Report meeting Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering

– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.

Mevrouw Partyka heeft het woord.

Minister, ik wil u graag een vraag stellen over cybercriminaliteit of phishing. Digitaliteit heeft veel voordelen, maar ook veel nadelen. We hebben allemaal al wel berichten gekregen om gegevens af te troggelen. Sommigen onder ons hebben misschien al eens verkeerdelijk doorgeklikt. Het wordt hoe langer hoe professioneler en het ziet er hoe langer hoe echter uit. In persoonlijke omstandigheden is dat een bijzonder kwalijk fenomeen, maar dat is het nog meer voor openbare besturen.

Hoe langer hoe meer krijgen ook openbare besturen daarmee te maken. Onlangs was er een tamelijk spectaculair voorbeeld in Willebroek waar een veertiendaagse cyberaanval is gelanceerd op het openbaar bestuur.

Minister, op 13 april 2020 kondigde u aan dat de Vlaamse Regering 2 miljoen euro investeert in cyberveiligheid, om lokale toolkits cybersecurity te maken en ethische hackers in te zetten, en ook om een audit informatieveiligheid te doen in alle Vlaamse steden en gemeenten.

Die phishingberichten blijven komen. Net nog las ik een bericht van het parket van Antwerpen over 144 aangiftes van phishing via WhatsApp met een vermoedelijke schade van 300.000 euro.

Minister, hoe evalueert u de huidige aanpak? Zijn er al resultaten van het budget dat u hebt vrijgemaakt? Hebt u bijkomende middelen om de lokale besturen te ondersteunen in het herkennen en bestrijden van phishing? Hebt u zicht op de actuele cyberveiligheid van lokale besturen? Zij beschikken toch over ontzettend veel gegevens en in die systemen gaat ontzettend veel gevoelige informatie rond. Hebt u naar aanleiding van corona en het vele thuiswerk zicht op onze systemen? Zijn ze voldoende beveiligd? Al dat thuiswerk betekent toch extra mogelijkheden tot hacking.

Op welke manier kunt u onze inwoners wapenen tegen cyberhacking? Hoe kunt u hen meer opleiden of ondersteunen bij websafe surfen? Maar mijn vraag gaat vooral over cyberveiligheid bij lokale besturen.

Minister Somers heeft het woord.

Cybercriminaliteit is een ernstig probleem en de lokale besturen moeten zich hier maximaal tegen wapenen, onder meer door opleidingen te voorzien voor hun medewerkers en door in te zetten op het bewustzijn omtrent risico’s van frauduleuze berichten, het zogenaamde phishing.

We hebben in het voorjaar onder meer gezien hoe cybercriminelen de gemeente Willebroek hebben lamgelegd. Ik feliciteer nogmaals de burgemeester van Willebroek met hoe hij daarop heeft gereageerd. Ik heb daar meteen acties aan gekoppeld vanuit twee sporen.

Het eerste spoor is een cofinanciering van ICT-informatieveiligheidsaudits voor een bedrag van 2 miljoen euro waarmee de gemeenten hun ICT-systemen kunnen testen op veiligheidsrisico’s en indien nodig extra beveiligingsmaatregelen kunnen nemen. Dat is een succes, want al meer dan 76 gemeenten hebben hierop ingetekend en we blijven deze cofinanciering ook volgend jaar aanhouden, gelet op de grote vraag en het grote succes.

Binnen deze audit kan er ook een phishingtest worden uitgevoerd. Zo’n test laat een lokaal bestuur toe gecontroleerd na te gaan hoe medewerkers omgaan met een vals phishingbericht en of er extra bewustzijnacties nodig zijn.

Met andere woorden, men test met een vals phishingbericht hoe de organisatie en individuele medewerkers erop reageren. Op basis daarvan kan men dan mensen bewust maken van de gevaren en onderzoeken of er nog acties nodig zijn. Ik kan me inbeelden dat, als men op zo’n fischingbericht klikt, op het scherm opeens het boze gezicht verschijnt van de lokale burgemeester met de boodschap: ‘u bent ons systeem aan het saboteren, doe dat nooit meer’. Mevrouw Partyka, als uw gemeente daar nog niet aan deelgenomen heeft, kunt u eens bekijken of ze daar niet op kan inhaken. 76 gemeenten hebben dat al gedaan. 

Een tweede spoor: de Vereniging van Vlaamse Steden en Gemeenten (VVSG) werkt in opdracht van mij het programma cyberveilige gemeenten uit. Dat is opgestart in mei 2020 en loopt tot april 2022. Ik vermeld enkele zaken die in dit project gebeuren. Er wordt gewerkt aan een toolkit met handleidingen voor incidenten. Een taskforce met medewerkers van lokale besturen is bezig met de uitwerking van die toolkit, waarin ook allerhande good practices over hoe omgaan met phishing worden opgenomen.

Daarnaast hebben 75 gemeenten – toch een behoorlijk aantal, namelijk 1 op de 4 – zich aangemeld bij de VVSG voor het traject met de ethische hackers van de Hogeschool West-Vlaanderen (Howest). Studenten zullen de ICT-systemen van de lokale besturen als het ware bestormen en testen. In sommige gemeenten zal er ook een phishingtest aan gekoppeld worden.

Vanuit de VVSG worden er ook vormingen en infosessies specifiek voor lokale besturen georganiseerd omtrent cyberveiligheid. Dat aanbod wordt nu voorbereid. U ziet dat we toch al het een en het ander gedaan hebben. Wat vooral opvalt, is de grote gretigheid bij lokale besturen om kennis op te doen, daaraan mee te doen, zich te laten testen en steun te zoeken.

