Logo Parlement Buxellois

Schriftelijke vraag betreffende de cyberbeveiligingsdiensten voor de gewestelijke en gemeentelijke overheidsdiensten

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 598)

 
Datum ontvangst: 21/01/2021 Datum publicatie: 12/03/2021
Zittingsperiode: 19/24 Zitting: 20/21 Datum antwoord: 12/03/2021
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
08/02/2021 Ontvankelijk p.m.
 
Vraag    “Het Centrum voor Cybersecurity België (CCB) biedt een reeks diensten [Cybersecurity PEN-testen] aan op het gebied van cyberveiligheid, waarvan federale overheidsdiensten gebruik kunnen maken zonder kosten. Elk jaar wordt er geëvalueerd welke overheidsdiensten gebruik kunnen maken van deze cybersecurity pentesten. De aanvragen voor 2021 zijn reeds afgesloten.
In dat verband wens ik u de volgende vragen te stellen:
1. Wordt er, naar analogie van de CYBERSECURITY PEN-TESTEN die het CCB aanbiedt aan de federale overheidsdiensten, jaarlijks een gratis cyberveiligheidstest uitgevoerd voor de gewestelijke en gemeentelijke overheidsdiensten? Zo ja, wie voert de tests uit? Wanneer zijn de laatste tests uitgevoerd? Zijn er kwetsbaarheden aan het licht gekomen? Zo ja, zijn die problemen sindsdien opgelost?
2. Hebben overheidsdiensten waarvoor u bevoegd bent, een beroep gedaan op de expertise van het CCB om een CYBERSECURITY PEN-TEST te laten uitvoeren? Zo ja, om welke overheidsdiensten gaat het?
3. Van wanneer dateren de laatste evaluaties en audits op het gebied van IT-beveiliging in de gewestelijke en gemeentelijke overheidsdiensten? Is hun veiligheidsbeleid up-to-date?
4. Welke begrotingsmiddelen worden, tot slot, uitgetrokken voor IT-beveiliging in de gewestelijke en gemeentelijke overheidsdiensten. Volstaan die middelen in het licht van de kolossale uitdagingen in verband met de integriteit, vertrouwelijkheid en beschikbaarheid van de digitale data in onze volledig digitale samenleving?
 
 
Antwoord    1/
Voor de instellingen waarvoor het "digitaledienstverlener” (DDV) is, ziet het CIBG erop toe dat zijn netwerkinfrastructuur voldoende veerkrachtig is bij een cyberaanval.
Deze doelstelling komt tot uiting in de uitvoering van twee “Pentesten” per jaar en in een regelmatige scan van zijn externe perimeter.
De meest recente Pentest werd in december 2020 uitgevoerd voor de kritieke toepassingen van het CIBG.
Alle opgespoorde onregelmatigheden, waaronder niet-kritieke kwetsbaarheden, bij deze oefeningen worden in een intern plan voor verbetering en/of risicobeperking opgenomen.


2/
Er is geen enkele gewestelijke overheidsdienst die onder mijn bevoegdheden valt, die een beroep gedaan heeft op de dienstverlening van het CCB voor de uitvoering van een Pentest.

Het CIBG behandelt evenwel de rapporten van CERT.BE over eventuele kwetbaarheden of mogelijke dreigingen die opgespoord werden op het niveau van het Brussels Gewest.
Bovendien heeft het CIBG, binnen het kader van de NIS-richtlijn, bepaalde verplichtingen tegenover het CCB na te leven, met name de melding van incidenten. Daarenboven heeft het CIBG regelmatig contact met het CCB voor de monitoring van de cyberveiligheid.


3/
Het CIBG heeft midden 2020 een evaluatie van de maturiteit van de veerkracht van zijn cyberveiligheid uitgevoerd. De conclusies werden opgenomen in zijn programma voor de permanente verbetering van de veiligheid.

Regelmatig wordt een risicoanalyse inzake cyberveiligheid uitgevoerd om het beveiligingsprogramma van het CIBG te updaten. De volgende analyse is midden 2021 gepland.

De GOB heeft eind 2019 een cybersecurity assessment laten uitvoeren door een externe partner aan de hand van de Cyber Security Assessment Tool (CSAT) en heeft in het verlengde hiervan een actieplan opgesteld om vastgestelde kwetsbaarheden te mitigeren. De informatieveiligheidsconsulenten van de directie DTO van Brussel ConnectIT hebben de opvolging ervan gecoördineerd, samen met de interne technische teams van Brussel ConnectIT en de interne DPO van de GOB.

Gezien de verhuis naar een nieuw gebouw en de veranderingen die daarmee gepaard gaan, heeft de GOB de opzet om in 2021 een nieuwe analyse uit te voeren teneinde de prioriteiten en acties correct te blijven opvolgen.

Voor de gemeentebesturen nodig ik u uit uw vraag aan hen te stellen, aangezien ze zelf hun infrastructuur beheren, en dus ook het beleid inzake cyberveiligheid.


4/
Het CIBG behoudt ongeveer 1,8 miljoen euro voor per jaar voor IT-veiligheid.