Buitenlandse hackers hebben de personeelsdossiers van medewerkers van de provincie Gelderland weten buit te maken bij een digitale inbraak. Er zijn geen aanwijzingen dat de gestolen gegevens op het dark web of elders zijn gepubliceerd of te koop worden aangeboden. De daders hebben geen losgeldeisen kenbaar gemaakt.
Dat schrijft de provincie Gelderland in een persverklaring (update redactie 7 februari 2023: de persverklaring wordt niet meer gevonden op de site van de bron).
Extern ICT-bedrijf slachtoffer van digitale inbraak
Anderhalve week geleden slaagden hackers erin om het netwerk te infiltreren van een extern ICT-bedrijf dat de ICT-voorzieningen van de provincie onderhoudt. Het betreffende bedrijf kon snel ingrijpen, omdat ze de ongeautoriseerde toegang in een vroeg stadium opmerkte. Eén van de slachtoffers was de provincie Gelderland. De schade en impact van de aanval waren toen nog niet bekend.
Het forensisch onderzoek naar de cyberaanval is inmiddels afgerond. De provincie meldt in een persbericht dat ‘buitenlandse hackers’ op 18 augustus personeelsgegevens van provincie Gelderland hebben buitgemaakt. Dat gebeurde zoals gezegd via het externe ICT-bedrijf, waar ‘een fors volume aan digitale data’ is ontvreemd. Op het moment van de aanval waren werknemers van dat bedrijf 1.400 Gelderse digitale dossiers aan het aanpassen.
Personeelsdossiers zijn mogelijk ‘bijvangst’
Aanvankelijk was het onduidelijk of deze personeelsdossiers daadwerkelijk waren gedownload door de aanvallers. Forensisch onderzoek toont aan dat dit inderdaad het geval is. Welke gegevens de hackers hebben weten te stelen wil de provincie op dit moment niet zeggen. Wellicht gaat het om persoonlijke gegevens van provinciemedewerkers, zoals namen, adressen, contactgegevens en andere relevante informatie.
Experts vermoeden dat de provincie Gelderland niet het doelwit van de hackers was. Omdat de aanvallers geen contact hebben gezocht met de provincie of slachtoffers, is de diefstal van de personeelsdossiers hoogstwaarschijnlijk ‘bijvangst’. Naar eigen zeggen is een ‘buitenlandse groep hackers’ verantwoordelijk voor de datadiefstal. “Dit type criminelen zoekt gaten in de beveiliging van bedrijven waar relatief veel digitale data in omgaat”, aldus de provincie.
Jan Markink, lid van de Gedeputeerde Staten van de provincie Gelderland, is niet blij met het voorval en zegt de diefstal uiterst serieus te nemen. “We werken continu aan het verbeteren van onze informatiebeveiliging. Door deze hack zijn we ons nog meer bewust van onze kwetsbaarheid van het werken met derden. Intern is deze diefstal zeer serieus opgepakt. We staan open voor alle vragen van ons personeel.”
Informatiebeveiliging is ‘kat-en-muisspelletje’
De provincie Gelderland heeft de samenwerking met het externe ICT-bedrijf stopgezet. De gegevens die ze eerder beschikbaar had gesteld zijn vernietigd. Zodra de datadiefstal aan het licht kwam, heeft de provincie een Incident Response Team ingesteld. Medewerkers van dit team monitoren alle ontwikkelingen omtrent de hack. Medewerkers waarvan gegevens op straat liggen kunnen bij hen terecht voor vragen.
Tegenover De Gelderlander bevestigt Markink dat alle slachtoffers maandag op de hoogte zijn gesteld van de datadiefstal. Daar zaten geen leden van de Gedeputeerde of Provinciale Staten bij. Gedupeerden is gevraagd om de komende tijd extra alert te zijn op phishing en identiteitsfraude.
Het datalek is anderhalve week geleden gemeld bij de Autoriteit Persoonsgegevens. Uit voorzorg laat de provincie haar eigen systemen doorlichten door een partij van buitenaf. Wanneer dit onderzoek is afgerond, kan Markink niet zeggen. “Dat geeft ongetwijfeld weer reden bepaalde zaken nog veiliger te maken. Maar kun je honderd procent garantie geven? Nee, dat kan niet. Het is toch altijd een beetje een -kat-en-muisspel”, vertelt hij tegenover De Gelderlander.
Update (7 september 2021): het ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert medewerkers van de provincie Gelderland om een nieuw paspoort aan te vragen. De kosten hiervoor worden vergoed door de provincie. Werknemers zijn niet verplicht om een nieuw legitimatiebewijs aan te vragen. “Als mensen zich zorgen maken over hun gegevens, kunnen ze een nieuw paspoort aanvragen”, aldus een woordvoerder van de provincie tegenover De Gederlander.
Hij benadrukt dat een nieuw paspoort niets verandert aan iemands burgerservicenummer of woonplaats. Het moet fraude wel lastiger maken. “Als je met alleen een burgerservicenummer een auto probeert te huren roept dat vragen op. Als je daar komt met een paspoort is bijvoorbeeld een autoverhuurder sneller genegen zaken met je te doen”, aldus de woordvoerder.
Wie een nieuw paspoort aanvraagt, moet daarbij aangeven dat hackers de personeelsdossiers van werknemers van de provincie hebben gestolen. Het oude document wordt dan als gestolen geregistreerd. Mocht het oude paspoort bij een misdrijf gebruikt worden, dan kan de politie dat meenemen in het onderzoek.