Daarnaast zijn er nog andere ondersteunende instrumenten vanuit de Vlaamse overheid. Het Facilitair Bedrijf, onder bevoegdheid van de minister-president, stelt al enkele jaren via e-learning een gratis bewustmakingsopleiding ter beschikking.

We bereiken hiermee dus heel wat gemeenten en ondersteunen die dan ook significant. Het is nu nog te vroeg om een synthese te maken van inzichten die uit de audits en de ethische hacking naar boven kunnen komen, maar het is wel de bedoeling om daar in een groter geheel lessen uit te trekken en te bekijken wat we nog extra moeten doen. Uiteraard hebben u noch ik de overtuiging dat we vanuit het Vlaamse beleid de phishingproblematiek wereldwijd een halt zullen kunnen toeroepen. Ik heb grootse ideeën en ik zie het voor Vlaanderen groots, maar ik denk dat dat een beetje onze pet te boven gaat.

U vraagt of ik zicht heb op de actuele cyberveiligheid van lokale besturen. In 2018 publiceerde Audit Vlaanderen een globaal rapport over informatiebeveiliging. Ik kan het u aanbevelen om het eens te lezen want het is interessant. Het beschrijft hoe lokale besturen hun informatiebeveiliging aanpakken, welke problemen ze ervaren en welke verbeteracties mogelijk zijn. Het is een publiek beschikbaar rapport dat heel wat nuttige inzichten bevat. Dat rapport werd tijdens de vorige regeerperiode ook besproken in de commissie Binnenlands Bestuur onder mijn voorganger.

Zoals daarnet gesteld, zullen ook de audits en sessies ethisch hacken die nu lopen tot een meer actuele analyse leiden over de lokale cyberveiligheid.

Wat betreft uw specifieke vraag over netwerkbeveiliging: netwerkbeveiliging kwam ook aan bod in het globaal rapport van de thema-audit van 2018. Een van de aanbevelingen was de nood aan meer netwerksegmentering waardoor bij een eventuele besmetting met een computervirus de verdere verspreiding kan worden ingedamd.

Los van de tendens naar meer thuiswerken is een goede netwerkbeveiliging uiteraard belangrijk. Voor wat thuiswerk betreft, is onder meer een VPN-verbinding wenselijk waardoor je vanop afstand veilig op het bedrijfsnetwerk kunt werken.

Het thema netwerkbeveiliging zal ook mee worden genomen in het project 'cyberveilige gemeenten'. Er zullen daarover goede praktijken worden gedeeld. Ik denk hier bijvoorbeeld aan het delen van goede praktijken omtrent afspraken die gemeenten maken met hun thuiswerkende medewerkers.

In welke mate zie ik mogelijkheden om inwoners te ondersteunen in het websafe surfen? We gaan natuurlijk niet controleren waar mensen allemaal naartoe surfen, mevrouw Partyka, dat behoort tot de individuele vrijheid en de privacy van mensen. Mijn focus ligt uiteraard bij het ondersteunen van de lokale besturen in deze materie, wat volgens mij ook de burgers ten goede komt. De gemeente werkt immers met gegevens van de burgers.

Maar er is uiteraard het federale Centrum voor Cybersecurity België (CCB) dat met deze materie – het beschermen, helpen en ondersteunen van burgers – bezig is en dat zich focust op het responsabiliseren van onze burgers. 

Het CCB lanceerde onder meer de campagne www.safeonweb.be, om het grote publiek te wijzen op het gebruik van veilige wachtwoorden en zoveel mogelijk een tweestapsverificatie toe te passen. Dat laatste houdt in dat er na het inloggen een code gestuurd wordt naar je smartphone of een vingerafdruk gevraagd wordt via je smartphone. U kent dat systeem ongetwijfeld. Dat is wat het CCB doet, dat gebeurt op federaal niveau. Wij concentreren ons in onze werking vandaag eigenlijk op de lokale besturen, omdat we denken dat we zo ook indirect onze burgers beschermen en verdedigen.

Ik hoop dat ik daarmee heb aangetoond dat we niet stilzitten en dat we op een heel intensieve manier met de lokale besturen aan die cyberveiligheid werken. Langs de andere kant stel ik ook vast dat heel veel lokale besturen heel gemotiveerd zijn om daaraan mee te werken, en ook heel geïnteresseerd zijn om daar ondersteuning in te krijgen. We gaan die projecten dus zeker verderzetten.

Mevrouw Partyka heeft het woord.

Ik denk dat het een terechte keuze is om in te zetten op die lokale besturen. Ik wil ook aansluiten bij uw felicitaties voor de burgemeester van Willebroek. Ik heb hem tijdens de coronacrisis op bezoek gehad, en hij heeft toen verteld over de cyberaanval. Ik had hem eigenlijk uitgenodigd naar aanleiding van een samenwerkingsverband voor noodplancoördinatoren. Hij heeft mij gezegd dat hij, door de clustervorming binnen de noodplanning, gespecialiseerde hulp heeft gekregen bij het afwenden van die aanval.

Ik was in de vorige legislatuur geen lid van de commissie, maar ik zal dat zeker nog eens bekijken. Ik vind het ook bijzonder interessante cijfers. Het geeft aan dat onze lokale besturen het ook een belangrijk thema vinden, en dat ze zich daarin ook gesterkt willen voelen. Ik denk dat het een terechte keuze is om daarop in te zetten. Bedankt.

Minister Somers heeft het woord.

Ik ben natuurlijk blij met de interesse van collega Partyka en met haar betrokkenheid. Ik denk dat dat een spoor is waar we de volgende maanden en jaren op moeten verder werken, zowel lokaal als Vlaams.

Mevrouw Partyka heeft het woord.

Ik heb daar niets meer aan toe te voegen.