Verslag vergadering Commissie voor Buitenlands Beleid, Europese Aangelegenheden, Internationale Samenwerking en Toerisme
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
Mevrouw Talpe heeft het woord.
China gaat hier de laatste tijd vaak over de tong, ook in mijn vraag. Op maandag 22 juni 2020 hielden China en de Europese Unie een uitgebreid overleg. De onderlinge relaties staan om meerdere redenen onder druk. Er is het uitblijven van een investeringsakkoord, er is het klimaatbeleid in China, maar zeker ook de situatie in Hongkong en de veiligheidswet waarmee Peking de Hongkongse autonomie inperkt. Dit kwam al aan bod in de commissie van 9 juni 2020, en ook u uitte toen uw bezorgdheid over de gang van zaken.
Een kwestie die de commissievoorzitter aan bod bracht tijdens de conferentie is de vaststelling dat er cyberaanvallen zijn uitgevoerd op Europese ziekenhuizen en bedrijven binnen de gezondheidszorg. De Europese Commissie had al in april gemeld dat er sprake was van dergelijke aanvallen, en ook de FBI stelde al vast dat er hackers aan het werk waren geweest bij Amerikaanse instellingen. Begin juni waarschuwde de Nederlandse inlichtingendienst voor pogingen van China tot bedrijfsspionage. Doelwit van de aanvallen is informatie over de ontwikkeling van het coronavaccin te verzamelen. Op dit moment werken tal van onderzoekers wereldwijd aan een vaccin. Volgens experts zou het land dat als eerste een vaccin kan ontdekken en daarmee dus het virus kan verslaan, zich binnen de wereldorde sterk kunnen profileren. Net om die reden zou China informatie uit andere landen proberen te verzamelen om zelf sneller tot een vaccin te kunnen komen. In Nederland zijn de verschillende laboratoria en ziekenhuizen nu extra alert en werken ze samen met het nationale Computer Emergency Response Team om zich hier beter tegen te wapenen.
Bent u op de hoogte van dergelijke aanvallen op de veiligheidssystemen van Vlaamse instellingen die werken aan het coronavaccin?
Hoe kwetsbaar zijn onze gezondheidszorginstanties voor degelijke aanvallen?
Werden er sinds de eerste melding in de Europese Commissie van dergelijke aanvallen al maatregelen genomen om de informatiesystemen van onze instellingen beter te beschermen? Gebeurde hierover communicatie naar bedrijven en ziekenhuizen?
Het is niet de eerste keer dat er berichten komen over cyberaanvallen vanuit China. In november vorig jaar werd een Belgische handelsmissie in China nog massaal aangevallen door hackers, die probeerden in te breken in computers en smartphones. Hoe schat u die acties vanuit China in? Zet dit de relaties met het land verder onder druk?
Minister-president Jambon heeft het woord.
De federale overheid heeft ons niet of nog niet geïnformeerd of op de hoogte gebracht van dergelijke aanvallen op de veiligheidssystemen van deze instellingen.
Ik onderstreep graag dat het veiligheidsbeleid in ons land een federale bevoegdheid is. Cyberveiligheid, waar uw vraag over handelt, is bijgevolg een opdracht van de federale overheid, meer bepaald het Centrum voor Cybersecurity België (CCB) en dat valt onder de verantwoordelijkheid van de eerste minister.
Dat is eveneens het geval voor het toezicht op de uitvoering van het informatieveiligheidsbeleid.
De Vlaamse overheid is niet bevoegd voor de informatieveiligheid en cyberbeveiliging van zorginstellingen, ziekenhuizen en aanverwante organisaties.
Wat uw vraag betreft of er al dergelijke aanvallen werden uitgevoerd, kan ik u bevestigen dat in 2019 in de werkgroep informatieveiligheid van de federale overheid afspraken zijn gemaakt, met als doel de veiligheid op een hoger niveau te tillen. Daarbij gebruikt men net als de Vlaamse overheid de ISO27001 als referentiekader.
Er worden op systematische basis ethische hackers ingeschakeld op initiatief van de federale overheid. Er zijn ook instellingen die dat zelf organiseren, zoals het Universitair Ziekenhuis Leuven. Deze maatregelen worden vrij systematisch toegepast.
De Vlaamse Regering van haar kant neemt ook zelf generieke initiatieven om de lokale besturen en bedrijven actief te ondersteunen in het verbeteren van hun veiligheidsbeleid, maar het perspectief hier is innovatie en dus niet een reactie op een specifieke dreiging. De focus ligt daarbij op cybersecurity-evaluaties en een bijhorend beleid gericht op bewustmaking, opleiding en een noodzakelijke ethische omkadering.
