gemunt hebben. Diest en Zwijndrecht vielen eraan ten prooi en ook in Hasselt duikt nu een cyberdreiging op. Als ethisch hacker zoekt Inti De Ceukelaire met zijn platform Intigriti de gaten in digitale beveiligingssystemen om ze daarna te dichten.
Wat kan iemand met een gestolen kopie van je identiteitskaart?
Inti De Ceukelaire: Heel veel. Er kunnen wagens gehuurd worden op jouw naam of leningen aangegaan worden. In sommige ziekenhuizen kun je met een kopie van een identiteitskaart patiëntendossiers opvragen vol medische gegevens die je vervolgens met de post opgestuurd worden. Hetzelfde geldt voor heel wat attesten via overheidswebsites. Je kunt iemand laten schrappen uit de bevolkingsregisters van zijn gemeente. Ook bepaalde beleggingsplatformen laten toe om met een kopie van je identiteitskaart rekeningnummers of persoonsgegevens in te kijken of aan te passen. Op die manier kan iemand met slechte bedoelingen je geld innen. Dankzij de GDPR (de Algemene Verordening Gegevensbescherming die regels oplegt over het verwerken van persoonsgegevens binnen de Europese Unie, nvdr) kun je bij organisaties en bedrijven een verzoek indienen om je persoonlijke gegevens in te kijken of aan te passen. Daarvoor heb je vaak alleen een kopie van je identiteitskaart nodig. Mensen mogen de gevolgen van zo’n lek niet onderschatten.
Met checkdoc.be biedt de overheid wel een manier om na te gaan of een Belgisch identiteitsdocument bekendstaat als gestolen, verloren, verlopen, ongeldig of niet uitgereikt, maar het gebruik van die website is totaal niet ingebakken.
Wat kunnen steden en gemeenten na een hack doen om potentieel getroffen burgers te beschermen?
De Ceukelaire: In de eerste instantie is informeren het belangrijkst, maar daarvoor moeten burgers weten over welke data het precies gaat. Vaak weten ze dat niet tot de data effectief lekt, en dan blijft het nog de vraag of de hackers álle data lekten. Ze kunnen er ook nog wat achter de hand houden.
In de Verenigde Staten worden mensen van wie de kredietkaartgegevens en socialezekerheidsnummers lekken beschermd tegen frauduleuze transacties. Bij ons is dat nog niet ingeburgerd, maar als persoonlijke data lekt, zou ik wel verwachten dat de slachtoffers ingedekt zijn tegen eventuele schade.
Wat kun je als burger doen om te vermijden dat je gegevens lekken?
De Ceukelaire: Preventief maatregelen nemen is erg moeilijk. Als burger kun je niet kiezen bij welke stad of gemeente je je gegevens achterlaat. Als ze je vingerafdrukken vragen, kun je dat ook niet weigeren.
Als je potentieel slachtoffer bent, moet je waakzaam zijn voor de mogelijke risico’s. Maar ik denk ook – en dat is een taak voor ons allemaal – dat we politici verantwoordelijk moeten stellen voor structurele fouten. Ik pleit niet voor een samenleving waarin niets meer gehackt kan worden – dat kan niet. Maar we moeten wel transparantie eisen van de overheid en voldoende druk zetten om de cybersecurity hoog op de agenda te zetten. Als de overheid persoonlijke data of biometrische gegevens wil, moeten we daar luid genoeg tegen ingaan. En misschien moeten we ons stemgedrag zodanig aanpassen dat we politici eruit bonjouren die daar onvoldoende naar omkijken. Er wordt nog altijd te weinig geïnvesteerd in cybersecurity, tenzij er iets gebeurt. Deze week is het budget daarvoor in Antwerpen plots fors gestegen.
Mag de stad Antwerpen het gevraagde losgeld betalen?
De Ceukelaire: Nee, want dan sponsort de stad een criminele organisatie. Maar het is een lastig dilemma. Daarom moet je altijd een kosten-batenanalyse maken. Hoeveel zal het de stad kosten om het zelf op te lossen, versus hoeveel zal het de stad kosten om te betalen? Losgeld betalen zou pas de allerlaatste optie mogen zijn.
Maar of Antwerpen nu betaalt of niet, de stad moet de persoonsgegevens hoe dan ook als gestolen beschouwen. Het is niet omdat je betaalt, dat de data niet gelekt zijn. Een criminele organisatie kun je niet vertrouwen. Die kun je niet vriendelijk vragen om niet te lekken.
Fout opgemerkt of meer nieuws? Meld het hier