Overijssel evalueert webmailhack

Gepubliceerd op 27 augustus 2019

De provincie Overijssel heeft net als veel andere organisaties bijna dagelijks te maken met hackaanvallen van buitenaf. Afgelopen juni lukte het een hacker om door middel van phishing inloggegevens buit te maken van een aantal medewerkers. De provincie deed aangifte bij de politie en meldde de hack bij de Autoriteit Persoonsgegevens. De provincie schakelde een forensisch onderzoeksbureau in dat constateerde dat het onwaarschijnlijk is dat de hacker gevoelige (persoons)gegevens buit heeft gemaakt.

De meeste aanvallen worden door technische maatregelen en door alerte medewerkers tegen gehouden. Eind juni is het een hacker toch gelukt om inloggegevens buit te maken. De hacker kreeg hiermee geen toegang tot het netwerk van de provincie maar wel tot de webmail van een medewerker.

Het eerste gehackte webmailaccount is gebruikt om meer phishingmails - vooral naar medewerkers van de provincie - te versturen, waardoor de hacker inloggegevens buit maakte van nog vijftien medewerkers. Behalve dat direct maatregelen zijn getroffen om data te beschermen en de interne organisatie te informeren, is ook onderzocht welke data de hacker mogelijk buit had gemaakt, of hij meer inloggegevens had bemachtigd en of de digitale dienstverlening aan inwoners, ondernemers, statenleden en medewerkers verstoord zou worden.

Het onderzoek wijst uit dat het onwaarschijnlijk is dat de hacker gevoelige (persoons)gegevens buit heeft gemaakt. Als gevolg van het implementeren van beveiligingsmaatregelen is de webmail tijdelijk niet bereikbaar voor leden van Provinciale Staten (PS) en medewerkers van de provincie. Voor PS-leden en medewerkers zijn er alternatieven om gebruik te maken van hun mail.

De provincie Overijssel heeft het incident uitgebreid onderzocht en heeft daarvoor een extern forensisch onderzoeksbureau ingeschakeld. Want het bestuur van de provincie Overijssel heeft informatiebeveiliging en privacy hoog op haar agenda staan. Eerder dit jaar is al een groot intensief programma gestart voor het verder verhogen van de digitale veiligheid van de provincie. Hiervoor zijn ook structurele middelen vrijgemaakt.

Desalniettemin is honderd procent informatieveiligheid niet te garanderen. Overijssel betreurt elk incident en investeren extra in onder andere opsporingsmaatregelen om snel na een incident te kunnen optreden en daarvan te herstellen.