Verslag vergadering Commissie voor Economie, Werk, Sociale Economie, Wetenschap en Innovatie
Vraag om uitleg over de cyberveiligheid bij Vlaamse bedrijven
Verslag
– Wegens de coronamaatregelen werden deze vragen om uitleg via videoconferentie behandeld.
De heer Vande Reyde heeft het woord.
Ik ben in de war met mijn papieren. Het maakt niet uit, ik zal op mijn geheugen verdergaan.
Het overkomt de beste.
Mijn vraag gaat over cybersecurity. We hebben het er in het voorjaar ook al over gehad, naar aanleiding van de zaak Picanol. U hebt toen gesproken over uw cybersecurityplan, dat verder bouwt op het eerdere plan van voormalig minister Muyters. Er is recurrent 20 miljoen euro voor voorzien. U hebt een aantal pijlers naar voren geschoven. Er zijn negen dienstverleners aangeduid. Dat zijn de begeleiders die bedrijven kunnen helpen bij hun cybersecuritybeleid. Er zal nu worden nagegaan welke maatregelen er met die steun bij bedrijven kunnen worden geïmplementeerd.
Minister, wat is de stand van zaken voor die negen dienstverleners? Hoe kunnen bedrijven concreet bij hen terecht?
Hoe ziet u dat dit plan – wat een goed plan is, voor alle duidelijkheid – bedrijven concreet kan helpen om hun cyberveiligheid te optimaliseren? We zien dat het een groter maatschappelijk probleem wordt: ‘ransomware’ begint schering en inslag te worden. Ik heb onlangs een artikel gelezen waarin staat dat er aan bedrijven zelfs wordt aangeraden om gewoon te betalen, omdat het de korte pijn is.
Minister, u zei dat er een bedrag van 735.000 euro was voor specifieke maatregelen. Hoe verhoudt dit zich tot die negen dienstverleners? Hoe zit het plan eigenlijk in elkaar?
De heer Gryffroy heeft het woord.
Voorzitter, collega’s, minister, volgens een recente bevraging van Trend Micro blijkt dat de netwerken en systemen van drie op de vier organisaties in de Benelux het voorbije jaar werden getroffen door minstens één cyberaanval. Ook Vlaamse bedrijven ontsnappen niet aan cyberaanvallen. Herinner u begin vorig jaar, toen cybercriminelen erin geslaagd waren om het West-Vlaamse Picanol, een bedrijf met meer dan tweeduizend werknemers, helemaal lam te leggen. Recenter nog werd zelfs het Europees Geneesmiddelenagentschap het slachtoffer van een cyberaanval en werden documenten van Pfizer over de tests van het coronavaccin ingekeken.
We moeten er ons bewust van zijn dat de toename van de hoeveelheid data ook zorgt voor een toenemende kwetsbaarheid bij bedrijven. Volgend op de cyberaanvallen heeft de Europese Commissie een nieuwe cyberbeveiligingsstrategie voor de Europese Unie voorgesteld.
In Vlaanderen bestaat er het Vlaams Beleidsplan Cybersecurity, maar ik heb toch nog volgende vragen voor u, minister.
Op welke manier ondersteunt de Vlaamse overheid onze ondernemingen om zich beter te wapenen tegen cyberaanvallen?
Op welke manier is de Vlaamse overheid zelf beschermd tegen hacking?
Minister Crevits heeft het woord.
Collega's, ik ben blij dat het thema op tafel ligt. Het geeft me de kans om enkele recente initiatieven nader te kunnen toelichten.
Gegeven de specifieke noden aan gespecialiseerde dienstverlening op het vlak van cybersecurity, heeft het Agentschap Innoveren en Ondernemen (VLAIO) ervoor gekozen te werken met een aanbesteding en de keuze voor de externe dienstverlener dus niet uitsluitend bij de kmo te leggen, zoals bij de groeisubsidie of de kmo-portefeuille. De negen dienstverleners werden geselecteerd na een mededingingsprocedure met onderhandelingen. Hierbij werden in een eerste ronde 15 van de 49 kandidaten geselecteerd voor het indienen van een offerte. Hiervan werden er finaal 9 dienstverleners geselecteerd. Hiermee wordt er kwaliteitsvol en een voldoende breed en divers aanbod gecreëerd inzake dienstverleners waarop onze kmo’s een beroep kunnen doen. Het gaat hierbij om een raamovereenkomst voor een periode van maximum 4 jaar.
