Logo Parlement Buxellois

Schriftelijke vraag betreffende de bewaking van de cyberrisico's door de raden van bestuur onder uw ministeriële bevoegdheid of toezicht

Indiener(s)
Emin Özkara
aan
Barbara Trachte, staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Economische Transitie en Wetenschappelijk Onderzoek (Vragen nr 608)

 
Datum ontvangst: 02/09/2022 Datum publicatie: 08/11/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 03/11/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/09/2022 Ontvankelijk
 
Vraag   

De raden van bestuur (RvB's) zijn bij wet verplicht om de risico's correct te bewaken. De cyberrisico's (bedreigingen, kwetsbaarheden en gevolgen) behoren daartoe! Volgens het federale Cyber Emergency Response Team (CERT.be) zijn de meeste raden van bestuur slecht toegerust om de cyberrisico's aan te pakken en hebben de verantwoordelijken voor de gegevensbeveiliging (CISO's) problemen om de doeltreffendheid van hun cyberbeveiligingsprogramma te meten.

Het CERT.be stelt twee documenten ter beschikking om de RvB’s en de CISO's te helpen:

  • Het eerste document is bestemd voor de CISO's:

https://cert.be/sites/default/files/rapporteren_rvb_ciso.pdf

  • Het tweede document is bestemd voor de RvB’s

https://cert.be/sites/default/files/cyberrisicos_rapporteren_aan_raden_van_bestuur_be.pdf

Om mijn informatie aan te vullen, wens ik u de volgende vragen te stellen:

Wat betreft de raden van bestuur die onder uw ministeriële bevoegdheid vallen of onder uw toezicht staan:

  1. Zijn de twee voornoemde en door het CERT.be ter beschikking gestelde documenten bekend bij de RvB’s en de CISO's? Worden ze gebruikt door de RvB’s en de CISO's?

  2. Gelet op de vele dreigingen en kwetsbaarheden (https://threatmap.checkpoint.com/), welke maatregelen hebben de RvB’s getroffen tegen de cyberrisico's? Wat is de doeltreffendheid van die maatregelen en de bijbehorende feedback?

  3. Met welke frequentie rapporteren de CISO's over de te bewaken cyberrisico's aan de RvB’s? Welke methodes worden bij voorkeur gevolgd om de cyberrisico’s te bewaken en de verantwoordelijkheden te bepalen?

 

 

 
 
 
Antwoord    Wat citydev.brussels betreft:

De CISO van citydev.brussels is vertrouwd met de CERT.be-documenten.

De IT-structuur van citydev.brussels is zo ontworpen dat de veiligheid zo goed mogelijk wordt gewaarborgd. In de wetenschap dat een nulrisico niet bestaat en dat het niveau van cyberdreiging de afgelopen jaren aanzienlijk is toegenomen, worden constante back-ups van alle gegevens gemaakt en geïsoleerd van de rest van het netwerk om een besmettingsketen te voorkomen, zoals we hebben kunnen waarnemen bij sommige aanvallen die instellingen in de hele Europese Unie hebben getroffen. Op die manier kunnen gegevens in het geval van een probleem met gegevensvernietiging snel worden hersteld en zullen er minder gegevens verloren gegaan zijn (namelijk de gegevens die tussen twee back-ups zijn aangemaakt). Dat is uiteraard een constant en evolutief werk. Citydev.brussels zal niet nalaten de aanbevelingen van CERT.be zo snel mogelijk te integreren.

Zodra een grote aanval wordt ontdekt, wordt de algemeen beheerder op de hoogte gebracht en wordt een gedetailleerd verslag opgesteld. Indien relevant, wordt ook de raad van bestuur ingelicht.

Wat hub.brussels betreft:

Eind 2019 heeft de raad van bestuur van hub.brussels het AVG-actieplan van het agentschap goedgekeurd. Dat plan voorziet onder meer in de uitvoering van een beveiligingsbeleid voor informatiesystemen. Het risico op een cyberaanval is geïntegreerd in het interne controlesysteem van het agentschap en wordt in dat kader opgevolgd.

Voor de uitvoering van dat beveiligingsbeleid voor informatiesystemen wordt hub.brussels bijgestaan door de informaticadienstverlener NSI, die de ISO/IEC 27001-norm heeft behaald, en door een in de NICT gespecialiseerd advocatenkantoor. Het IT-team zal kennis nemen van de CERT.be-documenten en zal nagaan of ze andere aanbevelingen bevatten dan die van de IT-partner.

Het project voor de implementatie van het beveiligingsbeleid heeft al geleid tot verschillende beheersacties:
- Dagelijkse back-ups op verschillende niveaus (intern - kopie naar een andere interne locatie en extern - derde niveau in de cloud wordt momenteel ingevoerd)
- Jaarlijkse audits in het kader van de audit van de bedrijfsrevisor
- Documentatie van de informaticaprocessen
- Gebruik van een beveiligde VPN voor alle externe verbindingen
- Wekelijkse monitoring met meldingen van alle pogingen tot inbraak in de netwerken van het agentschap
- Realtimetoezicht op de informatica-infrastructuur
- Invoering van versleuteling van alle computers van het agentschap
- Invoering van dubbele authenticatie op alle gebruikersaccounts
- Opleiding van het informaticateam over de technische aspecten van informaticabeveiliging
- Bewustmaking van de medewerkers via verschillende kanalen (intranet, mailbox, enz.)
- Momenteel worden de gegevens in kaart gebracht om de conformiteit voortdurend te kunnen verbeteren.

Het project rond het beveiligingsbeleid voor informatiesystemen zou tegen 2022 moeten zijn afgerond en zal met een audit worden afgesloten. Na die audit zal een verslag worden bezorgd aan de raad van bestuur. Als methode wordt risicoanalyse en -beheer toegepast in het kader van het interne controlesysteem van het agentschap.