Schriftelijke vraag betreffende de bescherming van de Brusselse bedrijven tegen cybercrime.
- Indiener(s)
- Bianca Debaets
- aan
- Barbara Trachte, staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Economische Transitie en Wetenschappelijk Onderzoek (Vragen nr 103)
| Datum ontvangst: 20/01/2020 | Datum publicatie: 23/04/2020 | ||
| Zittingsperiode: 19/24 | Zitting: 19/20 | Datum antwoord: 22/04/2020 | |
| Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
| 13/03/2020 | Ontvankelijk | Uitgebreid Bureau van het Parlement | ||
| 22/04/2020 | Bijlage aan het antwoord | p.m. | Bijlage |
| Vraag | Vorige week beheerste de cyberaanval op Picanol nationaal het nieuws. De 2.400 werknemers van Picanol waren een week lang werkloos door het toedoen van de hackers. Het hoeft weinig verdere uitleg dat naast de reputatieschade, de economische schade die Picanol leed groot is. Hoewel Cybercrime een federale bevoegdheid is, is er een natuurlijk ook een gewestlijke overlap. Minister Crevits kondigde in november een investering van 20 miljoen euro aan om de cyberveiligheid in Vlaamse bedrijven te verbeteren. 9 miljoen euro daarvan zal jaarlijks kunnen ingezet worden voor de ondersteuning van bedrijven. VLAIO zal gespecialiseerde dienstverleners inzake digitalisering en cybersecurity aanstellen. Deze dienstverleners zullen de opdracht krijgen om rechtstreeks bedrijven te informeren, adviseren, begeleiden en coachen. Dit voorjaar wordt er ook een website opgeleverd met tips & tricks, handleidingen, voorbeelden en filmpjes over hoe je kan omgaan met cyberveiligheid. Tot slot is er subsidie ten belope van 8 miljoen euro voor onderzoek naar en ontwikkeling van tools om cyberveiligheid te vergroten. Volgens de Eurobarometer 2017 zouden er in België destijds tussen 53 en 71 procent van de bedrijven reeds het slachtoffer geweest zijn van een vorm van cybercrime. De politie raamt de kost hiervan op 0,84 tot 1 procent van het bruto binnenlands product. Volgens het Wereld Economisch Forum zal tegen 2020 74 procent van de bedrijven getroffen worden door een vorm van cybercrime. Artikel 32 (dat gaat over de beveiliging van verwerking) van de AVG (of de Algemene Verordening Gegevensbescherming), beter bekend als de GDPR stipuleert: “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: […] b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; […] d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.” Het Brussels regeerakkoord houdt het op het volgende aangaande deze problematiek: “De Regering zal een specifiek onthaal inrichten voor slachtoffers van een cyberaanval, pesten of discriminatie op sociale media en zal de inspanningen op het vlak van cyberveiligheid ondersteunen.” Vandaar dat ik u graag volgende vragen stel: - Heeft u accurate en actuele cijfers over de impact die cybercrime heeft op de Brusselse economie? Hebt u weet van aanvallen met gelijkaardige impact in Brussel? - Is er overleg met het centrum voor Cybersecurity België over cybercrime? Hoeveel aanvallen op de bedrijven en instellingen worden er binnen Brussel genoteerd? - Werkt de Brusselse Regering aan concrete maatregelen naar analogie met de maatregelen die de Vlaamse minister Crevits presenteerde? Welk tijdspad en welke middelen wordt in deze strijd vooropgesteld? - Gezien de impact die cybercrime kan hebben op bedrijven: op welke manier helpt de Brusselse Regering Brusselse bedrijven aanvallen te kunnen vermijden of afslaan? Welke concrete steun levert de Brusselse Regering vandaag en staan er nieuwe maatregelen in de toekomst gepland? - De GDPR stipuleert dat er op gezette tijdsstippen zogeheten ‘penetration tests’ of ‘pentests’ moeten gebeuren. Is deze verplichting afdoende bekend bij de Brusselse bedrijven en overheden die aan deze verplichting moeten voldoen? Welke maatregelen voorziet de Brusselse Regering om ervoor te zorgen dat iedereen op de hoogte is van de gevaren en de verplichtingen inzake cybercrime? - Wat doen de Brusselse administraties en lokale besturen om aanvallen af te slaan? Staat hierover overleg met de bevoegde minister gepland? Hoeveel middelen worden hiervoor uitgetrokken ieder jaar? Welke maatregelen ontwikkelen het CIBG en het BPV teneinde de administraties zou goed mogelijk te beschermen? |