Met de cybersecurityverbetertrajecten wordt steun gegeven voor het inkopen van extern advies en begeleiding die kmo’s nodig hebben om een succesvolle groei te maken in de cybersecuritymaturiteit van hun bedrijf. Een verbetertraject bestaat steeds uit drie onderdelen: een grondige technische analyse van de cybersecuritymaturiteit van de onderneming; de opmaak van een actieplan waarmee het bedrijf een grote stap vooruit kan zetten inzake cyberveiligheid; advies en begeleiding bij het oplossen van een aantal vastgestelde prioritaire veiligheidsproblemen. Om in aanmerking te komen voor steun dient door de kmo samengewerkt te worden met één van de negen geselecteerde dienstverleners. De diensten in het kader van dit raamcontract zijn gericht op kmo’s met een kritische hoeveelheid aan IT-architectuur, software of verbonden IoT-systemen (Internet of Things).
De omvang van de begeleidingstrajecten wordt bepaald in functie van de geïdentificeerde noden van de onderneming. Een traject heeft hierbij een kostprijs tussen de 25.000 euro en 50.000 euro, exclusief BTW. VLAIO neemt maximaal 45 procent van de kostprijs voor zijn rekening en betaalt dit aandeel rechtstreeks uit aan de dienstverlener. Er is voor de cybersecurityverbetertrajecten in het eerste jaar een budget van 4 miljoen euro beschikbaar. We rekenen erop om tussen tweehonderd en driehonderd trajecten te kunnen ondersteunen.
In het kader van de beleidsagenda cybersecurity werd in 2020 gestart met de selectie en uitrol van verschillende op elkaar aansluitende initiatieven. De belangrijkste hiervan zijn: sensibilisering, advies en begeleiding in het kader van het contract ondernemerschap; steun aan vier projecten voor collectieve kennisopbouw en kennisverspreiding binnen Technologietransfer door Instellingen voor Hoger Onderwijs (TETRA) en Collectief Onderzoek & Ontwikkeling en Collectieve Kennisverspreiding (COOCK); steun aan vier O&O-samenwerkingsprojecten (onderzoek en ontwikkeling) binnen de ICON-oproep (interdisciplinair coöperatief onderzoek) rond cybersecurity; de zopas vermelde opstart van de doorgedreven cybersecurityverbetertrajecten. Met deze mix aan initiatieven wordt gemikt op een totaal jaarlijks bereik van vierduizend Vlaamse ondernemingen.
Het Hermes-beslissingcomité werd bij de start van de beleidsagenda gebriefd over de opzet en door VLAIO voorgestelde aanpak. In oktober kregen de leden nog een uitgebreide update van de stand van zaken. Daarnaast is het Hermes-beslissingcomité ook rechtstreeks betrokken bij de steunbeslissing van onder andere de oproepen ICON, TETRA en COOCK.
Omdat het programma in 2020 nog volop in opstart was, werd met uitzondering van de beslissingen over specifieke oproepen, door het beslissingcomité tot op heden geen specifiek standpunt ingenomen over de beleidsagenda.
Dan kom ik bij de 735.000 euro. Het opleidingsprogramma voor informatieverspreiding is helemaal complementair aan de initiatieven die ik al opgesomd heb. Inhoudelijk zullen de opleidingen in het opleidingsprogramma vanuit de universiteiten en de hogescholen zich voornamelijk richten op experten, ontwikkelaars en personeel die operationeel beheer doen van ICT-systemen. De opleidingen die worden geïnitieerd onder VLAIO, via een ESF-oproep (Europees Sociaal Fonds), richten zich niet op die doelgroepen. We willen dus absoluut een overlap vermijden.
Het materiaal dat ontwikkeld wordt, zal zijn weg vinden naar het webplatform dat is opgezet door VLAIO om over de beleidsplannen te communiceren naar bedrijven en intermediairen. Dat webplatform draagt de zeer romantische naam www.digitaletoekomst.be.