Strenge beleidsvoering is geen garantie voor immuniteit voor cyberaanvallen: het is een kunst om op basis van de beschikbare middelen een efficiënt evenwicht te vinden tussen beveiliging en financiële middelen.
De toegepaste techniek is universeel en niet uniek verbonden aan China. Heel wat andere en ook ‘bevriende’ naties bezondigen zich aan elektronische oorlogsvoering om hun belangen te verdedigen en ons economisch of politiek onder druk te zetten. Het is aan de Vlaamse overheid, in samenspraak met de federale en Europese overheden, om hier diplomatisch een antwoord op te formuleren.
Het is belangrijk voor de Vlaamse overheid om de cyberveiligheid van de eigen diensten en van de instellingen onder haar bevoegdheid te garanderen door een correct en generiek antwoord te bieden via een eigen breed gedragen veiligheidsbeleid.
De Vlaamse administratie werkt aan een continu verbetertraject en een algemeen ICT-veiligheidsbeleid via het Stuurorgaan Vlaams Informatie- en ICT-beleid. Ze wordt daarbij ondersteund door de werkgroep informatieveiligheid van de Vlaamse overheid, en de actieve inzet van inhoudelijke expertise en financiële middelen van Het Facilitair Bedrijf.
Mevrouw Talpe heeft het woord.
Minister-president, ik dank u voor uw antwoord. U zegt dat een groot deel onder de federale bevoegdheid valt en dat u van die kant geen enkele indicatie hebt gekregen dat er sprake zou zijn van aanvallen op onze zorginstellingen. Ik hoop dat dat goed nieuws is en dat er dan ook geen zijn, maar het kan misschien waardevol zijn om proactief, gericht zelf die vraag te stellen. Het lijkt me ook voor ons eigen beleid belangrijk om te weten wat er op ons afkomt. Zelfs al gaat het over federale bevoegdheid, het zijn nog altijd Vlaamse bedrijven die kunnen worden geraakt door deze aanvallen.
Ethische hackers zijn inderdaad heel belangrijk, dat is ook al vaker aan bod gekomen, onder meer in de plenaire vergadering. We moeten daar maximaal op inzetten, zeker ook voor de eigen instellingen en administratie.
U hebt ook gelijk dat innovatie een heel belangrijke rol speelt voor het algemeen veiligheidsbeleid. Wat die bewustmaking en opleiding betreft, hebt u absoluut onze steun. Het zal uiteraard nooit 100 procent sluitend kunnen worden, daar moeten we eerlijk in zijn.
Ik heb nog een bijkomende vraag in verband met de Chinees-Europese top die normaal in september in Leipzig zou plaatsvinden. Is er al een nieuwe datum in het vooruitzicht gesteld? Zult u daar vanuit Vlaanderen vragen hoe men ook op een hoger niveau, op Europees niveau, omgaat met dergelijke cyberaanvallen? Het lijkt me belangrijk dat de Europese Unie zich daarover buigt.
De heer Deckmyn heeft het woord.
We hebben dit thema al meermaals besproken in deze commissie en tijdens de plenaire vergadering, onder meer naar aanleiding van het bezoek van oud-collega Decaluwé aan China.
Daar kom ik nu toe want in de vierde vraag van mevrouw Talpe wil ik toch een en ander relativeren. Er zijn uiteraard cyberaanvallen op diverse systemen, maar berichten over massale cyberaanvallen tijdens de Belgische handelsmissie kunnen enigszins gerelativeerd worden. Het thema interesseert mij omdat ik altijd in de informatica heb gezeten. Na de handelsmissie heb ik een persmededeling gelezen van een Mechels ICT-veiligheidsbedrijf dat daar de nodige kanttekeningen bij plaatste. Wie met een missie naar bijvoorbeeld China gaat, wordt de facto al getoetst door diverse systemen. Dat gebeurt hier trouwens ook. Terwijl we hier mee bezig zijn, zullen er ook heel veel van onze apparaten getoetst worden door systemen in onze omgeving. Dat is niet noodzakelijk altijd een cyberaanval, maar een vorm van communicatie.
