Schriftelijke vraag betreffende de 25 gevaarlijkste softwaregebreken in 2022 en de impact ervan op de lokale en gewestelijke IT
- Indiener(s)
- Emin Özkara
- aan
- Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 1004)
Datum ontvangst: 04/07/2022 | Datum publicatie: 20/09/2022 | ||
Zittingsperiode: 19/24 | Zitting: 21/22 | Datum antwoord: 19/09/2022 |
Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
13/07/2022 | Ontvankelijk |
Vraag | Op 4 juli 2022 wil ik u vragen naar de 25 softwaregbreken die werden benadrukt door het Homeland Security Systems Engineering and Development Institute (2022 Common Weakness Enumeration Top 25). Ik zal niet ingaan op technische beschouwingen, die kunnen worden geraadpleegd op dit adres https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html, maar deze fouten zouden onder meer de overname van een systeem of de diefstal van gegevens door cybercriminelen mogelijk maken, of zelfs verhinderen dat toepassingen naar behoren functioneren. Naar aanleiding van de bekendmaking van deze 25 softwaregebreken zou ik u de volgende vragen willen stellen in verband met lokale en gewestelijke IT:
|
Antwoord | 1/ De door het CIBG ontwikkelde software wordt tijdens de ontwikkeling ervan gecontroleerd en de in deze lijst vermelde soorten fouten worden in het kader van deze controles opgespoord. Als een dergelijke fout wordt ontdekt, wordt deze gecorrigeerd voordat hij in productie wordt genomen. Tot dusver is de door het CIBG ontwikkelde software door geen van de genoemde fouten aangetast. 2/ De interne procedure van het CIBG inzake de beveiliging van software (die ter beschikking van de gemeenten wordt gesteld) vereist dat de codes aan de hand van een lijst van zwakke punten, zoals CWE 25, voor elke nieuwe update worden gecontroleerd om na te gaan of zij niet zijn aangetast. De gemeente kan niettemin software gebruiken die niet onder het toezicht van het CIBG staat en waarvoor zij zelf het beveiligingsniveau waarborgt. 3/ Binnen het CIBG moet elke toepassing van patches in productie voor servers een reeks validaties doorlopen. De voorgestelde patches worden namelijk eerst getest volgens de instructies van de fabrikant in twee verschillende omgevingen: een ontwikkelomgeving en een acceptatieomgeving, alvorens een productie-uitrol te plannen. Bovendien is op de infrastructuur van het CIBG een bewakingssysteem geïnstalleerd zodat elke onregelmatigheid direct kan worden opgespoord. Patches worden pas in productie genomen nadat al deze validaties zijn voltooid. 4/ Om het Gewestelijk Datacentrum te beveiligen en de bescherming van de gewestelijke gegevens te garanderen, heeft het CIBG talrijke technische (zoals firewalls, isolatie van de omgeving, antivirus, regelmatige back-ups, scanning van de kwetsbaarheden, enz.) en organisatorische beveiligingsmaatregelen ingevoerd. Deze maatregelen zijn momenteel toereikend en voldoen aan de eisen in het veld. 5/ Het CIBG communiceert regelmatig met zijn gebruikers en gewestelijke IT-managers en maakt hen bewust van informatiebeveiliging. De boodschap die regelmatig aan partners wordt meegedeeld is: “Houd uw systemen altijd up-to-date met de laatste beveiligingsupdates". Bovendien moedigt het CIBG zijn ontwikkelaars aan regelmatig opleidingen over de beveiliging vanapplicaties te volgen, zodat zij de beste praktijken voor een veilige softwareontwikkeling onder de knie krijgen. |