Schriftelijke vraag betreffende de ondersteuning van de digitale veiligheid van lokale besturen.
- Indiener(s)
- Bianca Debaets
- aan
- Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 273)
| Datum ontvangst: 18/05/2020 | Datum publicatie: 22/06/2020 | ||
| Zittingsperiode: 19/24 | Zitting: 19/20 | Datum antwoord: 18/06/2020 | |
| Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
| 19/05/2020 | Ontvankelijk | p.m. |
| Vraag | In deze tijden van corona werd en wordt het klassieke werkstramien quasi volledig omgevormd op een manier waarop werknemers zich niet langer richting de fysieke werkplaats begeven, maar zoveel mogelijk van thuis uit werken. Deze omslag houdt echter ook in dat op vlak van digitale veiligheid een heel nieuwe context gecreëerd werd: er wordt niet langer vanop één centrale plaats gewerkt, maar iedereen moet vanuit zijn of haar eigen werkplek wel toegang tot gecentraliseerde gegevens krijgen. Doordat die digitale systemen nu meer en meer druk gebruikt worden, zijn zij ook vaker het mikpunt van cybercrime – zowel bij privébedrijven als bij de overheid. Op Vlaams niveau besliste Minister van Binnenlands Bestuur Bart Somers daartoe reeds ruim 2 miljoen euro uit te trekken om lokale besturen te ondersteunen in het verhogen van de beveiliging van hun ICT-systemen1. Ook in uw recentste beleidsnota omtrent de digitale transitie wordt het onderwerp cybersecurity aangeraakt: “De gewestelijke cyberbeveiliging zal worden versterkt door het gebruik van innovatieve technologieën en de beveiliging van IT-infrastructuur in samenwerking met BPV en CIBG. Het CIBG zal samen met zijn gewestelijke partners zijn positie op dit gebied bepalen. De prioriteit van het CIBG is het beveiligen van de IT-infrastructuren die het voor zijn klanten in het datacenter beheert.” Vandaar dat ik u graag volgende vragen stel: - Heeft u accurate en actuele cijfers over de impact (financieel, logistiek …) die cybercrime heeft op de Brusselse lokale besturen? Hoeveel gemeenten hebben al een cyberaanval meegemaakt in ons Gewest? Welke diensten binnen het GOB werden hier reeds het slachtoffer van? Hoelang hebben deze aanvallen geduurd? Welke gevolgen hadden deze? Konden er daardoor privégegevens van inwoners ingekeken worden? - Welke ondersteuning bieden het CIBG en IT-CO om respectievelijk lokale besturen en de gemeenschapscommissies en de regionale administratie te helpen om aanvallen af te slaan sinds de nieuwe legislatuur? In hoeverre bestaat er structureel overleg tussen uw bevoegde administraties en de andere besturen hieromtrent? - Hoeveel middelen worden hiervoor uitgetrokken in 2020 vanuit uw bevoegdheden? Hoeveel personeelsleden binnen uw administraties zijn dagelijks bezig met deze problematiek? Welke maatregelen ontwikkelt het CIBG in samenwerking met Brussel Preventie en Veiligheid teneinde de administraties zou goed mogelijk te kunnen beschermen? - De GDPR stipuleert dat er op gezette tijdsstippen zogeheten ‘penetration tests’ of ‘pentests’ moeten gebeuren. Beschikt u over cijfers in hoeverre deze verplichting afdoende bekend is bij de Brusselse overheden en of deze tests effectief plaatsvinden? - Welke andere en flankerende maatregelen voorziet de Brusselse Regering om ervoor te zorgen dat de gemeentebesturen en de besturen op de hoogte zijn van de gevaren en de verplichtingen inzake cybercrime? 1 https://www.bartsomers.be/home/cyberveiligheid-222/?lid=6249 |
| Antwoord | 1/ Het CIBG beschikt niet over deze informatie omdat die eigen is aan elke instelling. Gezien de gevoeligheid van informatie met betrekking tot strafbare feiten, is er altijd een plicht tot terughoudendheid. Dit soort informatie kan alleen door de organisatie zelf worden verstrekt of kan enkel worden verzameld door een daartoe gemachtigde instelling zoals "een CERT - Computer Emergency Response Team - Gewestelijk”. In het door het CIRB beheerde gewestelijke datacenter zijn de afgelopen jaren geen intrusies waargenomen. De GOB is tot dusver slechts in beperkte mate het slachtoffer geweest van cybercriminaliteit of van een cyberaanval. In het incidentregister 2019-2020 wordt melding gemaakt van een incident met verdachte bewegingen in een applicatie dat in verband wordt gebracht met cybercrime of een cyberaanval. Gerichte monitoring door de technische teams maakte een snelle identificatie mogelijk en er werden onmiddellijk maatregelen genomen om dit te verhelpen. De grootste bedreiging waarmee de GOB in 2019 en 2020 werd en momenteel wordt geconfronteerd, is phishing en gehackte mailboxen. 