Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht
- Indiener(s)
- Emin Özkara
- aan
- Elke Van den Brandt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Mobiliteit, Openbare Werken en Verkeersveiligheid (Vragen nr 1341)
Datum ontvangst: 02/09/2022 | Datum publicatie: 08/11/2022 | ||
Zittingsperiode: 19/24 | Zitting: 21/22 | Datum antwoord: 25/10/2022 |
Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
21/09/2022 | Ontvankelijk |
Vraag | De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten. Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:
https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf
https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen: Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:
|
Antwoord | Het dagelijks bestuur van het bedrijf is statutair toevertrouwd aan de Algemene Directie, die deel uitmaakt van de Raad van Bestuur. Specifiek voor beveiligingsvraagstukken heeft de Algemene Directie voor het besturen van de onderneming een afdeling CSO (Corporate Security Office) opgericht. Het CSO en de deskundigen die waken over de veiligheid van de bedrijfsinformatie zijn goed vertrouwd met de door CERT.be gepubliceerde documenten. Deze deskundigen hebben bovendien regelmatig contact met het CERT bij de uitoefening van hun functie. Als antwoord op de steeds toenemende bedreigingen en kwetsbaarheden ontwikkelde de MIVB: * een normatief kader met: - normen en referentiekaders zoals voorgesteld in de CERT-documenten om de activiteiten rond cybersecurity te begeleiden (geïnspireerd op de SO-norm 27001 en het NIST CSF Framework); - normen voor beveiligingscontrole om de cyberrisico's onder een aanvaardbaar niveau te houden (CIS-controles) en normen om de evolutie van onze beveiliging te beoordelen; - een systematische beoordeling van cyberrisico's in al haar projecten met een team van deskundigen volgens de ISO31000-richtsnoeren - inclusief risico's van derden - en de opvolging daarvan in een apart register; · een kader voor risicobewaking op het gebied van cybersecurity en voor incidentdetectie met: - een structurele cel voor het opsporen en tackelen van cybersecurity-incidenten (MITRE-standaard) en een comité dat toezicht houdt op de uitvoering van verbeteringen in de informatiebeveiliging (ISMC); - een instrument om kwetsbaarheden in het systeem te scannen; - dagelijkse scanning van haar website; - toezicht op het darknet/deepweb; - technische maatregelen, zoals de herziening van beschermingsmechanismen voor verbindingen op afstand, zoals de MFA; - regelmatige sensibiliseringscampagnes - zij organiseert onder meer een jaarlijkse cybersecurityweek in oktober - en meer gerichte campagnes in functie van de vastgestelde risico's. De MIVB plaatst deze normatieve en permanente controleactiviteiten in een toetsingskader dat zij voedt via deelname aan fora voor het uitwisselen en delen van goede praktijken met tegenhangers die deskundig zijn op dit gebied. Zo bijvoorbeeld binnen de Cybersecurity Coalition, waarvan zij een actief lid is. Aangezien de CSO-functie rechtstreeks aan de Algemene Directie rapporteert, is zij onderworpen aan maandelijkse opvolgingsvergaderingen met de Algemene Directie, op dezelfde wijze als de andere Corporate-functies. PB: 1. Wat parking.brussels betreft, doet de raad van bestuur een beroep op het Centrum voor Informatica voor het Brusselse Gewest (CIBG), dat optreedt als informatieveiligheidsadviseur (CISO) voor het Parkeeragentschap. De genoemde documenten zijn dus niet bekend bij de raad van bestuur van het agentschap, noch bij de interne IT-dienst. 2. De IT-dienst van het Parkeeragentschap heeft maatregelen genomen om over een basisafweersysteem tegen mogelijke aanvallen te beschikken. In de contracten van parking.brussels met diens leveranciers worden de leveranciers verzocht om te voorzien in een afweermechanisme en de gevolgen van een eventuele aanval te beperken. Parking.brussels beschikt over speciale virtuele particuliere netwerken (VPN's) voor bepaalde leveranciers alsook over firewalls die het aantal IP-adressen gemachtigd om verbinding te maken met een dienst beperken. Bovendien maakt het CIBG regelmatig externe back-ups voor parking.brussels op de serverlocatie. De efficiëntiemeting van die maatregelen valt ook onder de verantwoordelijkheid van het CIBG. Parking.brussels wordt geïnformeerd over mogelijke aanvallen waarbij het geviseerd zou kunnen zijn, alsook over bepaalde kritieke prestatie-indicatoren (KPI's). Aanvalspogingen krijgen dus de nodige aandacht. |