| Antwoord | Cybercriminaliteit is inderdaad de nieuwe vorm van criminaliteit die onze ondernemingen kan treffen. Cijfers over de gevolgen van cybercriminaliteit voor de economie zijn echter niet beschikbaar op gewestelijk niveau. Dit zijn inderdaad zaken die het doelwit zijn van de Federal Computer Crime Unit van de federale politie. Het zou dan ook nuttig zijn om deze vraag aan de Kamer van Volksvertegenwoordigers voor te leggen om op dat niveau over meer volledige informatie te beschikken. Bovendien vallen aangelegenheden met betrekking tot cybercriminaliteit in de eerste plaats onder de bevoegdheid van het agentschap voor veiligheid en preventie, dat onder toezicht staat van de minister-president. Hieronder vindt u dan ook de informatie die mij door hem werd overgemaakt. Het CIBG en BPV hebben in 2018 samengewerkt om een Cybersecurity-Handboek op te stellen. Een van de onderdelen ervan richt zich op de bestrijding van cybercriminaliteit. Dit onderdeel werd geconcretiseerd door de oprichting van het Gewestelijk Cybercentrum binnen BPV. Het CIBG heeft regelmatig contact met het Centrum voor Cyberveiligheid België (CCB). De twee instellingen analyseren gezamenlijk de mogelijke manieren van samenwerking op het gebied van cyberveiligheid en ook in het kader van de omzetting van de Europese richtlijn inzake Network and Information System Security (NIS). In haar Globaal Preventie- en Veiligheidsplan 2016-2019 heeft de Brusselse regering een van haar thema's gewijd aan cybercriminaliteit. Er zijn verschillende maatregelen vastgesteld om verschillende vormen van cybercriminaliteit doeltreffender te bestrijden. Deze maatregelen omvatten de versterking van de gewestelijke IT-apparatuur en de aanwijzing van een contactpunt in elk gewestelijk en plaatselijk bestuur om de coördinatie met het CBB te verbeteren. Bovendien heeft de Brusselse regering in juli 2018 een gewestelijk cybersecurity-centrum opgericht ten behoeve van de Federale Gerechtelijke Politie van Brussel en de 6 politiezones. Het doel is om met nieuwe onderzoekstechnieken te kunnen inspelen op een nieuwe vorm van criminaliteit die zich ontwikkelt op sociale netwerken en op het darknet. In september 2018 werd ook een symposium over dit onderwerp georganiseerd door Brussel Preventie en Veiligheid om de overheden (gemeentelijke en gewestelijke administraties en politiezones) bewust te maken van cybersecurity. Ook aan het opleidingsonderdeel over dit onderwerp is veel aandacht besteed. Er worden nieuwe opleidingen georganiseerd voor leden van politiediensten, gemeentelijke of gewestelijke besturen, vanuit de nieuwe gewestelijke school voor preventie- en veiligheidsberoepen "Brusafe" of de GIP (gewestelijke en intercommunale politieschool). Op gewestelijk niveau, heeft het CIBG de opdracht te zorgen voor de cybersecurity van de infrastructuren waarvoor het verantwoordelijk is, namelijk deze binnen het Gewestelijk Datacenter (GDC), en de toepassingen/platforms die zij hosten. Het CIRB helpt ook gewestelijke, lokale en gemeenschapsinstellingen bij de analyse en bescherming van tegen de risico's van cyberdreigingen. Wat de ingezette middelen betreft, wordt door het CIBG een jaarlijks budget van ongeveer 500.000 euro besteed aan de aanschaf en het onderhoud van IT-technologieën die verband houden met IT-beveiliging. De operationele teams werden in 2019 ook versterkt met 3 personen voor de technische teams (netwerkingenieur en projectmanager). In 2020 zal het CIBG blijven investeren in gekwalificeerd personeel om zijn deskundigheid op het gebied van cybersecurity op peil te houden. Naast de hierboven