2/ Om cybersecurity binnen ons gewest te professionaliseren, heeft het CIBG een dienst Data Protection Office (DPO) en een Adviseur Informatiebeveiliging (CSI) in het leven geroepen. 34 Brusselse instellingen hebben een beroep gedaan op het CIBG voor deze diensten. De rol van deze adviseurs informatiebeveiliging bestaat in het adviseren op het vlak van informatiebeveiliging, het sensibiliseren van het management en de medewerkers voor de risico's verbonden aan cybercriminaliteit, het implementeren van een meerjarig actieplan voor beveiliging voortvloeiend uit een risicoanalyse. De hefboom is het informatiebeveiligingsbeleid binnen de organisatie. Daarnaast heeft het CIBG een kenniscentrum opgericht voor de functionarissen voor gegevensbescherming. Alle DPO's van de gewestelijke instellingen worden er samengebracht om gewestelijk overleg op dit gebied te verzekeren en om, onder meer, goede praktijken uit te wisselen. Bovendien heeft het team Information Security Management van het CIBG sinds de lockdown er een erezaak van gemaakt om het bewustzijn van cyberbeveiliging bij de overheidsinstanties van het gewest te vergroten via verschillende communicatiekanalen. Aangezien het wordt beschouwd als een digitale dienstverlener in het kader van de NIS-richtlijn (beveiliging van netwerk- en informatiesystemen) onderhoudt het CIBG bovendien nauwe contacten met het Belgian Cybersecurity Centre (CCB) om afwijkingen op gewestelijk niveau te voorkomen. Een procedure voor wederzijdse kennisgeving wordt momenteel geïmplementeerd tussen de twee instellingen. De GOB - Brussels ConnectIT voorziet van zijn kant een hele reeks maatregelen om het informatiebeveiligingsbeleid binnen de GOB te handhaven: - Een beveiligingsbeleid (informatiebeveiligingsplan, actieplan, richtlijnen en procedures) volgens de norm ISO 27000 - Een permanente sensibilisering van gebruikers (via interne communicatie) - Een incident- en risicobeheer - Een beveiliging van fysieke toegangspunten - Een technische/operationele bescherming, met name door: ○ anti-malware ○ webfiltering / firewalls / scannen en monitoren van het netwerk en de internetactiviteit ○ periodieke updates (beveiligingspatches) van besturings-systemen en software ○ encryptie / gegarandeerde vernietiging (van verzonden of opgeslagen vertrouwelijke gegevens) ○ authenticatie middels wachtwoord / multi-factor authenticatie ○ bescherming van e-mails en gegevens ○ Data Loss Prevention policies, classificatie en labeling ○ back-up en recovery 3 / · Wat betreft de middelen: De afgelopen jaren heeft het CIBG een budget van ongeveer € 500.000 per jaar besteed aan de aankoop en het onderhoud van IT-technologieën met betrekking tot IT-beveiliging met het oog op de versterking ervan. Dit is nog steeds het geval in 2020. De operationele teams werden in 2019 versterkt met 3 personeelsleden in de technische teams (netwerkingenieur en projectmanager). Daarnaast bestaat de cel “Information Security Management” van het CIBG uit 4 personeelsleden voor de diensten DPO-as-a-service en CSI-as-a-service voor zijn klanten en zijn eigen behoeften. In 2020 zal het CIBG blijven investeren in geschoold personeel om zijn expertise op vlak van cyberbeveiliging op peil te houden. Binnen het CIBG rapporteert de informatiebeveiligingsbeleidscel aan het Digital Transformation Office van Brussels ConnectIT. Twee mensen zijn fulltime verantwoordelijk voor het ontwikkelen en voeren van het informatiebeveiligingsbeleid. Daarnaast werden in 2019 middelen vrijgemaakt voor de uitvoering van een informatiebeveiligingsrisicoanalyse die aanleiding heeft gegeven tot een