Verslag vergadering Commissie voor Bestuurszaken, Binnenlands Bestuur, Inburgering en Stedenbeleid
Verslag
De heer Kennes heeft het woord.
Voorzitter, collega’s, het was misschien een beetje anekdotisch dat in de vakantie een testmail werd uitgestuurd in het licht van een goedbedoelde campagne, die nogal wat verwarring heeft veroorzaakt. Ik wil benadrukken dat het een goedbedoelde campagne was, want het is heel goed dat de Vlaamse overheid hier aandacht voor heeft. De 15.000 personeelsleden kregen een vraagje en er werd verwezen naar iets van Thalys. Het ging om een vraag om te betalen. De bijlage in de mail bevatte een waarschuwing tegen phishing, dat is niet onbelangrijk.
Thalys kreeg een massa telefonische oproepen. Het is wat anekdotisch. Doordat het komkommertijd was, werd er misschien extra veel aandacht aan besteed, maar er werd wel enig gevolg aan gegeven. Onder andere de politie werd erbij gehaald en er werden effectief ook pv’s opgemaakt. Ik wil niet te veel op dit gegeven doorgaan. Ik wil het wel als kapstok gebruiken om een aantal vragen aan de minister te stellen in verband met de veiligheid van het elektronisch verkeer van onze overheid.
De campagne was een initiatief van het Agentschap Facilitair Bedrijf, in samenwerking met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) en de Vlaamse ICT Organisatie (V-ICT-OR) en werd eind juni gelanceerd. Het doel van de campagne is om alle medewerkers van de Vlaamse overheid en van de lokale besturen bewust te maken van de risico’s en gevaren die gepaard gaan met het internet. De Vlaamse overheid heeft met het programma Vlaanderen Radicaal Digitaal uitgesproken ambities op het vlak van de digitalisering van de Vlaamse overheid. In die digitalisering vormt informatieveiligheid een belangrijke bouwsteen.
“De bewustmakingscampagne licht toe hoe derden via e-mails, links naar andere websites of het laten openen van bijlagen persoonlijke informatie ontfutselen om er nadien misbruik van te maken”, zo lichtte de minister deze campagne toe. ICT-veiligheid is in de beleidsnota van de minister terecht een belangrijk onderdeel van het uitwerken van de overkoepelde informatie en het ICT-beleid dat ze wil uitwerken.
De minister kondigde nog een tweede campagne aan in oktober, de Europese cybersecuritymaand. Die komt nu wel heel dichtbij.
Minister, heeft het agentschap cijfers over de algemene respons op de testmail, afgezien van de feiten, want daar wil ik niet al te veel over doorgaan. Ik wil gewoon graag een zicht krijgen op de positieve aspecten. Ik heb het dus niet over wat fout liep bij Thalys, maar over de positieve resultaten: wat kunnen we eruit leren?
Heeft de mail het beoogde effect bereikt, namelijk mensen bewust maken van de onveilige situatie die kan ontstaan?
Hoe evalueert u op basis daarvan of op basis van andere gegevens de campagne tot nu toe? De campagne werd gelanceerd in juni, we zijn nu eind september en in oktober is er een tweede campagne aangekondigd. We bevinden ons dus op het scharniermoment. Welke lessen worden hieruit getrokken voor de volgende campagnes in dit verband en het algemene ICT-veiligheidsbeleid van de Vlaamse overheid?
Bijkomend wil ik ook verwijzen naar Vlaanderen Radicaal Digitaal, dat ik hier voor me heb liggen. Wat is de stand van zaken van wat daarin vermeld staat, namelijk de oprichting van het agentschap Informatie Vlaanderen in de vorm van een intern verzelfstandigd agentschap (IVA) zonder rechtspersoonlijkheid, via een oprichtingsbesluit van de Vlaamse Regering, dat wordt verwacht tegen eind september 2015. U kondigde dit aan, ik had graag geweten wat de stand van zaken in dezen is. Deze vraag sluit in mijn ogen aan bij de voorgaande, maar als het volgens u toch een andere vraag is, heb ik daar ook begrip voor.
Minister Homans heeft het woord.
Voorzitter, mijnheer Kennes, het is al een tijdje geleden dat u uw vraag hebt ingediend. Ik ben blij dat u niet bent ingegaan op de vele negatieve commentaren die er toen waren.
