De Comhairle nan Eilean Siar, de gemeenteraad van de Schotse Western Isles, is inmiddels al twee jaar verwikkeld in een moeizaam hersteltraject na een ernstige ransomware-aanval in november 2023. De directe kosten van de aanval lopen inmiddels op tot meer dan één miljoen euro, zo blijkt uit een nieuw rapport van de Schotse Accounts Commission. Ondanks uitgebreid onderzoek is het nog altijd onduidelijk hoe de aanvallers toegang konden krijgen tot de systemen.
Cyberaanval
Volgens de toezichthouder waren de bestaande continuïteitsplannen van de raad onvoldoende voorbereid op een cyberaanval van deze omvang. Zwakke plekken in de IT-omgeving en de governance waren al eerder vastgesteld, maar bleken niet of slechts deels te zijn aangepakt. Ook kampte de raad met een tekort aan IT-medewerkers, wat het risico op een succesvolle aanval vergrootte. “Als de raad beter was voorbereid, was de impact van de aanval mogelijk beperkt geweest”, concludeert de Accounts Commission.
Uit het rapport blijkt dat de raad slechts de helft van de aanbevelingen die tijdens een eerdere audit werden gedaan, volledig heeft doorgevoerd. Belangrijke onderdelen die nog steeds wachten op afronding zijn onder meer het trainen van medewerkers in cybersecurity, het regelmatig testen van incident- en responseplannen en het volledig voldoen aan de beveiligingsprincipes van het Britse National Cyber Security Centre (NCSC).
Herstel nog lang niet klaar
Hoewel er sinds november 2023 aanzienlijke stappen zijn gezet, zijn de herstelwerkzaamheden nog altijd niet afgerond. Medewerkers zijn intensief bezig om historische en actuele gegevens opnieuw aan systemen toe te voegen, een tijdrovend proces dat naar verwachting ook in 2026 zal doorgaan. De impact van de aanval werd bovendien versterkt doordat niet alleen productiesystemen, maar ook tal van back-ups door de aanvallers werden versleuteld. Een deel van de gemeentelijke data is hierdoor permanent verloren gegaan.
Onderschatte cyberrisico’s
De situatie op de Western Isles benadrukt nogmaals hoe groot de gevolgen kunnen zijn van onderschatte cyberrisico’s en achterstallig IT-beheer. Het rapport van de Accounts Commission dient daarmee als een duidelijke waarschuwing voor andere overheden: onvoldoende voorbereiding en trage opvolging van beveiligingsadviezen kunnen leiden tot jarenlang herstel en structurele schade.