De stuurgroep is begin 2020 voor de eerste keer samengekomen en heeft ondertussen vier keer vergaderd. Het plan is goed geëvalueerd. Er zijn nog geen bijsturingen geadviseerd, maar ik moet eerlijk bekennen, collega’s, dat we in de opstartfase zitten. Het onderzoeksprogramma heeft zopas zijn eerste jaar gedraaid. Het gaat om een strategisch heel belangrijk impulsprogramma, waartegenover ook grote budgetten worden geplaatst. Het is dus niet meer dan normaal dat er een beetje opstarttijd nodig is. Maar de goede opvolging door de stuurgroep is absoluut verzekerd.
Er is wel al één knelpunt, namelijk dat de situatie rond covid voor vertraging heeft gezorgd bij de aanwerving van enkele internationale wetenschappelijke profielen voor het onderzoeksprogramma. Het consortium gaat verder met de aanwervingen en ik beschouw het wel als een goed teken dat men zegt dat kwaliteit bovenaan staat. Als men niet zeker is van de kwaliteit, gaat men niet over tot aanwerving.
Het beleid inzake ICT-veiligheid binnen de Vlaamse overheid wordt aangestuurd door Het Facilitair Bedrijf. Collega Somers is daar bevoegd voor. Uiteraard is het zo dat de verschillende acties van VLAIO indirect ook aanleiding moeten en zullen geven tot een hogere alertheid bij onze Vlaamse ambtenaren en overheidsinstellingen.
De heer Vande Reyde heeft het woord.
Bedankt voor de antwoorden, minister, zelfs op de vragen die ik mondeling was vergeten te stellen.
Dit is een zeer goed plan, laat mij dat duidelijk stellen. Er zijn de budgetten, er is de visie. De uitwerking is ook goed. Je ziet dat ook op de website van VLAIO. Daar is aan gewerkt. Daar staan verhalen bij. Daar staan getuigenissen bij. Als bedrijf heb je ook direct door waar het over gaat. Je ziet daar filmpjes van de mannen van Intigriti, die echt enorm goed zijn. Dat is wereldtop. Dat zit dus goed in elkaar. Dat gaat zeker effect hebben, het effect dat we beogen.
Mijn enige kritische opmerking daarbij – maar dat is natuurlijk een keuze die gemaakt is – is dat er wordt gewerkt met negen vaste dienstverleners. Ik begrijp die keuze: je hebt een bepaalde massa nodig en je moet dat administratief ook allemaal kunnen bolwerken. Het is natuurlijk moeilijk als je bedrijven daar zelf de keuze laat. Maar ik vrees dat het misschien heel specifieke expertise zou kunnen uitsluiten, vooral toekomstgericht dan. Die bedrijven die zelf uitgesloten zijn, die komen dan natuurlijk ook bij mij terecht. Zo werkt dat. En die vertellen hun verhaal. Maar het is niet dat ik daarop afga. Dat is een fenomeen dat heel snel evolueert. Vandaag heb je specifieke knowhow, maar over een aantal jaren kan er misschien al andere expertise nodig zijn. Ik zou dat misschien wel meenemen in de verdere evaluatie in de stuurgroep. Die negen dienstverleners, dat is nu een vast gegeven. Maar denk in de toekomst misschien na over hoe daar nog enige flexibiliteit zou kunnen worden ingebouwd.
Ik weet trouwens ook niet welke de negen zijn; ik heb dat niet gevonden. Maar in de verhalen zag ik wel dat Intigriti en een paar anderen erbij waren. Daarvan kan ik al zeggen dat dat absolute wereldtop is, dus dat is zeker een goede zaak. Ik zeg dus zeker niet dat die negen geen goede keuze zouden zijn. Ik denk gewoon dat in de toekomst misschien enige flexibiliteit inbouwen, wel nuttig kan zijn.
De heer Gryffroy heeft het woord.
Bedankt voor de antwoorden, minister. Ik kan aansluiten op wat collega Vande Reyde aankaart omtrent de flexibiliteit. Dat is een logische vraag. Ik denk dat dat ook wel mee zal worden opgenomen, omdat dat inderdaad dermate snel evolueert.
Het Facilitair Bedrijf zit onder minister-president Jambon, niet onder minister Somers, denk ik.
Klopt, collega’s. Dat is een foutje van mij, excuus.
