Logo Parlement Buxellois

Schriftelijke vraag betreffende het toezicht op cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Elke Van den Brandt en Alain Maron, leden van het Verenigd College bevoegd voor Welzijn en Gezondheid (Vragen nr 617)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 08/11/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 14/10/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
22/09/2022 Ontvankelijk
 
Vraag   

De Raden van Bestuur (rvb's) zijn wettelijk verplicht risico's naar behoren te bewaken. Cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren tot de te bewaken risico's! Volgens het Federal Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om met cyberrisico's om te gaan en hebben Chief Information Security Officers (CISO's) moeite om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

CERT.be biedt twee documenten om rvb's en CISO's te helpen:

  • Het eerste document is bedoeld voor CISO's:

https://www.cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de bevoegde autoriteiten:

https://www.cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf.

Om mijn informatie aan te vullen, zou ik u de volgende vragen willen stellen:

Met betrekking tot de raden van bestuur onder uw ministeriële bevoegdheid of voogdij:

  1. Zijn de twee bovengenoemde en door CERT.be voorgestelde documenten bekend bij de raden van bestuur en de CISO's? Worden deze documenten gebruikt door de raden van bestuur en de CISO's?

  2. Gezien de vele bedreigingen en kwetsbaarheden ( https://threatmap.checkpoint.com/ ), welke maatregelen hebben rvb’s genomen om cyberrisico's te beperken? Hoe zit het met de doeltreffendheid van deze maatregelen en de bijbehorende feedback?

  3. Hoe vaak brengen CISO's verslag uit aan de rvb’s over de te bewaken cyberrisico's? Wat zijn de voorkeursmethoden voor het vaststellen van cyberrisico's en verantwoordelijkheden?

 

 
 
Antwoord    Ik dank u voor uw vragen.

V1
Onze administraties hebben geen raad van bestuur om hun taken uit te voeren. De bovengenoemde documenten van het CERT zijn niet bekend bij de personen die de informatieveiligheidszaken opvolgen binnen de Diensten van het Verenigd College.

V2
Iriscare past als lid van het netwerk van de sociale zekerheid een veiligheidsbeleid toe dat gebaseerd is op de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid, die jaarlijks worden geëvalueerd. Iriscare oefent de IT-bevoegdheid uit voor Iriscare en voor de DVC.
In het licht van de talrijke bedreigingen en kwetsbaarheden heeft Iriscare een reeks technische en organisatorische maatregelen genomen om de veiligheid van gegevens, systemen en computernetwerken te waarborgen.
- Het beheer van het netwerk en de beveiliging ervan worden verzekerd door SMALS en het CIBG. Alle servers zijn operationeel op die netwerken en zijn volledig gescheiden.
Er worden veiligheidsmaatregelen getroffen zoals: rolgebaseerde toegangscontrole, scheiding van taken, scheiding van netwerken, beveiligde hosting van het systeem in het datacenter van Smals en het CIBG, integratie met het centrale toegangsbeheersysteem (Active Directory), gecentraliseerde back-up van systemen en gegevens die in de beveiligde G-Cloud-omgeving wordt opgeslagen, toepassing van patches en regelmatige systeemupdates, beleid voor incidentenbeheer, enz.

Wat de werkstations betreft:
· De gebruikers hebben geen beheerdersrechten op hun laptop.
· Op elk werkstation wordt Symantec-antivirussoftware geïnstalleerd, centraal beheerd en meerdere malen per dag bijgewerkt voor de werkstations die op het netwerk zijn aangesloten.
· De basisveiligheidsvoorschriften van MS worden toegepast.
· De toegang tot toepassingen verloopt via MFA/2FA (multifactorauthenticatie/tweefactorauthenticatie).
· De toegang op afstand is beveiligd en gecodeerd, de VPN-verbinding verloopt via eID of itsme.
· Het wachtwoordbeleid wordt toegepast.
· De werkstations worden na enkele minuten automatisch beveiligd door een schermvergrendeling.
· De gebruikers worden regelmatig bewustgemaakt van cyberrisico’s, zodat ze de verschillende vormen van online oplichting tijdig herkennen en weten hoe ze moeten reageren.
· Er is een gedragscode voor het gebruik van IT-middelen ontwikkeld en gepubliceerd op het intranet van Iriscare.




Het fysieke en technische beheer van de systemen en netwerken die in de datacentra van Smals en het CIBG worden gehost, is gebaseerd op SLA’s (Service Level Agreements) die ook het incidentenbeheer en continuïteitsmaatregelen bevatten. In nauwe samenwerking met die datacentra worden de geldende procedures voor fysieke en technische incidenten gevolgd. Iriscare wordt door Smals en het CIBG geïnformeerd als er een dreiging is of als er zich storingen voordoen.

V3
In nauwe samenwerking met de datacentra van Smals en het CIBG worden de geldende procedures voor fysieke en technische incidenten gevolgd, en Iriscare wordt tijdig door Smals en het CIBG geïnformeerd als er een dreiging is of als er zich storingen voordoen.
De positie van een CISO zou tegen 2023 intern bij de DVC versterkt moeten worden.