Verslag vergadering Commissie voor Algemeen Beleid, Financiën, Begroting en Justitie
Verslag
De heer De Roo heeft het woord.
Van 1 januari tot 30 juni 2024 neemt België het voorzitterschap van de Raad van de Europese Unie waar. Dat biedt ons land en onze regio aanzienlijke opportuniteiten, maar brengt ook een aantal bedreigingen met zich mee, waaronder cyberdreigingen.
Ook Vlaanderen speelt een belangrijke rol in dat EU-voorzitterschap. Zo zal het België vertegenwoordigen als voorzitter voor de luiken Industrie, Jeugd, Cultuur, Media en Visserij. Daarnaast is het ook een uitgelezen kans om Vlaanderen extra in de kijker te zetten binnen de Europese Unie.
In het kader van het Belgische voorzitterschap van de Europese Unie organiseerde het Centrum voor Cybersecurity Belgium (CCB) op 18 en 19 januari in een Brussels conferentiecentrum de Cybersecurity Summit. Die top bracht zo’n vijfhonderd Europese beleidsmakers en vooraanstaande experts van over de hele wereld op het gebied van cyberbeveiligingsstrategie, coördinatie en capaciteitsopbouw, investeringen en inlichtingen over cyberbedreigingen samen.
Dat CCB heeft, ondersteund door andere veiligheids- en inlichtingendiensten, eind 2023 een leidraad geschreven over hoe een hoger niveau van cyberveiligheid kan worden gegarandeerd tijdens het EU-voorzitterschap.
De recente cyberaanval – ondertussen een week of twee geleden – op de afvalintercommunale Limburg.net heeft eens te meer het belang van cybersecurity aangetoond.
Minister-president, welke concrete maatregelen zijn er genomen in Vlaanderen om de cyberveiligheid tijdens het Europese voorzitterschap te vergroten? Op welke manier ging de Vlaamse overheid om met de leidraad van dat CCB?
Hoe wordt de effectiviteit van deze maatregelen gemonitord?
Zult u het voorzitterschap aangrijpen om te wegen op het belang van cybersecurity voor onze regio? Zo ja, op welke manier?
Minister-president Jambon heeft het woord.
Mijnheer De Roo, u vraagt naar de concrete maatregelen die we in Vlaanderen hebben genomen. In opvolging van de leidraad van het CCB over de maatregelen die moeten worden geëvalueerd bij de inzet van ICT-materiaal in de context van het Belgische voorzitterschap van de EU kunnen wij het volgende rapporteren. Naast de vele adviezen zijn er twee kernmaatregelen nadrukkelijk essentieel: installeer multifactorauthenticatie (MFA) op alle externe verbindingen, zeker van interne netwerken, en zorg dat alle systemen en software up-to-date zijn. Beide adviezen en hun bijhorende maatregelen maken deel uit van het standaardbeleid van de Vlaamse administratie, en van de centrale dienstverlening van Digitaal Vlaanderen in het bijzonder. We hebben daar dus niets bijgeleerd.
De inrichting van deze kernmaatregelen en de opvolging van de implementatie ervan gebeuren maandelijks op structurele basis om zo de verbonden risico’s te minimaliseren.
Daarnaast gaat het ook over het structureel monitoren van de centrale dienstverlening voor een aantal zaken. Een eerste zaak is het gebruik van het netwerk via een SIEM/SOC-dienstverlening (security information and event management/security operations center), met als voornaamste aandachtspunten firewallgebruik, ddos-aanvallen (distributed denial of service) via specifiek ingerichte dienstverlening, de communicatie vanaf het interne netwerk naar het internet via een DNS-sinkhole (domain name server) die technisch verhindert dat gebruikers een communicatie kunnen opzetten met verdachte websites en, ten slotte, VPN-toegangen (Virtual Private Network) voor afstandswerkers. Een tweede zaak is het detecteren van afwijkend gedrag van toepassingen en datastromen op de werkposten, al dan niet in interactie met de buitenwereld, dus op het internet. Op deze manier worden werkstations automatisch uit het netwerk geweerd bij afwijkend gedrag.
Internetdomeinen die recent zijn opgestart, zijn niet toegankelijk voor onze medewerkers, net zoals applicaties die geregistreerd staan in ‘threat intelligence’-systemen.