genoemde elementen wordt de gewestelijke steun gekenmerkt door preventie via het beleid ter ondersteuning van OOI. Dit heeft geresulteerd in de lancering van een projectoproep vanaf 2014 in het kader van het Research Platforms-programma van Innoviris. Het thema was gericht op IT-beveiliging volgens verschillende krachtlijnen: - nieuwe authenticatiemechanismen voor informatiesystemen; - datamining voor de bewaking van beveiligingsprocessen; - beveiliging door ontwerp voor mobiele en cloud/SaaS-applicaties. Deze oproep heeft geleid tot de selectie van vijf projecten voor een totaalbedrag van 7,5 miljoen euro (zie bijlage). In het kader van deze oproep werd in 2015 een gezamenlijk onderzoeksplatform 'Securi'IT' opgericht. Het bracht 15 onderzoeksgroepen samen, drie universiteiten (UCL, ULB, VUB), een hogeschool (EhB) en het collectieve onderzoekscentrum SIRRIS. Het Brussels Initiative on Cybersecurity (BICI) is in 2018 op initiatief van SIRRIS opgezet met twee doelstellingen: - de instandhouding van de collectieve innovatiedynamiek; - het aanmoedigen van de kennisoverdracht tussen de industrie en de academische wereld op het gebied van cybersecurity. Het initiatief heeft tot doel Brussel te laten uitgroeien tot de hoofdstad van de innovatie op het vlak van de cybersecurity. Het komt voort uit de deelname van SIRRIS, via het SeCloud-project, aan voornoemd Research Platform-programma. Het BICI-initiatief is vandaag geïntegreerd in de technologische hub icity.brussels. Icity.brussels is een project dat wordt ondersteund door EFRO-fondsen. Het Gewest heeft 13 miljoen euro geïnvesteerd om de OOI en de valorisatie op het gebied van ICT te versterken. Momenteel biedt icity.brussels met SIRRIS onder andere cybersecurity-advies aan ondernemingen. Andere gewestelijke instrumenten stellen ondernemingen in staat om gebruik te maken van de gewestelijke cybersecurity-expertise: - Innovatiecheques (“innovation vouchers”) maken het mogelijk om onderzoeksopdrachten op korte termijn uit te besteden aan onderzoekslaboratoria. - Het thematische programma Joint R&D (voorheen Team-up) en het programma ter ondersteuning van O&O-projecten in ondernemingen, hebben het mogelijk gemaakt verschillende innovatieve projecten op het gebied van cybersecurity te financieren (waarvan vele worden uitgevoerd in een doeltreffende samenwerking tussen onderzoeksorganisaties en ondernemingen, waarvan de meest emblematische in bijlage zijn opgenomen). Wat de sensibilisering betreft, verschillen de op gewestelijk niveau genomen maatregelen inzake gegevensbescherming van organisatie tot organisatie. Sommige hebben een interne DPO (data protection officer) en anderen hebben de mogelijkheid om een DPO te mobiliseren die aan de GOB is verbonden. In dit geval wordt binnen de organisatie een Data Steward aangewezen als het bevoorrechte aanspreekpunt van de DPO voor alle gegevensbeschermingskwesties en het beheer van mogelijke gegevensinbreuken. Elke organisatie moet waarborgen dat haar werking in overeenstemming is met de AVG, in functie van de aard van haar activiteiten en de meer of minder gevoelige aard van de gegevens die zij verzamelt en verwerkt. Wat betreft de steun die aan de Brusselse ondernemingen op dit gebied wordt verleend, kunnen verschillende aandachtspunten worden belicht: - de begeleiders van het 1819-netwerk hebben in maart 2018 een opleiding over de AVG gekregen in het kader van de Brussels Coach Academy; - de 1819-website heeft een specifieke pagina over de bescherming van de privacy en artikels over cybercriminaliteit die in de 1819-nieuwsbrief werden gepubliceerd (27.000 abonnees). Het betreft dus een tweeledige aanpak die, enerzijds, gericht is op het beschikken over de nodige kennis om ondernemingen in de beginfase te ondersteunen, en, anderzijds, op de capaciteit om informatie en begeleiding te bieden aan actoren met geavanceerde kennis op dit gebied die in Brussel aanwezig zijn. |