marktbevraging om de beveiliging van Office 365 op peil te brengen. Hiervoor zijn 150 mandagen voorzien. · Wat betreft de samenwerking met BPV: In 2017 werd op initiatief van het CIBG een denkoefening gestart om de gewestelijke positionering op het vlak van cybersecurity te bepalen. Vervolgens werd deze denkoefening, in 2018, op voorstel van het CIBG uitgebreid tot BPV met de oprichting van een werkgroep met als doel mogelijke actielijnen vast te leggen dewelke geleid hebben tot de publicatie van een katern "Naar een gewestelijk cyberveiligheidsplan”. Het katern stelt vier krachtlijnen voor: - Omzetting van de NIS-richtlijn en cyberveerkracht; - Ontwikkeling van industriële, technologische en menselijke resources; - Cyberveiligheidscultuur verspreiden; - Preventie van cyberincidenten en bestrijding van cybercriminaliteit. In navolging van dit katern heeft de regering BPV opgedragen de aan de regering voorgelegde voorstellen uit te voeren in samenwerking met het CIBG. Sindsdien is de bestrijding van cybercriminaliteit een prioriteit binnen BPV, dit blijkt met name uit de oprichting van het gewestelijk centrum ter bestrijding van de cybercriminaliteit. 4/ Het is van belang te verduidelijken dat de algemene verordening gegevensbescherming (GDPR) enkel veiligheidsrichtlijnen geeft, het principe van de risicoanalyse herhaalt voor de keuze van de technische en organisatorische maatregelen en geen enkele specifieke maatregel oplegt van het soort dat aangehaald wordt in de vraag. Artikel 32 van de GDPR in verband met de veiligheid van de verwerking stipuleert immers enkel dat de verantwoordelijke voor de verwerking en de onderaannemer de gepaste technische en organisatorische maatregelen moeten uitvoeren om een veiligheidsniveau te garanderen dat geschikt is voor het risico, daarbij onder meer inbegrepen, volgens de noden. De “intrusietest” is een van de vele veiligheidsmaatregelen die betrekking hebben op een van de punten van art. 32 van de verordening, maar er zijn er nog andere. In deze omstandigheden is het moeilijk voor ons om deze vraag voor het Brussels Gewest te beantwoorden. Toch moet worden opgemerkt dat, naast de wekelijkse interne kwetsbaarheidsscans, het CIBG als leverancier van digitale diensten zich ertoe verbonden heeft tweemaal per jaar een intrusietest uit te voeren. 5/ De Brusselse Regering is zich reeds een aantal jaren bewust van het feit dat de criminaliteit zich verplaatst naar alle vormen van cybercriminaliteit en van de noodzaak om een beleid voor de bestrijding ervan te ontwikkelen. In het Globaal Veiligheids- en Preventieplan (GVPP) 2017-2020 werd aandacht besteed aan het onderwerp. Een reeks maatregelen opgenomen in het GVPP bieden een antwoord op uw vraag wat betreft de informatie die verschaft wordt aan de Brusselse instellingen en gemeenten inzake cybercriminaliteit: - Er werd een gewestelijk centrum voor cyberveiligheid opgericht. Dit centrum maakt een samenwerking mogelijk tussen de diensten van de federale politie op arrondissementsniveau, de 6 politiezones, het CIBG en BPV. Dit centrum verzekert ondersteuning binnen het domein van de veiligheid, met name bij geplande evenementen of incidenten. - De oprichting van een werkgroep die samengesteld is uit leden van BPV en het CIBG. Deze werkgroep werd belast met de uitwerking van een strategisch memorandum dat de grote lijnen van het gewestelijke beleidsplan inzake cyberveiligheid bevat. - BPV en het CIBG hebben een colloquium over cyberveiligheid georganiseerd. Deskundigen op het vlak van cyberpesten, gegevensbescherming, hacking, ransomware,… hebben er hun vaststellingen en aanbevelingen kunnen meedelen aan de vertegenwoordigers van de gewestelijke en gemeentelijke besturen, alsook aan die van de geïntegreerde politie. Momenteel wordt een reeks initiatieven van het CIBG bestudeerd om de capaciteit inzake expertise, delen en reacties binnen dit domein te kunnen vergroten voor de instellingen van het Brussels Hoofdstedelijk Gewest, in het bijzonder de oprichting van een competentiepool voor IT-monitoring en cyberaanvallen. |