Fiche van een vraag of interpellatie

Vacatures Contact

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s): Emin Özkara
aan: Alain Maron, Minister van de Brusselse Hoofdstedelijke Regering, belast met Klimaattransitie, Leefmilieu, Energie en Participatieve Democratie (Vragen nr 1201)

Datum ontvangst: 02/09/2022		Datum publicatie: 08/11/2022
Zittingsperiode: 19/24	Zitting: 21/22	Datum antwoord: 25/10/2022

Datum	behandeling van het stuk	Indiener(s)	Referentie	Blz.
21/09/2022	Ontvankelijk

Vraag	De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten. Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen: Het eerste document is bestemd voor de CISO's: https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf Het tweede document is bestemd voor de RvB’s https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen: Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan: Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's? Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback? Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?


Antwoord	1) Haven van Brussel Die twee documenten zijn niet gekend bij de rvb en de CISO. De Haven heeft een overheidsopdracht uitgeschreven voor analyse- en adviesdiensten voor het beheer van risico's en verzekeringen die door de Haven van Brussel werden afgesloten. Die overheidsopdracht zal binnenkort worden gegund. Een van de daarin opgenomen opdrachten is dat de dienstverlener kennis neemt van het ontwerp van het bijzonder bestek voor verzekeringsmakelaardij voor cyberrisico's, dat momenteel wordt opgesteld, en een reeks aanbevelingen doet voor de opstelling van dat bestek. BRUGEL Bij BRUGEL is de Chief Information Security Officer perfect op de hoogte van zijn rol en zijn verantwoordelijkheden met betrekking tot de dreigingen van een cyberaanval, met name: • de bewustmaking van gebruikers over veiligheidsproblemen; • de veiligheid van netwerken; • de veiligheid van systemen; • de veiligheid van telecommunicatie; • de veiligheid van applicaties; • de strategie voor het bewaren van gegevens; • de invoering van een bedrijfscontinuïteitsplan; • … Hij krijgt steun van het Centrum voor Informatica voor het Brusselse Gewest en van zijn software-integratoren om die rol te vervullen op basis van een globale veiligheidsstrategie (Virtual Data Center, Firewall, VPN, Antivirus, back-ups ...). 2) Haven van Brussel De rvb neemt geen maatregelen, maar de Haven van Brussel gebruikt de veiligheidsdiensten van het Centrum voor Informatica voor het Brusselse Gewest. BRUGEL BRUGEL beschikt over een charter in verband met de veiligheid en bescherming van informatiesystemen, dat werd opgesteld in samenspraak met het CIBG (Centrum voor Informatica voor het Brusselse Gewest), en dat tot doel heeft een adequate cyberveiligheid in te voeren en de risico's op een cyberaanval zoveel mogelijk te beperken. Het veiligheidsbeleid van BRUGEL is van toepassing op de interne en externe medewerkers van BRUGEL (werknemers, zelfstandige contractanten, vrijwilligers, stagiairs, enz.) en ook op de leden van de raad van bestuur. Dat veiligheidsbeleid omvat een reeks aandachtspunten, waaronder het engagement en de bewustmaking van de raad van bestuur in verband met de veiligheid van de informatie. 3) Haven van Brussel De CISO brengt geen verslag uit en rapporteert niet aan de raad van bestuur over de cyberrisico's die nagegaan moeten worden. Methodologie: ISO/IEC 27001 BRUGEL De risico's die een negatieve impact kunnen hebben op de activiteiten van BRUGEL (d.w.z. een impact op de beschikbaarheid/integriteit van de operationele systemen of op de vertrouwelijkheid van de informatie) worden regelmatig in kaart gebracht. De gegevensbanken en applicaties worden proactief gemonitord om eventuele frauduleuze verbindingspogingen op te sporen. Tegelijkertijd wordt de doeltreffendheid van de veiligheidsmaatregelen nagegaan door middel van regelmatige veiligheidsaudits. De laatste audit vond plaats in maart 2020. Die bracht geen kritieke of grote beveiligingslekken aan het licht in de gebruikte oplossing voor documentbeheer (Alfresco). Slechts drie kleine aandachtspunten werden naar voren gebracht en gecorrigeerd.