Onze basisuitrusting op de toestellen voor medewerkers voorziet in encryptie en de basiskantoortoepassingen zoals Office 365 worden afgeschermd via multifactorauthenticatie op basis van de federale CSAM of itsme.
Daarnaast zijn er andere authenticatiemaatregelen waaraan permanente aandacht wordt besteed. Ten eerste, een gebruiker heeft geen beheertoegangen op zijn werkstation of laptop. Het is wel mogelijk om op basis van een risico-evaluatie van de betrokken Vlaamse administratie af te wijken van deze basisbeveiliging. Ten tweede, paswoorden hebben een afgedwongen complexiteit. Bij twijfel over het gebruik bestaat er een standaardescalatie om deze paswoordcombinatie gedwongen te wijzigen. Ten derde, elk werkstation heeft een unieke combinatie toestel-/beheeraccount. Ten vierde, gebruikers worden niet geacht om beheeraccounts of -paswoorden te gebruiken.
Cyberveilig bewustzijn, kennis en bewustmaking rond cyberveiligheid worden permanent aangeboden aan de medewerkers: ten eerste, via het organiseren van phishingtesten op regelmatige basis; ten tweede worden gebruikers niet geacht bedrijfskritische data op hun werkpost te hebben; ten derde worden gebruikers geacht om steeds een kopie van hun gegevens online bij te houden via OneDrive of andere alternatieven.
De federale collega’s informeren de deelnemers aan de evenementen in het kader van dit voorzitterschap over welke applicatie-initiatieven door hen zijn opgezet. De betrokken nota van onze CCB-collega’s bevat verder een goed overzicht van dreigingen waarmee deze deelnemers kunnen worden geconfronteerd.
U vroeg vervolgens hoe de effectiviteit van deze maatregelen wordt gemonitord. Bovenstaande maatregelen worden structureel opgevolgd voor zover ze deel uitmaken van de centrale dienstverlening van Digitaal Vlaanderen.
Alle dienstenleveranciers zijn contractueel verbonden aan de identificatie van dreigingen en risico’s en aan het nemen van adequate maatregelen of tegenmaatregelen binnen hun dienstenaandeel en worden maandelijks opgevolgd via KPI-rapportering (kritieke prestatie-indicator).
Deze opvolging gebeurt per individuele dienstenleverancier op operationeel vlak en tactisch of strategisch via structurele opvolgvergaderingen met de verschillende managementteams.
Potentiële gebreken binnen de dienstverlening worden bijgestuurd en opgevolgd via verbetertrajecten.
De belangrijkste relevante domeinen zijn, niet limitatief: ten eerste, assetbeheer, weten wat er moet worden beschermd; ten tweede, kwetsbaarhedenbeheer, weten waar we kwetsbaar zijn, wat de prioriteiten zijn om bij te sturen en wat moet worden bijgestuurd via beheer van wijzigingen; ten derde, toegangsbeheer, weten wie welke toegang heeft tot een bepaalde toepassing, bepaalde data, bepaalde infrastructuur en met welk autorisatieniveau; en, ten vierde, incidentbeheer, securitygerelateerde gebeurtenissen en incidenten en een 24/7 operationeel securityteam.
U vraagt of we het voorzitterschap zullen aangrijpen. Cybersecurity is een belangrijk aandachtspunt binnen het huidige beleid. Er werden dan ook ernstige inspanningen gedaan tijdens de huidige legislatuur om deze uitdaging gepast te beantwoorden.
We hebben sinds oktober 2021 een Vlaamse Strategie voor Informatieveiligheid, een beleid en toegewezen mensen en middelen om hier de noodzakelijke aandacht aan te besteden via het Stuurorgaan Vlaams Informatie- en ICT-beleid en zijn werkgroep Informatieveiligheid.
Daarnaast hebben we naar aanleiding van de aanvallen op de lokale besturen een Cyber Response Team (CRT) opgericht, in samenwerking met de collega’s van Digitaal Vlaanderen, het Agentschap Binnenlands Bestuur (ABB) en de Vereniging van Vlaamse Steden en Gemeenten (VVSG).
Deze activiteiten worden gecoördineerd door het team Informatieveiligheid van Digitaal Vlaanderen. De Vlaamse overheid zal deze inspanningen voortzetten in de komende legislatuur.
