Logo Parlement Buxellois

Schriftelijke vraag betreffende de inzet van ethische hackers om de cybersecurity van de eigen diensten te kunnen verzekeren

Indiener(s)
Bianca Debaets
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 873)

 
Datum ontvangst: 07/12/2021 Datum publicatie: 14/02/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 08/02/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
20/01/2022 Ontvankelijk Uitgebreid Bureau van het Parlement
 
Vraag   

Op zondag 24 oktober laatstleden bevestigde de federale Staatssecretaris van Digitalisering bij RTL-TVi dat de Federale Regering in contact staat met ethische hackers om de cybersecurity van de eigen diensten te kunnen verzekeren. Sinds 2016 bestaat er overigens, vanuit het Centrum voor Cybersecurity België, ook reeds een standaardverklaring waarmee bedrijven toestemming kunnen geven aan ethische hackers om hun informatienetwerk te proberen infiltreren om zo mogelijke kwetsbaarheden te kunnen uitlichten.

Daarnaast verwijs ik ook graag naar het feit dat cyberveiligheid ook als gewestelijke prioriteit werd aangeduid in het nieuwe Gewestelijk Veiligheidsplan, waardoor het belang van dit thema niet onderschat mag worden.

Vandaar dat ik u graag volgende vragen stel:

  • Kan u bevestigen dat ook het CIBG en/of BPV beroep doet op dergelijke ethische hackers om de cyberveiligheid van de Brusselse (gewestelijke en/of plaatselijke) diensten na te gaan? Zo ja, kan u dit nader toelichten? Om hoeveel hackers gaat het en hoe gaan zij concreet te werk? Welke concrete acties en middelen worden hiertoe voorzien? Welke resultaten heeft dit reeds opgeleverd? Zo neen, onderzoekt de Brusselse Regering de mogelijkheid om dit soort hackers in te schakelen? Hebt u hieromtrent reeds contact opgenomen met de federale overheid om de diensten van dit soort hackers te kunnen evalueren?

  • Kan u duiden of er ook ondersteuning aangeboden wordt aan bedrijven die middels ethische hackers hun eigen cybersecurity willen testen? Zo ja, kan u nader toelichten in welke vorm deze steun aangeboden wordt? Hoeveel bedrijven hebben hier reeds gebruik van gemaakt?

 

 
 
Antwoord    1/
Het CIBG stelt zich ten taak minimaal twee keer per jaar intrusietesten uit te voeren.
Deze tests kunnen verschillende vormen aannemen, zoals:
● de pentest (penetration testing) die tot doel heeft de kwetsbaarheden van de applicatie te identificeren die kunnen worden misbruikt door een externe aanvaller die geen kennis heeft van de technologieën waarop de applicatie is gebouwd of van de omgeving eromheen;
● de ARA "Architectural Risks Assessment", die tot doel heeft potentiële fouten in de architectuur van een applicatiedienst te identificeren en de risico's van informatie-assets te bepalen die het gevolg zijn van deze fouten;
● de “code review” die tot doel heeft mogelijke bugs op te sporen, ontwerpfouten te corrigeren om de kwaliteit en veiligheid van de software te verbeteren;
● de technische veiligheidsaudit, die tot doel heeft de veiligheidsconfiguratie van de applicatie te verifiëren;
● de "Social engineering"-test, die tot doel heeft misbruik te maken van menselijke denkfouten om zijn doelen te bereiken (bijv. afpersing).

In deze context levert elke gerichte oefening een rapport op over de gebreken of kwetsbaarheden die zijn geïdentificeerd in de gedefinieerde reikwijdte van de informatiesystemen met de aanbevelingen die zijn aangepast en geprioriteerd in overeenstemming met de zakelijke context. Dit resulteert in een herstelplan om de gedetecteerde problemen op te lossen.
De "Pentest"-oefeningen worden uitgevoerd via een raamovereenkomst van het CIBG (in het kader van een resultaatgerichte opdracht) door een team van mensen met verschillende specifieke vaardigheden in "Ethical Hacking".
“Pentest”-oefeningen hebben inderdaad zonder twijfel een meerwaarde omdat ze het risico op een intrusie maar ook op een lek van persoonsgegevens verkleinen. We kunnen beschouwen dat pentesting een van de meest geschikte middelen is om ervoor te zorgen dat de normen voor de bescherming van persoonsgegevens worden nageleefd.


2/
Voor zover ik weet, biedt het Gewest op dit gebied dit soort steun niet aan bedrijven.