Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht
- Indiener(s)
- Emin Özkara
- aan
- Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 1031)
Datum ontvangst: 02/09/2022 | Datum publicatie: 08/11/2022 | ||
Zittingsperiode: 19/24 | Zitting: 21/22 | Datum antwoord: 25/10/2022 |
Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
21/09/2022 | Ontvankelijk |
Vraag | De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten. Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:
https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf
https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen: Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:
|
Antwoord | De besturen Brussel Plaatselijke Besturen, Brussel Economie en Werkgelegenheid, Brussel ConnectIT en Easy Brussels maken deel uit van de Gewestelijke Overheidsdienst Brussel (GOB). Aangezien de GOB onder de bevoegdheid valt van de minister van Openbaar Ambt, de heer Gatz, nodig ik u uit om uw vraag tot hem te richten. Aangezien het Departement Dierenwelzijn voor alle aspecten van transversaal beheer integraal deel uitmaakt van Leefmilieu Brussel, is er geen specifieke informatie over dit onderwerp mee te delen. Actiris heeft geen raad van bestuur en bijgevolg heeft deze kwestie geen betrekking op de arbeidsbemiddelingsdienst. Het Centrum voor Informatica voor het Brusselse Gewest (CIBG) heeft geen raad van bestuur. Deze documenten zijn gekend door de CISO van het CIBG, maar ze worden niet gebruikt in de oorspronkelijke staat. Het zijn de internationale normen die in dit document genoemd worden, die door de CISO worden gebruikt. Dit zijn de belangrijkste veiligheidsmaatregelen die binnen het CIBG gehanteerd worden, om de impact van een cyberaanval te minimaliseren: - de medewerkers informeren; - respons- en herstelprocedures bij incidenten invoeren; - het netwerk segmenteren om de belangrijkste activa te beschermen; - de dagboeken van alle belangrijke activa verzamelen en analyseren; - de belangrijke kwetsbaarheden identificeren en tijdig patches uitvoeren; - de toegangsrechten voor de gebruikers beperken tot het strikt noodzakelijke; - overal waar nodig de multifactoriële authenticatie gebruiken; - betrouwbare, geldige en beveiligde back-ups maken; - een actuele inventaris van alle activa en hun afhankelijkheden bijhouden en - de werkplekken beveiligen. Wat de doeltreffendheid van de maatregelen betreft, gebruikt het CIBG een methode als CMMI (Capability Maturity Model Integration) om de doeltreffendheid van de getroffen veiligheidsmaatregelen te meten. Voor het CIBG brengt de CISO van het CIBG verslag uit aan de algemene directie, en de cyberrisico's waarop toezicht wordt gehouden, worden elk kwartaal herbekeken. Risicoanalyse is de methode die gebruikt wordt om de cyberrisico's binnen een bepaalde perimeter vast te stellen. Voor elk geïdentificeerd risico wordt een risico-eigenaar aangewezen. Deze laatste wordt belast met de opvolging ervan. |