Logo Parlement Buxellois

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Elke Van den Brandt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Mobiliteit, Openbare Werken en Verkeersveiligheid (Vragen nr 1341)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 08/11/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 25/10/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/09/2022 Ontvankelijk
 
Vraag   

De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:

  • Het eerste document is bestemd voor de CISO's:

https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de RvB’s

https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf

Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen:

Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:

  1. Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's?

  2. Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback?

  3. Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?

 

 

 

 
 
Antwoord    Het dagelijks bestuur van het bedrijf is statutair toevertrouwd aan de Algemene Directie, die deel uitmaakt van de Raad van Bestuur. Specifiek voor beveiligingsvraagstukken heeft de Algemene Directie voor het besturen van de onderneming een afdeling CSO (Corporate Security Office) opgericht. Het CSO en de deskundigen die waken over de veiligheid van de bedrijfsinformatie zijn goed vertrouwd met de door CERT.be gepubliceerde documenten. Deze deskundigen hebben bovendien regelmatig contact met het CERT bij de uitoefening van hun functie.

Als antwoord op de steeds toenemende bedreigingen en kwetsbaarheden ontwikkelde de MIVB:
* een normatief kader met:
- normen en referentiekaders zoals voorgesteld in de CERT-documenten om de activiteiten rond cybersecurity te begeleiden (geïnspireerd op de SO-norm 27001 en het NIST CSF Framework);
- normen voor beveiligingscontrole om de cyberrisico's onder een aanvaardbaar niveau te houden (CIS-controles) en normen om de evolutie van onze beveiliging te beoordelen;
- een systematische beoordeling van cyberrisico's in al haar projecten met een team van deskundigen volgens de ISO31000-richtsnoeren - inclusief risico's van derden - en de opvolging daarvan in een apart register;





· een kader voor risicobewaking op het gebied van cybersecurity en voor incidentdetectie met:
- een structurele cel voor het opsporen en tackelen van cybersecurity-incidenten (MITRE-standaard) en een comité dat toezicht houdt op de uitvoering van verbeteringen in de informatiebeveiliging (ISMC);
- een instrument om kwetsbaarheden in het systeem te scannen;
- dagelijkse scanning van haar website;
- toezicht op het darknet/deepweb;
- technische maatregelen, zoals de herziening van beschermingsmechanismen voor verbindingen op afstand, zoals de MFA;
- regelmatige sensibiliseringscampagnes - zij organiseert onder meer een jaarlijkse cybersecurityweek in oktober - en meer gerichte campagnes in functie van de vastgestelde risico's.






De MIVB plaatst deze normatieve en permanente controleactiviteiten in een toetsingskader dat zij voedt via deelname aan fora voor het uitwisselen en delen van goede praktijken met tegenhangers die deskundig zijn op dit gebied. Zo bijvoorbeeld binnen de Cybersecurity Coalition, waarvan zij een actief lid is.

Aangezien de CSO-functie rechtstreeks aan de Algemene Directie rapporteert, is zij onderworpen aan maandelijkse opvolgingsvergaderingen met de Algemene Directie, op dezelfde wijze als de andere Corporate-functies.

PB:
1. Wat parking.brussels betreft, doet de raad van bestuur een beroep op het Centrum voor Informatica voor het Brusselse Gewest (CIBG), dat optreedt als informatieveiligheidsadviseur (CISO) voor het Parkeeragentschap. De genoemde documenten zijn dus niet bekend bij de raad van bestuur van het agentschap, noch bij de interne IT-dienst.
2. De IT-dienst van het Parkeeragentschap heeft maatregelen genomen om over een basisafweersysteem tegen mogelijke aanvallen te beschikken. In de contracten van parking.brussels met diens leveranciers worden de leveranciers verzocht om te voorzien in een afweermechanisme en de gevolgen van een eventuele aanval te beperken. Parking.brussels beschikt over speciale virtuele particuliere netwerken (VPN's) voor bepaalde leveranciers alsook over firewalls die het aantal IP-adressen gemachtigd om verbinding te maken met een dienst beperken. Bovendien maakt het CIBG regelmatig externe back-ups voor parking.brussels op de serverlocatie. De efficiëntiemeting van die maatregelen valt ook onder de verantwoordelijkheid van het CIBG. Parking.brussels wordt geïnformeerd over mogelijke aanvallen waarbij het geviseerd zou kunnen zijn, alsook over bepaalde kritieke prestatie-indicatoren (KPI's). Aanvalspogingen krijgen dus de nodige aandacht.