Wil ik daarmee zeggen dat er geen cyberaanvallen zijn? Helemaal niet. Uiteraard niet. Vele van die zogenaamde aanvallen zijn echter eerder automatismen, toetsgedrag van het ene systeem ten opzichte van het andere. Ik wil er ook aan toevoegen dat een echte, geslaagde cyberaanval meestal niet wordt gedetecteerd.
De vraag is zeer terecht en ik wil ze zeker niet kapot relativeren, maar ik wil dit toch aangeven omdat men de zaak soms overdrijft. Sowieso moeten we beducht zijn voor aanvallen. Ik wil me dan zeker ook aansluiten bij de vraag van mevrouw Talpe.
De heer Vanlouwe heeft het woord.
Minister-president, in uw vroegere hoedanigheid als minister van Binnenlandse Zaken hebt u heel wat initiatieven genomen. Ik herinner me nog het nationaal noodplan inzake cybersecurity, meldingen via CERT.be en voordien was er ook al de wet op de beveiliging van vitale infrastructuur. Daarvoor is de federale overheid bevoegd.
Voor de lokale besturen zijn we zelf bevoegd. Voor ziekenhuizen ligt de bevoegdheid wel degelijk bij het federale niveau. Daarom vind ik het wel interessant dat u zegt dat u hoopt dat de Vlaamse overheid verder blijft inzetten op bewustmaking en bewustwording van de hele problematiek. Lokale besturen, provinciale besturen en onze bedrijven kunnen gehackt worden. Ik mag er niet aan denken wat er kan gebeuren in de haven en dergelijke bij cyberaanvallen.
Er is al een opsomming gebeurd van cyberaanvallen die wereldwijd door niet alleen China maar ook andere landen zijn gebeurd. Zo heeft Rusland een van de Baltische staten volledig platgelegd, zonder dat daar ooit maar iets duidelijk over werd. Het land was op geen enkele manier meer toegankelijk. Ik pleit voor een Vlaams beleid gericht op verdere bewustmaking en bewustwording van de ernst van dergelijke cyberaanvallen op ons economisch leven.
Minister-president Jambon heeft het woord.
Ik denk niet dat er al een datum vastgelegd is voor een nieuwe Chinees-Europese top. Dat heeft ook te maken met corona en reizen van en naar China. Ik neem uw suggestie mee om cybersecurity daar op de agenda te plaatsen.
Mijnheer Vanlouwe, u hebt het over bewustmaking van het bedrijfsleven voor cybersecurity. Ik hou er niet van dat niveaus in elkanders bevoegdheid elkaar voor de voeten lopen. Ik denk niet dat dit een taak is van de Vlaamse Regering.
Dat is een taak die het Crisiscentrum en het Centrum voor Cybersecurity op federaal niveau voor hun rekening nemen. Dat weet ik van toen ik nog andere verantwoordelijkheden had. Mijn ervaring met het bedrijfsleven is in ieder geval dat die bewustwording dat men zijn systemen moet beveiligen, toch behoorlijk is doorgedrongen. Ik zal niet zeggen dat dat geldt voor de kleinste kmo, maar het overgrote gedeelte van het bedrijfsleven is daar toch echt wel mee bezig. Ik hoop echter dat dat op een bepaald moment de verantwoordelijkheid van de Vlaamse overheid wordt. Ik wil dat ongeveer alles de verantwoordelijkheid van de Vlaamse overheid wordt, maar als verantwoordelijk persoon houd ik me aan de bevoegdheidsverdeling, alhoewel ik die bevoegdheden ruim uitgebreid zou willen zien. Dat is echter een ander debat.
Mevrouw Talpe heeft het woord.
Collega’s, ik dank jullie ook voor jullie tussenkomsten. Ik neem wat er in de pers staat heel zeker met een korreltje zout. Ik verwijs naar wat collega Deckmyn daarnet aanhaalde over relativering. Als echter bij Commissievoorzitter von der Leyen, bij de FBI en ook in Nederland de alarmbellen afgaan, dan is er zeker wel een probleem, en we kunnen daar niet blind voor zijn. Minister-president, vandaar nogmaals mijn oproep om federaal eens na te vragen of er nu echt signalen van aanvallen op onze gezondheidsinstellingen zijn. Het gaat tenslotte over onze Vlaamse bedrijven, onze Vlaamse gezondheidsinstellingen. Als het zo zou zijn, dan is er wel degelijk ook een impact op Vlaanderen, op de Vlaamse economie enzovoort. Bij dezen zou ik op dat vlak dus ook van u graag een inspanning krijgen.
De vraag om uitleg is afgehandeld.