Overijssel evalueert webmailhack

De meeste aanvallen worden door technische maatregelen en door alerte medewerkers tegen gehouden. Op 25 juni jongstleden is het een hacker toch gelukt om inloggegevens buit te maken. De hacker kreeg hiermee geen toegang tot het netwerk van de provincie maar wel tot de webmail van een medewerker.

Dit webmailaccount is gebuikt om meer phishingmails – vooral naar medewerkers van de provincie – te versturen. Behalve dat direct maatregelen zijn getroffen om data te beschermen en de interne organisatie te informeren, is ook onderzocht welke data de hacker mogelijk buit had gemaakt, of hij meer inloggegevens had bemachtigd en of de digitale dienstverlening aan inwoners, ondernemers, statenleden en medewerkers verstoord zou worden.

Het onderzoek wijst uit dat het onwaarschijnlijk is dat de hacker gevoelige (persoons)gegevens buit heeft gemaakt. Als gevolg van het implementeren van beveiligingsmaatregelen is de webmail tijdelijk niet bereikbaar voor leden van Provinciale Staten (PS) en medewerkers van de provincie. Voor PS-leden en medewerkers zijn er alternatieven om gebruik te maken van hun mail.

De provincie Overijssel heeft het incident uitgebreid onderzocht en heeft daarvoor een extern forensisch onderzoeksbureau ingeschakeld. Want het bestuur van de provincie Overijssel heeft informatiebeveiliging en privacy hoog op haar agenda staan. Eerder dit jaar is al een groot intensief programma gestart voor het verder verhogen van de digitale veiligheid van de provincie. Hiervoor zijn ook structurele middelen vrijgemaakt.

Desalniettemin is honderd procent informatieveiligheid niet te garanderen. Overijssel betreurt elk incident en investeren extra in onder andere opsporingsmaatregelen om snel na een incident te kunnen optreden en daarvan te herstellen.