U vroeg een aantal concrete gegevens over de responsgraad en dergelijke. Ik kan u vertellen dat de phishing-test e-mail werd verstuurd naar 15.133 personeelsleden en dat er 3118 personen de mail hebben gelezen. 341 personen hebben de mail geopend, ze hebben dus doorgeklikt. Bij dezen kan ik in de beslotenheid van deze vergadering ook melden dat meerdere mensen van mijn kabinet dat hadden gedaan, ondanks de affiches die in elke gang en in de liften hangen met de boodschap ‘Klik jezelf niet bloot’. Ook op mijn kabinet heeft er zelfs iemand naar de politie gebeld…
Het beoogde effect bepalen, is in dezen natuurlijk een beetje moeilijk. We hebben de mail onmiddellijk teruggetrokken. Het regende immers klachten, niet alleen van Thalys, ook van medewerkers die heel ongerust waren. Een echt effect van de test kunnen we u dus niet geven.
Voor alle duidelijkheid: er zijn echt wel fouten gemaakt. Het feit dat Thalys niet op de hoogte was, kan niet. Het kan zeker niet dat met een actie van de Vlaamse overheid zo’n belangrijk bedrijf, of een bedrijf tout court, niet wordt ingelicht. Dat is niet goed, maar we kunnen natuurlijk altijd leren uit onze fouten. “Elk nadeel heb zijn voordeel”, om het met de woorden van Johan Cruijff te zeggen. Ondanks alle negatieve publiciteit – ik laat in het midden of dat nu al dan niet aan de komkommertijd lag – zijn er zich nu veel meer mensen bewust van het feit dat ze op een andere manier met mails moeten omgaan. De phishing-mail is in die zin een voorbeeld.
Mijnheer Kennes, u vraagt of we lessen hebben getrokken voor de volgende campagnes en in het licht van het algemene ICT-veiligheidsbeleid. De campagne, die niet echt een groot succes was, en de testmail bewijzen wel dat wij als Vlaamse overheid absoluut kwetsbaar zijn ten gevolge van het gebrek aan bewustzijn en het gebrek aan vaardigheden om deze e-mails te herkennen en ze te negeren. Ik kan u wel zeggen dat het echt wel duidelijk was. Het e-mail adres was al fout, ik geloof dat er ‘vlaanderen.vlaanderen.be’ in stond. Het was echt wel heel duidelijk dat de moderne mens anno 2015 toch wel onvoorzichtig met mails omgaat. Phishing-mails zijn er natuurlijk niet alleen als test van de Vlaamse overheid, ze zijn er jammer genoeg ook in de realiteit en die zijn minder goed bedoeld van opzet.
Ik kan u ook wel zeggen, mijnheer Kennes, dat we bij de toekomstige oefeningen, die we zeker nog zullen houden, beter moeten nadenken over alle mogelijke manieren waarop de personeelsleden zouden kunnen reageren. Ik gaf u het voorbeeld van mensen die naar de politie belden, maar ook de 1700-lijn werd overrompeld, ook bankdirecteurs werden gebeld. Dat was echt niet oké. Ook het tijdstip om een oefening te doen, moet goed overwogen worden. Nu was het in de vakantie, dat is misschien leuk voor de media om er een komkommer van te maken, maar zo bereiken we natuurlijk geen al te groot personeelsbestand.
Ik kan u ook aankondigen dat er een nieuwe campagne komt in oktober over hoe men op een zo veilig mogelijke manier een wachtwoord kiest. Veel mensen kunnen daar volgens mij nog iets van leren. Ik denk dat veel mensen voor alles hetzelfde paswoord gebruiken – om mezelf niet bij naam te noemen.
U stelde ook een vraag over het Agentschap voor Geografische Informatie Vlaanderen (AGIV). De samenvoeging is gepland vanaf 1 januari 2016. Bij mijn weten – maar ik heb me helemaal niet voorbereid op deze vraag – zitten we nog altijd op schema en zal dit lukken. We zitten momenteel voor advies bij de Raad van State. We zitten dus perfect op schema.
De heer Kennes heeft het woord.
Voorzitter, de minister wijst er terecht op dat er ook goede lessen uit kunnen worden getrokken. Als het bewustzijn over de kwetsbaarheid groter geworden is, dan is het uiteindelijke doel bereikt. Ik begrijp dat niet alles juist gemeten kan worden. Een volgende actie over paswoorden lijkt me inderdaad heel nuttig. Het probleem is gekend, heel veel mensen nemen risico’s. Ik ben blij te vernemen dat een en ander in verband met het AGIV op schema zit.
De vraag om uitleg is afgehandeld.