Geheimzinnige gast dringt provinciehuis binnen: 'Had afluisterapparatuur kunnen plaatsen'
Door de firewalls van de provincie Zeeland breek je niet zomaar heen. Maar indringen in het provinciehuis gaat een stuk makkelijker. De organisatie is volgens onderzoek van de rekenkamer Zeeland niet goed genoeg beveiligd tegen fysieke indringers. Een ethische hacker kon het gebouw binnendringen en had daar een hoop kwaad uit kunnen halen.
Het is 21 april 2023. Een onbekend persoon wandelt het provinciehuis op het Abdijplein in Middelburg binnen. De mysterieuze gast heeft geen pasje bij zich waarmee hij alle deuren in het gebouw kan openen. Maar door achter een medewerker aan te lopen, kan hij het afgeschermde gedeelte van het provinciehuis binnenwandelen.
Ongestoord hacken
De indringer verschanst zich de hele dag in verschillende ruimtes. Hij brengt onder andere een bezoekje aan de Admiraliteitszaal, waar Gedeputeerde Staten wekelijks vergaderen. In een andere ruimte vindt hij een pc in een kast die niet op slot zit. Op die computer kan hij urenlang ongestoord proberen om het interne systeem te hacken.
Pas zeven uur later krijgt een medewerker argwaan en waarschuwt de beveiligers. De mystery guest wordt ontmaskerd. Maar in die zeven uur had hij een hoop schade aan kunnen richten. "Als hij kwaadwillend was geweest, had hij onder andere in de Admiraliteitszaal afluisterapparatuur kunnen plaatsen", schrijft de rekenkamer.
"Hoe is de indringer precies te werk gegaan?", vraagt Omroep Zeeland aan verantwoordelijk gedeputeerde Dick van der Velde. "Als ik u dat ga vertellen, dan maak ik gelijk alles openbaar waardoor iedereen het zou kunnen doen. Dus dat ga ik niet doen", zegt hij. "Belangrijk is dat we nu geconstateerd hebben dat dit blijkbaar kan."
'Veiligheid en gastvrijheid in balans krijgen'
"Ik vind dat we er echt over na moeten denken of en op welke manier we dit zouden moeten tegengaan. Er zijn delen in Zeeland waar mensen hun achterdeur gewoon open laten staan. Die mensen doen dat voor de gastvrijheid voor de buren. Zo moet je dat bij het provinciehuis ook zien. We willen gastvrij zijn. Maar dat moet natuurlijk wel veilig."
Volgens Van de Velde is het nemen van maatregelen daarom moeilijk: "De gastvrijheid staat dan op gespannen voet met gastvrijheid en we moeten een manier vinden om die twee in balans te krijgen."
"Veel mensen zijn in de veronderstelling dat hacken iets is dat alleen met computers gebeurt", zegt ethische hacker Wouter van Dongen. "Als je soms simpelweg naar binnenloopt en een kabeltje in de muur steekt, wat we hier hebben geprobeerd, dan kan je soms voorbij die eerste beveiligingslaag komen."
Al jaren is de provincie bezig met het verbeteren van de cyberveiligheid. Ethische hackers gaan regelmatig los op de beveiliging om te kijken of er doorheen gebroken kan worden. Volgens de rekenkamer voldoet die beveiliging aan de internationale veiligheidsstandaarden. Maar aan de fysieke beveiliging laat het dus te wensen over. De rekenkamer heeft een lijst met handvatten naar de provincie gestuurd om de "weerbaarheid tegen onbevoegden" te verbeteren.
Ook andere partijen die met de provincie samenwerken, zoals de Westerscheldeferry, de Westerscheldetunnel en de RUD Zeeland werden getest door een ethische hacker, door te kijken hoeveel schade hij kon aanrichten binnen de interne systemen. Hackers kunnen zomaar toegang tot die systemen krijgen door bijvoorbeeld phishing mails. Alle organisaties hebben verbeterpunten gekregen om aan te werken.