Wat we bij Picanol en ook andere bedrijven zien, is dat hun systeem globaal gezien wel goed is, waardoor ze misschien niet gehackt worden, maar dat er nog een aantal losse computers aanwezig zijn in de bedrijf. En die losse computers zorgen er dan voor dat er toch ergens een probleem ontstaat. Ik denk dat u dat de vorige keer ook hebt gezegd, minister, om te werken rond communicatie binnen de bedrijven, om erop te letten dat ze bijvoorbeeld goed checken of alle oude computers vervangen zijn door nieuwere, hoe het zit met de policy rond het omgaan met hun laptops, iPhones, iPads enzovoort. Daar moet men ook aandacht aan besteden, buiten het puur technologische dan. Blijkbaar speelt daar heel vaak ook een menselijke factor in mee.
De heer Annouri heeft het woord.
Ik wil me heel graag aansluiten bij deze vraag, omdat ik het een heel belangrijke vraag vind, over een heel actueel en cruciaal probleem. Collega Vande Reyde heeft er al voor een stuk naar verwezen dat men soms uit onmacht – en ik begrijp dat wel – de weg van de minste weerstand kiest, en dat het voor een stuk onaanvaardbare advies wordt gegeven om er gewoon op in te gaan en de ‘ransom’ te betalen. Dat is misschien de gemakkelijkste manier om ervan af te raken. Ik snap waar die logica vandaan komt, maar dat mogen we echt niet normaliseren of oké vinden.
Het probleem is zelfs breder dan dat. Daarom wou ik ook tussenkomen. Deze week nog heb ik contact gehad met een medisch laboratorium, waarvan het personeel volledig in paniek was omdat het labo gehackt was, niet alleen hun website, maar ook alle gegevens van alle patiënten. De hackers waren een koppig spel aan het volhouden, dat ze de gegevens pas zouden vrijgeven als het geld zou worden overgemaakt, waarop de vrouw van het laboratorium mij aan de telefoon letterlijk zei: ‘Het is afwachten. We weten niet wat er nu gaat gebeuren. Koppig, wie het het langst zal volhouden.’
Mijn bijkomende vraag is dus vooral, minister, om het niet enkel naar de bedrijven, maar het ook binnen de Vlaamse Regering over alle beleidsdomeinen heen breed uit te rollen en aan te pakken. Collega Vande Reyde had het over de Vlaamse overheid zelf. U verwees naar minister Somers. Ik denk ook aan het medische aspect. Ik weet niet of minister Beke daarrond ook het een en ander op poten heeft gezet, maar ik doe toch een warme oproep om dat echt, zeker in deze tijden, over alle beleidsdomeinen heen uit te rollen en ervoor te zorgen dat al onze op dit moment kwetsbare instanties digitaal weerbaar worden gemaakt.
De heer Buysse heeft het woord.
Mijn vraag sluit daar eigenlijk perfect bij aan. Jammer genoeg is het probleem van de cybercriminaliteit niet alleen iets van onze ondernemingen, maar geldt het ook voor onze lokale besturen. U zult zich nog de kwestie-Willebroek herinneren.
In dat kader heb ik eind vorig jaar minister Somers ondervraagd, bij de bespreking van zijn budget. Ik had toen voorgesteld dat de ministers effectief zouden proberen om daarin beter samen te werken. Want de doelgroep verschilt, maar de methodes, de preventie en de technologie zijn natuurlijk zaken die enorm overlappen. Ik was heel tevreden dat minister Somers daar volmondig op is ingegaan. Minister, is er al een aanzet gegeven tot een dergelijk overleg tussen de verschillende ministeries?
Minister Crevits heeft het woord.
Dank u wel, collega’s, voor de hoge interesse, die trouwens zeer terecht is.
Collega Vande Reyde, ik ben blij dat u zegt dat het een goed plan is. Ik vind het ook een goed plan. Vooral de impactmonitoring zal zeer belangrijk zijn. Ik begrijp uw opmerking over die negen. Het gaat om een aanbesteding. Het moeten echte specialisten zijn. Daarnaast heb je nog altijd de keuze die je kunt maken voor de kmo-portefeuille en de groeisubsidie. Het is de eerste keer dat we dat doen. We willen geen risico’s lopen. Daarom hebben we gekozen voor de aanbesteding. Na een lange procedure zijn we tot die negen gekomen. We zullen bekijken of dat de beste manier van werken is. Als blijkt dat we dat moeten uitbreiden, kunnen we dat volgend jaar nog doen. Nu kunnen we starten. Ik dacht trouwens dat de namen van de geselecteerden gewoon op de website staan. We zien het hier ook: “Je werkt hiervoor samen met een van deze negen geselecteerde dienstverleners.” En dan hebben we daaronder: BA, Cranium Belgium, Cronos Public Services, EY Advisory Services, NETCURE, NVISO Belgium, PwC Enterprise Advisory, Resilient en Toreon. Tenzij ik mij vergis, denk ik dat dat de negen aangeduide bedrijven zijn. Ik laat het in elk geval bezorgen. Als bijlage eventueel, maar volgens mij staan ze gewoon op de website van VLAIO.
