Logo Parlement Buxellois

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Pascal Smet, Staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Stedenbouw en Erfgoed, Europese en Internationale Betrekkingen, Buitenlandse Handel en Brandbestrijding en Dringende Medische Hulp (Vragen nr 697)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 18/10/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 13/10/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/09/2022 Ontvankelijk
 
Vraag   

De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:

  • Het eerste document is bestemd voor de CISO's:

https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de RvB’s

https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf

Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen:

Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:

  1. Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's?

  2. Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback?

  3. Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?

 

 

 
 
 
Antwoord    Wat het Commissariaat voor Europa en de Internationale Organisaties betreft:
De RvB van het CEIO heeft geen kennis van de twee bovengenoemde documenten die zijn voorgesteld door CERT.be, maar deze documenten zullen tijdens de volgende RvB van de vereniging worden verdeeld.

Voor wat betreft de maatregelen om de cyberrisico’s te verminderen, heeft het CEIO deze opdracht toevertrouwd aan het CIBG, dat gedeelde acties voert en oplossingen voorstelt, met name in het kader van cyberveiligheid en van inbreuken in de informaticasystemen. Het versterkt bovendien permanent zijn gewestelijke e-mailservice en ontwikkelt nieuwe maatregelen om de veiligheid van zijn dienst te versterken.

Het CEIO maakt zo gebruik van een groot aantal gewestelijke diensten: E-mail, Backup online, SPI, DNS, Firewall, VPN, Antivirus, LAN, WLAN, VOIP-telefonie en mobiele telefonie.
Het is van oordeel dat zijn vertrouwelijke gegevens zo optimaal beschermd worden en dat het dankzij de overkoepelende structuur zelfs bij een incident beschikbaar kan blijven.

Omdat het CEIO een vzw is met slechts 10 medewerkers, beschikt het niet over een CISO.


Wat het Brussels Agentschap voor de Ondersteuning van het Bedrijfsleven betreft:
In de uitvoering van het beveiligingsbeleid van de informaticasystemen wordt hub.brussels bijgestaan door zijn informaticadienstverlener NSI - dat de ISO/IEC 27001-norm controleert - en door een in de NICT gespecialiseerd advocatenkantoor. De IT-ploeg zal kennis nemen van de documenten van CERT.be en zal nagaan of ze andere aanbevelingen bevatten dan degene van zijn IT-partner.
Eind 2019 heeft de raad van bestuur het AVG-actieplan van het Agentschap goedgekeurd. Dat plan voorziet onder meer de uitvoering van een beleid voor de beveiliging van de informaticasystemen. Het risico op een cyberaanval werd geïntegreerd in het interne controlesysteem van het Agentschap en wordt in dat kader opgevolgd.

Het uitvoeringsproject van dat beveiligingsbeleid heeft al geleid tot de uitvoering van verschillende controleacties:
- Er gebeuren dagelijks back-ups op verschillende niveaus (intern - kopie naar een andere interne locatie en extern - 3de niveau op cloud wordt momenteel ingevoerd);
- Er gebeuren jaarlijks audits in het kader van de audit van de bedrijfsrevisor;
- Documentatie van de informaticaprocessen;
- Gebruik van een beveiligde VPN voor alle externe verbindingen;
- Maandelijkse monitoring met meldingen van alle pogingen tot inbraak in de netwerken van het agentschap;
- Realtimetoezicht van de informatica-infrastructuur;
- Invoering van versleuteling van alle computers van het agentschap;
- Invoering van dubbele authenticatie op alle gebruikersaccounts;
- Opleiding van de informaticaploeg over de technische aspecten van informaticabeveiliging;
- Bewustmaking van de medewerkers via verschillende kanalen (intranet, mailbox, enz.);
- Momenteel worden de gegevens in kaart gebracht om de conformiteit voortdurend te verbeteren.
Het beleidsproject voor de beveiliging van de informaticasystemen zou tegen 2022 moeten zijn afgerond en zal via een audit worden afgesloten. Na deze audit zal een rapport worden bezorgd aan de raad van bestuur.
De toegepaste methode is de risicoanalyse en het risicobeheer in het kader van het interne controlesysteem van het agentschap.