Logo Parlement Buxellois

Schriftelijke vraag betreffende de 25 gevaarlijkste softwaregebreken in 2022 en de impact ervan op de lokale en gewestelijke IT

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 1004)

 
Datum ontvangst: 04/07/2022 Datum publicatie: 20/09/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 19/09/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/07/2022 Ontvankelijk
 
Vraag   

Op 4 juli 2022 wil ik u vragen naar de 25 softwaregbreken die werden benadrukt door het Homeland Security Systems Engineering and Development Institute (2022 Common Weakness Enumeration Top 25). Ik zal niet ingaan op technische beschouwingen, die kunnen worden geraadpleegd op dit adres https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html, maar deze fouten zouden onder meer de overname van een systeem of de diefstal van gegevens door cybercriminelen mogelijk maken, of zelfs verhinderen dat toepassingen naar behoren functioneren.

Naar aanleiding van de bekendmaking van deze 25 softwaregebreken zou ik u de volgende vragen willen stellen in verband met lokale en gewestelijke IT:

  1. Zijn er incidenten wegens een van deze 25 softwaregebreken te melden? Zo ja, welke, hoeveel, wanneer en waar?

  2. Welke maatregelen zijn er genomen om de gewestelijke en lokale IT te beschermen tegen het gebruik van deze 25 softwaregbreken?

  3. Welke maatregelen werden genomen om het effect van de rechtzettingen op de prestaties en de veiligheid van het systeem te meten?

  4. Welke tegenmaatregelen werden genomen om de veiligheid, integriteit, vertrouwelijkheid en beschikbaarheid van gegevens te waarborgen?

  5. Welke stappen werden ondernomen om de gevaren van deze 25 softwaregebreken uit te leggen aan IT-managers, ontwikkelaars/testers van toepassingen en gebruikers?

 
 
 
Antwoord    1/
De door het CIBG ontwikkelde software wordt tijdens de ontwikkeling ervan gecontroleerd en de in deze lijst vermelde soorten fouten worden in het kader van deze controles opgespoord. Als een dergelijke fout wordt ontdekt, wordt deze gecorrigeerd voordat hij in productie wordt genomen.

Tot dusver is de door het CIBG ontwikkelde software door geen van de genoemde fouten aangetast.


2/
De interne procedure van het CIBG inzake de beveiliging van software (die ter beschikking van de gemeenten wordt gesteld) vereist dat de codes aan de hand van een lijst van zwakke punten, zoals CWE 25, voor elke nieuwe update worden gecontroleerd om na te gaan of zij niet zijn aangetast.

De gemeente kan niettemin software gebruiken die niet onder het toezicht van het CIBG staat en waarvoor zij zelf het beveiligingsniveau waarborgt.


3/
Binnen het CIBG moet elke toepassing van patches in productie voor servers een reeks validaties doorlopen. De voorgestelde patches worden namelijk eerst getest volgens de instructies van de fabrikant in twee verschillende omgevingen: een ontwikkelomgeving en een acceptatieomgeving, alvorens een productie-uitrol te plannen.

Bovendien is op de infrastructuur van het CIBG een bewakingssysteem geïnstalleerd zodat elke onregelmatigheid direct kan worden opgespoord.

Patches worden pas in productie genomen nadat al deze validaties zijn voltooid.


4/
Om het Gewestelijk Datacentrum te beveiligen en de bescherming van de gewestelijke gegevens te garanderen, heeft het CIBG talrijke technische (zoals firewalls, isolatie van de omgeving, antivirus, regelmatige back-ups, scanning van de kwetsbaarheden, enz.) en organisatorische beveiligingsmaatregelen ingevoerd. Deze maatregelen zijn momenteel toereikend en voldoen aan de eisen in het veld.


5/
Het CIBG communiceert regelmatig met zijn gebruikers en gewestelijke IT-managers en maakt hen bewust van informatiebeveiliging. De boodschap die regelmatig aan partners wordt meegedeeld is: “Houd uw systemen altijd up-to-date met de laatste beveiligingsupdates".


Bovendien moedigt het CIBG zijn ontwikkelaars aan regelmatig opleidingen over de beveiliging vanapplicaties te volgen, zodat zij de beste praktijken voor een veilige softwareontwikkeling onder de knie krijgen.