Collega Gryffroy, communicatie is zeer belangrijk. Absoluut akkoord. We voorzien ook in eerstelijnsbegeleiding om de risico’s in kaart te brengen. De eerste stap als je er als bedrijf wilt instappen is dat we uw maturiteit gaan bekijken. Het heeft geen zin om iemand foute begeleiding te geven. Dat moet direct goed zitten vanaf het begin.
Collega Annouri, wat betreft de medische labo’s hebben we pas een project van de Vlaamse Instelling voor Technologisch Onderzoek (VITO) ondersteund rond de bescherming van persoonlijke medische gegevens via datakluizen. De solid technology is zeker een belangrijk domein waar ik op wil inzetten. Ik heb daarover een superinteressante toelichting gekregen van de mensen van onder andere de UGent. Dat biedt heel veel perspectieven.
Er is ook heel veel doorstroming van informatie vanuit VLAIO naar de VVSG over die materie. Wij steunen trouwens ook de digitaal specialist bij de VVSG vanuit VLAIO.
Collega Buysse, ik heb het gevoel dat ik uw vraag niet gehoord heb, omdat ik aan het sms’en was met betrekking tot die vraag over de dienstverleners. Kunt u uw vraag nog eens opnieuw stellen?
Ik had gezegd dat het probleem van de cybercriminaliteit niet alleen de ondernemingen aangaat, maar ook onze lokale besturen. Ik stelde daarover eind vorig jaar een vraag aan minister Somers. Hij zag toen ook direct in dat de doelgroep wel verschilt, maar dat de manier van preventie, opleiding en technologie wel serieus overlapt tussen uw departement en het zijne. Hij was meteen akkoord om te bekijken wat de raakpunten waren, om het op een efficiëntere manier te kunnen aanpakken. Mijn vraag was of daar al iets aan gedaan is.
Het antwoord zat een beetje vervat in wat ik al aan collega Annouri heb gezegd. Wij steunen vanuit VLAIO een digitaal specialist bij de VVSG. Er is daar niet alleen in de woorden maar ook in de feiten een overlapping. We gaan dat zeker zo houden.
De heer Vande Reyde heeft het woord.
Minister, bedankt om de zaken mee te nemen. Ik heb – ik heb het even nagekeken – op donderdag 16 juni 2016 als Jong Vld-voorzitter een eerste keer voorgesteld om volop ethische hackers in te zetten voor de beveiliging van bedrijven en overheidsdiensten. Dat is meer dan vier jaar geleden. Ik ben heel blij dat we daar nu volop mee bezig zijn in deze legislatuur.
Mijn collega’s hebben gelijk – en dat is inderdaad wel iets om mee te nemen naar de kabinetsmedewerkers in de stuurgroep – om de match met de andere beleidsdomeinen te zien. Ik weet dat minister Somers ook bezig is met bijvoorbeeld Intigriti, waarbij lokale besturen een ethische hacking kunnen laten doen om de beveiligingslekken op te sporen. Het is inderdaad nuttig om te bekijken welke synergieën daar kunnen tot stand komen. Collega Annouri haalt het terecht aan: als in volle coronacrisis een testlab wordt gehackt en gegijzeld, laat dat zien dat die hackers qua ethiek voor niets terugdeinzen.
En wat de namen betreft, zag ik op de website van VLAIO dat Intigriti wel in die verhalen zat, maar misschien werken die dan in onderaanneming met die negen anderen. Ik zal het eens verder uitzoeken. Het is alleszins al goed dat u bekijkt of daar in de toekomst nog aanpassingen mogelijk zijn.
De vragen om uitleg zijn afgehandeld.