Logo Parlement Buxellois

Schriftelijke vraag betreffende het toezicht op cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Sven Gatz en Bernard Clerfayt, leden van het Verenigd College, bevoegd voor de Gezinsbijslagen, Begroting, Openbaar Ambt en Externe betrekkingen (Vragen nr 79)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 08/11/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 20/10/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
22/09/2022 Ontvankelijk
 
Vraag   

De Raden van Bestuur (rvb's) zijn wettelijk verplicht risico's naar behoren te bewaken. Cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren tot de te bewaken risico's! Volgens het Federal Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om met cyberrisico's om te gaan en hebben Chief Information Security Officers (CISO's) moeite om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

CERT.be biedt twee documenten om rvb's en CISO's te helpen:

  • Het eerste document is bedoeld voor CISO's:

https://www.cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de bevoegde autoriteiten:

https://www.cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf.

Om mijn informatie aan te vullen, zou ik u de volgende vragen willen stellen:

Met betrekking tot de raden van bestuur onder uw ministeriële bevoegdheid of voogdij:

  1. Zijn de twee bovengenoemde en door CERT.be voorgestelde documenten bekend bij de raden van bestuur en de CISO's? Worden deze documenten gebruikt door de raden van bestuur en de CISO's?

  2. Gezien de vele bedreigingen en kwetsbaarheden ( https://threatmap.checkpoint.com/ ), welke maatregelen hebben rvb’s genomen om cyberrisico's te beperken? Hoe zit het met de doeltreffendheid van deze maatregelen en de bijbehorende feedback?

  3. Hoe vaak brengen CISO's verslag uit aan de rvb’s over de te bewaken cyberrisico's? Wat zijn de voorkeursmethoden voor het vaststellen van cyberrisico's en verantwoordelijkheden?

 

 
 
Antwoord    Ik heb de eer u de volgende antwoorden te geven op uw vragen:
1.
De Diensten van het Verenigd College hebben geen raad van bestuur voor de uitoefening van deze taken. De CERT-documenten zijn niet bekend bij de personen die de informatiebeveiligingskwestie binnen de DVC volgen.

De CERT-documenten zijn niet bekend bij de verantwoordelijken van de ICT-dienst en de dienst Informatiebeveiliging en worden niet gebruikt binnen Iriscare. Als lid van het netwerk voor sociale zekerheid past Iriscare echter een veiligheidsbeleid toe dat gebaseerd is op de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid, die jaarlijks worden geëvalueerd.

2.
Voor de DVC vertrouwen de medewerkers op de richtsnoeren van het CIBG en Smals op dit gebied.

Gezien de talrijke bedreigingen en kwetsbaarheden heeft Iriscare een reeks technische en organisatorische maatregelen genomen om de beveiliging van gegevens, computersystemen en netwerken te waarborgen.
- Het netwerkbeheer en de beveiliging ervan worden verzorgd door Smals en het CIBG. Alle servers zijn operationeel op deze netwerken en zijn volledig gescheiden.
Beveiligingsmaatregelen worden genomen zoals: toegangscontrole gebaseerd op de rol van de gebruiker (rol-based access control), scheiding van taken, scheiding van netwerken, veilige systeemhosting in het Smals- en CIBG-datacentrum, integratie met het centrale toegangsbeheersysteem (Active Directory), gecentraliseerde systeem- en gegevensback-up opgeslagen in de beveiligde G-Cloud-omgeving, toepassing van patches en regelmatige systeemupdates, beleid inzake incidentenbeheer, enz. worden toegepast.

Wat de werkstations betreft:
· Gebruikers hebben geen beheerdersrechten op hun laptop;
· Op elk werkstation is antivirussoftware van Symantic geïnstalleerd, die centraal wordt beheerd en meerdere malen per dag wordt bijgewerkt voor werkstations die op het netwerk zijn aangesloten;
· De minimumrichtlijnen voor MS-beveiliging worden toegepast;
· De toegang tot toepassingen verloopt via MFA/2FA (meervoudige authenticatie/tweevoudige authenticatie);
· Toegang op afstand is veilig en gecodeerd, de VPN-verbinding verloopt via eID of Itsme;
· Het wachtwoordbeleid wordt toegepast;
· Werkstations worden na enkele minuten automatisch beveiligd door een schermvergrendeling;
· Gebruikers worden regelmatig gewezen op de cyberrisico's om tijdig de verschillende vormen van onlinezwendel te herkennen en te weten hoe ze moeten reageren;
· Er wordt een gedragscode voor het gebruik van IT-middelen ontwikkeld en verspreid op het intranet van Iriscare.
Het fysieke en technische beheer van de systemen en netwerken die in de datacentra van Smals en het CIBG worden gehost, is gebaseerd op SLA's (Services Level Agreements) die ook maatregelen inzake incidentenbeheer en continuïteit bevatten. In nauwe samenwerking met deze datacentra worden de fysieke en technische incidentprocedures gevolgd. Iriscare wordt door Smals en het CIBG geïnformeerd als er een dreiging is of als er onderbrekingen zijn.


3.
Voor de DVC is er geen rapportage aan de raad van bestuur, noch zijn er specifieke methodologieën. De administratie wordt geadviseerd door externe dienstverleners van het CIBG, maar de positie van een CISO moet tegen 2023 intern worden versterkt.

Zoals reeds vermeld in het vorige antwoord worden in nauwe samenwerking met de datacentra van Smals en het CIBG de geldende fysieke en technische incidentprocedures gevolgd en wordt Iriscare door Smals en het CIBG tijdig op de hoogte gebracht indien er een dreiging is of indien er zich storingen voordoen.