De NMBS werd de voorbije drie jaar geconfronteerd met een tiental lekken van persoonsgegevens. Dat bevestigt de federale minister van Mobiliteit Georges Gilkinet (Ecolo). Uit voorzichtigheid is hij karig met details.
Ook de Belgische spoorwegen zijn het doelwit van cyberaanvallen. Met de apps die de NMBS aan reizigers aanbiedt of de slimme infrastructuren die spoornetbeheerder Infrabel ontwikkelt, roept dat vragen op over de cyberrisico’s die verbonden zijn aan de de digitalisering van de treindiensten en -operaties.
In een antwoord op een schriftelijke parlementaire vraag over mogelijke cyberintrusies en andere computeraanvallen, breidde de federale minister van Mobiliteit niet uit in zijn antwoorden, maar bevestigde hij niettemin dat de NMBS de afgelopen jaren inderdaad datalekken had opgelopen. ‘De NMBS stelde twee datalekken vast in 2018 en 2020. In 2019 waren dat er vijf. Het gaat om cyberaanvallen gericht op persoonsgegevens’, aldus minister Georges Gilkinet (Ecolo).
Voorzichtige communicatie
Onder de slachtoffers van deze gegevensdiefstallen bevonden zich klanten die internationale reizen maakten, spoorwegagenten en hun gezinsleden of zelfs houders van Mobib-kaarten die abonnementen van de vervoerbedrijven NMBS, TEC, MIVB en De Lijn combineren. Maar dit alles in een ‘beperkt aantal’, tempert de minister van Mobiliteit, alvorens de details kort te houden door een beroep te doen op het voorzorgsprincipe.
‘Om voor de hand liggende veiligheidsredenen is het logisch dat de NMBS niet publiekelijk communiceert over de precieze omstandigheden van de cyberaanvallen waarmee ze wordt geconfronteerd en over de precieze maatregelen die ze neemt om ze te vermijden’, motiveert Georges Gilkinet, zonder informatie te verstrekken over Infrabel.
De cyberdreiging waarmee de netbeheerder wordt geconfronteerd, zou vergelijkbaar zijn met die voor alle Europese spoorwegen: een stijgend niveau.
Privacy-autoriteiten op de hoogte
Wat betreft de veiligheidsmaatregelen die zijn genomen om de bescherming van de Belgische spoorweg-IT-systemen te versterken, zorgt de minister van Mobiliteit ervoor dat het proces of de software aan de oorsprong van het lek werd verbeterd, dat er opleidingen werden gegeven en dat er bewustmaking werd uitgevoerd. onder NMBS-agenten.
‘Deze lekken zijn gemeld bij de Gegevensbeschermingsautoriteit. Alleen bij één datalek was er een hoog risico voor rechten en vrijheden. In dat geval werden de betrokkenen ook op de hoogte gebracht van het datalek’, benadrukt Georges Gilkinet.
Er is geen informatie gepubliceerd over mogelijke vervolgingen van de daders, en in de jaarverslagen van de spoorwegmaatschappijen zijn er geen details te vinden over hun budget voor cybersecurity.
Als strategisch bedrijf moet Infrabel, dat verantwoordelijk is voor de spoorweginfrastructuur, de bevoegde autoriteiten op de hoogte brengen van elke cyberaanval op zijn essentiële systemen. ‘Infrabel respecteert nauwgezet zijn verplichtingen op dit gebied en neemt alle nodige maatregelen om het hoofd te bieden aan het huidige niveau van cybercriminaliteit waaraan het wordt blootgesteld en om zich voor te bereiden op veranderingen in dit dreigingsniveau’, zegt de minister van Mobiliteit.
Lees ook: