Onderdeel van het onderzoek was een ‘inbraak’ in de Abdij, waarin het provinciebestuur is gevestigd. Een mystery guest kon op 21 april ongestoord zeven uur lang rondsnuffelen. Hij had geen toegangspas, maar liep achter een provinciemedewerker aan en kreeg zo toegang tot het afgeschermde deel van het gebouw.

De ‘inbreker’ betrad onder meer de Admiraliteitszaal, waar Gedeputeerde Staten wekelijks vergaderen. „Als hij kwaadwillend was geweest, had hij allerlei schade kunnen aanrichten, zoals het plaatsen van afluisterapparatuur”, meldt de rekenkamer. De anonieme man kon ook hackersactiviteiten uitvoeren op een Teams-pc in een kast die niet op slot zat.

Verantwoordelijk gedeputeerde Dick van der Velde zegt dat het niet zo kan zijn dat iemand zomaar het provinciehuis binnenstapt en aan de slag gaat met ongewenste zaken. „Het geeft ons de plicht hierover na te denken”, aldus Van der Velde. „Maar je hebt wel altijd de discussie op het snijvlak van ‘wat is veilig en wat is gastvrij’. Je wilt ook als provincie een gastvrije organisatie zijn. De mate van dichttimmeren gaat altijd ten koste van het gastvrijheidsgevoel.” Fouilleren van mensen die het provinciehuis bezoeken, is wat Van der Velde betreft niet aan de orde.

De rekenkamer heeft ook onderzoek gedaan naar de cyberveiligheid bij organisaties die aan de provincie gelieerd zijn. Zo kreeg een hacker de opdracht om onaangekondigd een cyberaanval te simuleren bij de Regionale Uitvoeringsdienst RUD (het centrale milieuloket van de provincie), de Westerschelde Ferry en het kantoor van de Westerscheldetunnel. Het lukte de hacker om van buitenaf bij de RUD Zeeland binnen te dringen, omdat daar ‘zwakke’ wachtwoorden waren gebruikt. Bij de Westerschelde Ferry en de tunnel lukte het niet om van buitenaf toegang te krijgen tot het ICT-systeem.

RUD-directeur Anton van Leeuwen laat weten dat een aantal procedures is aangescherpt, onder meer wat betreft de wachtwoorden. Ook wijst hij op de bewustzijnscampagnes voor cyberveiligheid die regelmatig herhaald zullen worden.