Een Belgische gemeente zet een ethisch hacker in om phishing bij medewerkers aan te pakken. De specialist test met nagemaakte e-mails en nepwebsites hoe weerbaar het stadhuis is. De maatregel loopt bij de gemeentelijke diensten en ondersteuning. De stap past bij strengere eisen uit de AVG, NIS2 en de Europese AI-verordening en de gevolgen voor overheid.
Gemeente kiest ethisch hacker
De lokale overheid reageert op meer gerichte oplichtingspogingen via e-mail en sms. Vooral medewerkers met toegang tot financiële systemen zijn een doelwit. Het Centre for Cybersecurity Belgium waarschuwt hier al langer voor. De gemeente kiest daarom voor gecontroleerde aanvallen door een ethisch hacker.
De hacker stuurt realistische testmails en kijkt of filters, meldknoppen en opleidingsmodules goed werken. Ook wordt nagegaan of afzendercontroles als SPF, DKIM en DMARC correct zijn ingesteld. Dat zijn technische standaarden die misbruik van domeinnamen helpen voorkomen. De bevindingen gaan naar de IT-afdeling en het bestuur.
Het doel is minder kliks op malafide links en sneller melden van verdachte berichten. Teams krijgen gerichte training op basis van de uitkomsten. Daarna volgen herhaalde tests om de voortgang te meten. Zo wordt beveiliging een vast proces en geen eenmalige actie.
Phishingtests meten gedrag
Bij zo’n test krijgt personeel een overtuigende e-mail met een link naar een inlogscherm. De pagina lijkt echt, maar is alleen bedoeld om gedrag te meten. Er worden geen echte wachtwoorden bewaard of misbruikt. De test stopt zodra iemand gevoelige gegevens wil invullen.
Phishing is oplichting via e-mail, sms of sociale media, met als doel inloggegevens of geld te stelen.
De organisatie registreert alleen minimale gegevens, zoals of iemand klikte of meldde. Resultaten worden gebundeld per team of functie. Individuele fouten leiden niet tot naming-and-shaming. De focus ligt op leren en verbeteren.
Naast tests gebruikt de gemeente bestaande beveiligingsfuncties van e-mailplatforms. Denk aan machinelearning-filters die verdachte patronen herkennen. Zulke algoritmen beoordelen afzenders, woordkeuze en links. Menselijke controle blijft nodig bij twijfelgevallen.
Privacy volgens AVG geregeld
Phishingtests verwerken persoonsgegevens, zoals e-mailadres en klikgedrag. Dat valt onder de AVG en vraagt om een duidelijke grondslag, meestal gerechtvaardigd belang of publieke taak. Een gegevensbeschermingseffectbeoordeling (DPIA) is verstandig. Medewerkers moeten vooraf weten wat er getest wordt en waarom.
Dataminimalisatie is belangrijk: verzamel alleen wat nodig is en bewaar kort. Versleuteling beschermt testdata tijdens opslag en verzending. Toegang is beperkt tot functionarissen die de veiligheid beheren. De functionaris gegevensbescherming kijkt mee met opzet en evaluatie.
Werkt de gemeente met een externe hacker of leverancier, dan is er een verwerkersovereenkomst. Bij data-opslag buiten de EU gelden extra waarborgen door het Schrems-II-arrest. Kies daarom bij voorkeur EU-hosting of passende standaardclausules. De Belgische Gegevensbeschermingsautoriteit publiceert hierbij praktische richtlijnen.
NIS2 vergroot druk op gemeenten
De Europese NIS2-richtlijn verplicht essentiële en belangrijke organisaties tot sterkere cyberhygiëne. Lidstaten, waaronder België, hebben die regels omgezet in nationale wetgeving. Afhankelijk van omvang en diensten kan dit ook lokale besturen raken. Dan zijn risicobeheer, leverancierscontrole en snelle incidentmelding verplicht.
Phishingbestendigheid hoort bij dat risicobeheer. Regelmatige bewustwording, technische e-mailbeveiliging en reporting-processen worden vast onderdeel. In Nederland sluit dit aan op de BIO-norm voor overheden. In België publiceert het CCB leidraden en meldprocedures.
De Europese AI-verordening legt vooral plichten bij aanbieders van generatieve systemen. Voor overheden die AI inzetten in security geldt: wees transparant en houd menselijk toezicht. Anti-phishingmodellen vallen meestal niet in de hoogrisicoklasse. Toch is documentatie van werking en beperkingen verstandig voor audit en bestuur.
AI maakt phishing geloofwaardiger
Aanvallers gebruiken generatieve AI om foutloze Nederlandstalige en Franstalige teksten te maken. Ook stemmen en video kunnen worden nagemaakt voor telefonische fraude. Daardoor lijken berichten persoonlijker en betrouwbaarder. Spearphishing neemt zo in kwaliteit toe.
Tegelijk zetten verdedigende partijen AI in om patronen te herkennen. Denk aan e-maildiensten van grote leveranciers die met machinelearning verdachte links blokkeren. Zulke systemen vangen veel, maar niet alles. Aanvallers testen ook tegen die filters en blijven zo soms onder de radar.
De gemeente combineert daarom techniek met menselijk handelen. Een duidelijke meldknop in de inbox versnelt reactie. Korte microtrainingen helpen om verdachte signalen te herkennen. Zo wordt schade beperkt als iets toch door de filters glipt.
Gevolgen voor burgers
Bewustere medewerkers verkleinen de kans dat criminelen binnenkomen via gemeentelijke accounts. Dat verkleint risico op uitval van digitale loketten en datalekken. Ook e-mailauthenticatie (DMARC) maakt spoofing van gemeentelijke adressen lastiger. Burgers ontvangen dus minder misleidende berichten die lijken van de gemeente te komen.
Bij incidenten moet sneller worden gemeld aan autoriteiten en betrokkenen. Dat geeft transparantie en beperkt schade. Een responsible-disclosurebeleid helpt onderzoekers veilig kwetsbaarheden te melden. Dit sluit aan op nationale campagnes zoals Safeonweb in België.
Burgers blijven zelf ook alert. Controleer afzender en domein, klik niet zomaar, en gebruik tweestapsverificatie. Meld verdachte berichten via de officiële kanalen van de gemeente. Zo versterken overheid en inwoners samen de digitale weerbaarheid.