Er werd werk gemaakt van een voorbereidende opvolging en bijsturing van ons beleid en onze strategie. Daarbij krijgt niet alleen de aanpak voor de lokale besturen heel wat aandacht, maar we willen daar ook een antwoord bieden op het knelpunt capaciteit wat betreft cyberweerbaarheid en veerkracht.
Ik zal het belang van cybersecurity voor onze overheden en ruimer voor de hele Vlaamse maatschappij en economie benadrukken binnen mijn contacten in het kader van het Belgische voorzitterschap van de EU. Ik heb reeds de hand gereikt aan de federale collega’s om mee te kunnen wegen op het Europese niveau. Ik reken erop dat die uitgestoken hand zal worden aangenomen.
De heer De Roo heeft het woord.
Minister-president, ik dank u voor uw antwoord. Als ik uw antwoord zeer kort mag samenvatten, zegt u dat, of er nu een Europees voorzitterschap is of niet, onze maatregelen op punt staan en samen met de maatregelen die we de afgelopen jaren al in het leven hebben geroepen en de plannen die we daarover hebben gemaakt, een hoog beveiligingsniveau garanderen. Dat is een geruststellende boodschap. Op zich is dat positief nieuws.
Als ik hoor dat er maandelijks via de KPI’s per dienstleverancier en ook intern wordt opgevolgd hoe de veiligheid gegarandeerd blijft op een aantal facetten – ik zal ze niet herhalen, u hebt ze opgesomd – dan lijkt dat in de beperkte duurtijd van zo’n voorzitterschap weinig. Het gaat eigenlijk over maar vijf of zes keer. Ik ga er echter van uit dat, op het moment dat er incidenten zijn, via het Cyber Response Team – u hebt dat op het einde toegelicht – en andere de nodige alarmbellen kunnen afgaan, mochten er verhoogde dreigingen zijn of mocht het CCB waarschuwen voor ddos-aanvallen of andere die op ons afkomen.
Ik denk dat dat op zich een goede ingesteldheid is. Het is niet omdat er een Europese top is, dat we ons plots zouden moeten aanpassen. Het is goed om te kijken of we voldoen aan alle veiligheidsvoorschriften, en wanneer dat zo is, ons beleid daarrond te continueren.
Ik heb geen bijkomende vraag, ik wil enkel ondersteunen wat u op het einde zei. Het voortzetten in de volgende legislatuur zal een noodzaak zijn. Cyberbedreigingen zijn niet meer weg te denken, maar alomtegenwoordig. We moeten daarin blijven investeren. Wanneer we de ervaring die we op Vlaams niveau opdoen ook kunnen laten doorvloeien naar onze lokale besturen, spelen we als overheid de belangrijke rol om ervoor te zorgen dat zowel gegevens van burgers als bij uitbreiding van bedrijven en ons welvaartssysteem veiliger zijn.
De heer Gryffroy heeft het woord.
Ondertussen zijn we bezig met een voorstel van decreet in verband met de bewaartermijnen, maar dat zit ook bij jullie fractie. Dat zal volgens mij een goede zaak zijn, omdat je gegevens dan langer bewaart op een georganiseerde manier, waardoor die ook binnen de cybersecurity valt. Dat zou bijvoorbeeld kunnen hebben voorkomen dat in Limburg de gegevens werden vrijgegeven, want uiteindelijk ging het bij Limburg.net over oudere gegevens. Dat is dus een goede zaak, maar dat behoort natuurlijk niet tot uw bevoegdheid, minister.
Men zegt ook altijd dat 10 procent van de totale kost die je investeert in IT naar cyberveiligheid moet gaan. De vraag is hoever we hier in Vlaanderen zitten. Collega De Roo verwijst terecht naar bedrijven. Het Agentschap Innoveren en Ondernemen (VLAIO) bijvoorbeeld gaat om met enorm veel bedrijfsgegevens, die digitaal worden ingegeven. Dat is dus ook een bron van gevaar om te worden gehackt. Hoe safe is dat? Hoeveel investeren we? Zitten we al dan niet aan die ratio van 10 procent? Ik weet niet of dat onder uw bevoegdheid valt dan wel onder die van minister Brouns, als het over bedrijven gaat.
De vraag om uitleg is afgehandeld.