Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht
- Indiener(s)
- Emin Özkara
- aan
- Pascal Smet, Staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Stedenbouw en Erfgoed, Europese en Internationale Betrekkingen, Buitenlandse Handel en Brandbestrijding en Dringende Medische Hulp (Vragen nr 697)
Datum ontvangst: 02/09/2022 | Datum publicatie: 18/10/2022 | ||
Zittingsperiode: 19/24 | Zitting: 21/22 | Datum antwoord: 13/10/2022 |
Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
21/09/2022 | Ontvankelijk |
Vraag | De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten. Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:
https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf
https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen: Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:
|
Antwoord | Wat het Commissariaat voor Europa en de Internationale Organisaties betreft: De RvB van het CEIO heeft geen kennis van de twee bovengenoemde documenten die zijn voorgesteld door CERT.be, maar deze documenten zullen tijdens de volgende RvB van de vereniging worden verdeeld. Voor wat betreft de maatregelen om de cyberrisico’s te verminderen, heeft het CEIO deze opdracht toevertrouwd aan het CIBG, dat gedeelde acties voert en oplossingen voorstelt, met name in het kader van cyberveiligheid en van inbreuken in de informaticasystemen. Het versterkt bovendien permanent zijn gewestelijke e-mailservice en ontwikkelt nieuwe maatregelen om de veiligheid van zijn dienst te versterken. Het CEIO maakt zo gebruik van een groot aantal gewestelijke diensten: E-mail, Backup online, SPI, DNS, Firewall, VPN, Antivirus, LAN, WLAN, VOIP-telefonie en mobiele telefonie. Het is van oordeel dat zijn vertrouwelijke gegevens zo optimaal beschermd worden en dat het dankzij de overkoepelende structuur zelfs bij een incident beschikbaar kan blijven. Omdat het CEIO een vzw is met slechts 10 medewerkers, beschikt het niet over een CISO. Wat het Brussels Agentschap voor de Ondersteuning van het Bedrijfsleven betreft: In de uitvoering van het beveiligingsbeleid van de informaticasystemen wordt hub.brussels bijgestaan door zijn informaticadienstverlener NSI - dat de ISO/IEC 27001-norm controleert - en door een in de NICT gespecialiseerd advocatenkantoor. De IT-ploeg zal kennis nemen van de documenten van CERT.be en zal nagaan of ze andere aanbevelingen bevatten dan degene van zijn IT-partner. Eind 2019 heeft de raad van bestuur het AVG-actieplan van het Agentschap goedgekeurd. Dat plan voorziet onder meer de uitvoering van een beleid voor de beveiliging van de informaticasystemen. Het risico op een cyberaanval werd geïntegreerd in het interne controlesysteem van het Agentschap en wordt in dat kader opgevolgd. Het uitvoeringsproject van dat beveiligingsbeleid heeft al geleid tot de uitvoering van verschillende controleacties: - Er gebeuren dagelijks back-ups op verschillende niveaus (intern - kopie naar een andere interne locatie en extern - 3de niveau op cloud wordt momenteel ingevoerd); - Er gebeuren jaarlijks audits in het kader van de audit van de bedrijfsrevisor; - Documentatie van de informaticaprocessen; - Gebruik van een beveiligde VPN voor alle externe verbindingen; - Maandelijkse monitoring met meldingen van alle pogingen tot inbraak in de netwerken van het agentschap; - Realtimetoezicht van de informatica-infrastructuur; - Invoering van versleuteling van alle computers van het agentschap; - Invoering van dubbele authenticatie op alle gebruikersaccounts; - Opleiding van de informaticaploeg over de technische aspecten van informaticabeveiliging; - Bewustmaking van de medewerkers via verschillende kanalen (intranet, mailbox, enz.); - Momenteel worden de gegevens in kaart gebracht om de conformiteit voortdurend te verbeteren. Het beleidsproject voor de beveiliging van de informaticasystemen zou tegen 2022 moeten zijn afgerond en zal via een audit worden afgesloten. Na deze audit zal een rapport worden bezorgd aan de raad van bestuur. De toegepaste methode is de risicoanalyse en het risicobeheer in het kader van het interne controlesysteem van het agentschap. |