Logo Parlement Buxellois

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Nawal Ben Hamou, Staatssecretaris van het Brussels Hoofdstedelijk Gewest bevoegd voor Huisvesting en Gelijke kansen (Vragen nr 979)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 16/11/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 09/11/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/09/2022 Ontvankelijk
 
Vraag   

De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:

  • Het eerste document is bestemd voor de CISO's:

https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de RvB’s

https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf

Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen:

Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:

  1. Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's?

  2. Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback?

  3. Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?

 

 

 

 
 
Antwoord    Ik heb de eer u het volgende antwoord mee te delen:

Wat betreft de BGHM:

De twee documenten die in uw vraag worden vermeld, zijn handleidingen bedoeld om besturen te helpen die daaraan behoefte zouden hebben.

De BGHM gebruikt zelf de UTM Firewalldienst van het CIBG.

Een UTM (Unified Threat Management) Firewall vormt de eerstelijnsverdediging tegen cyberaanvallen en is dan ook de hoeksteen voor het beschermen van uw IT-systeem.


Deze all-in-one oplossing zorgt voor een betere bescherming van uw lokaal netwerk en vermindert het risico op virusbesmetting via internetgebruik. UTM Firewall biedt talloze beveiligingsfuncties:


· netwerkfirewall;
· antivirussoftware;
· antispyware;
· bescherming tegen spam;
· opsporing en voorkoming van inbraak en hacking;
· filtering van webcontent;
· voorkoming van data leakage.

De UTM Firewalldienst beschermt tot slot het lokale netwerk van de BGHM en zorgt voor een beveiligde verbinding met andere netwerken, zoals met: IRISnet voor de internettoegang; met het gewestelijke virtuele privénetwerk (VPN) om externe toegang tot het netwerk van de BGHM mogelijk te maken, en met authentieke gegevensbronnen via FIDUS.

Wat de maatregelen betreft die de raden van bestuur hebben genomen om cyberrisico’s te beperken: de BGHM heeft, zoals hierboven vermeld, infrastructuur en beschermingssystemen opgezet om zich tegen dit soort aanvallen te beschermen met behulp van de UTM Firewalldienst van het CIBG. De leden van de raad van bestuur worden hier ook op gewezen door hun beperkte toegang en het gebruik van specifieke en gepersonaliseerde accounts om toegang te krijgen tot informatie van de BGHM.

Het rapporteren van cyberrisico’s aan de raden van bestuur gebeurt tot slot wanneer deze laatsten hierover ingelicht moeten worden.

Wat betreft het Woningfonds:

De documenten die in uw vraag worden vermeld, worden niet gebruikt door het Woningfonds.


Volgende maatregelen zijn, voornamelijk in 2022, doorgevoerd (lijst is niet volledig):


1. Er werd een IT-AUDIT besteld. Na deze AUDIT heeft het Fonds zijn maatregelen voortgezet en voltooid;
2. Verscherping van de vereiste voorschriften omtrent de complexiteit van wachtwoorden;
3. Bewustmaking van de gebruikers;
4. Windows-sessies worden vaker in slaapstand gezet;
5. Invoering van de dubbele authenticatie;

6. Configuratie van de firewall verfijnd (geen toegang meer vanuit het buitenland);
7. De antivirus aanvullen met een EDR/XDR (XDR verzamelt en correleert automatisch gegevens uit meerdere beveiligingslagen: e-mail, endpoint, server, cloud workload en netwerk);


8. Strikter toegangsbeheer;
9. Regelmatiger upgrades van de besturingssystemen (Windows-, Linux-servers) doorvoeren;
10. Creatie van een aparte Wifi voor de bezoekers;
11. Implementering van een efficiënter antispamsysteem;
12. Het bestellen en uitvoeren van een INBRAAKTEST die elk jaar zal worden herhaald;
1. Test van buitenaf;
2. Interne test met behulp van een fysieke verbinding;


3. Via de Wifi (het wachtwoord kraken).


Tot slot moet u weten dat het Fonds een projectleider op het gebied van veiligheid heeft aangeworven die het advies van de audit opvolgt en alle veiligheidsgerelateerde zaken beheert. De Algemene Directie staat in voor het communiceren aan de raad van bestuur. Deze communicatie bestaat uit een samenvattend verslag van de reeds genomen acties/maatregelen. Ook in geval van een vermoedelijke aanval wordt de raad van bestuur op de hoogte gebracht.