Fiche van een vraag of interpellatie

Vacatures Contact

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s): Emin Özkara
aan: Sven Gatz, Minister van de Brusselse Hoofdstedelijke Regering, belast met Financiën, Begroting, Openbaar Ambt, de Promotie van Meertaligheid en van het Imago van Brussel (Vragen nr 500)

Datum ontvangst: 02/09/2022		Datum publicatie: 10/10/2022
Zittingsperiode: 19/24	Zitting: 21/22	Datum antwoord: 07/10/2022

Datum	behandeling van het stuk	Indiener(s)	Referentie	Blz.
21/09/2022	Ontvankelijk

Vraag	De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten. Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen: Het eerste document is bestemd voor de CISO's: https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf Het tweede document is bestemd voor de RvB’s https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen: Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan: Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's? Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback? Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?


Antwoord	Ik heb de eer u het volgende antwoord mee te delen: Antwoord op vraag 1: De GOB beschikt, binnen Brussel ConnectIT, over een cel Informatieveiligheidsbeheer. De consulenten die er werken, houden in de mate van het mogelijke rekening met de aanbevelingen van het CERT (CCB). Ze zullen bovendien nauw samenwerken met de DPO van de GOB voor de persoonsgegevens. Antwoord op vraag 2: Op verschillende niveaus worden er maatregelen uitgevoerd om cyberrisico's te beperken. Wat betreft de directieraad (DR) van de GOB waarin de directeurs-generaal van de verschillende besturen zetelen: - De cel Informatieveiligheidsbeheer stelt een meerjarenplan op met maatregelen die moeten worden uitgevoerd. De DR nam dit plan aan. - De cel Informatieveiligheidsbeheer volgt dit meerjarenplan op in een jaarverslag. Het jaarverslag bevat ook statistieken en een categorisering in de vorm van een samenvatting van de incidenten die zich tijdens het jaar hebben voorgedaan, de indijkende maatregelen alsook de maatregelen die de DR en de IT-verantwoordelijke op structurele wijze moeten nemen om te voorkomen dat dergelijke risico's nog eens plaatsvinden. - Wanneer er nieuwe maatregelen moeten worden genomen die nog niet eerder door DR zijn goedgekeurd, en wanneer deze maatregelen gevolgen hebben voor alle personeelsleden, worden de maatregelen op de agenda van de DR geplaatst. De details van de technische maatregelen die genomen zijn om de veiligheid van de door de GOB bewaarde gegevens te waarborgen, moeten vertrouwelijk blijven. - De DR heeft een nieuw arbeidsreglement aangenomen, met een specifieke bijlage over ICT, dat de regels vastlegt die de personeelsleden en ieder persoon met toegang tot materiaal van de GOB moeten naleven. Naast de door de DR aangenomen maatregelen hangt informatieveiligheid in de eerste plaats ook af van de verantwoordelijkheid van ieder individu. Daarom: 1. Organiseert de cel Informatieveiligheidsbeheer regelmatig bewustmakingscampagnes voor de personeelsleden via verschillende kanalen, zoals het intranet, de Digital Signage en het personeelsmagazine van de GOB. 2. Voorziet de GOB in opleidingen die toegankelijk zijn voor alle personeelsleden via het platform SPRB-GOB-Academy. Antwoord op vraag 3: De cel meldt dit jaarlijks aan de DR in haar jaarverslag, maar brengt dit ook occasioneel ter sprake afhankelijk van de problemen die zich voordoen en de impact van de oplossing. De GOB maakt, zoals de ISO 27001-normen voorstellen, onderscheid tussen de IT-verantwoordelijke die voor de IT beslissingen neemt (de titel CISO wordt niet gebruikt) en de informatieveiligheidsadviseurs. Dat biedt de adviseurs onafhankelijkheid bij het analyseren en het adviseren van de GOB over informatiebeveiliging. Er zijn tot slot overeenkomsten met leveranciers, ook voor informatiebeveiligingsaspecten.