Verslag vergadering Commissie voor Algemeen Beleid, Financiën, Begroting en Justitie
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
De heer De Roo heeft het woord.
Er werd een lek vastgesteld bij Microsoft Exchange, de wereldwijd gebruikte servertoepassing voor onder meer e-mailverkeer en agenda’s. Het Centrum voor Cybersecurity België (CCB) waarschuwde voor een tsunami aan cyberaanvallen in ons land.
Het lek werd begin deze maand ontdekt en werd intussen opgelost met een update, maar vele gebruikers hebben die update te laat of zelfs niet doorgevoerd. Intussen hebben volgens de berichtgeving Chinese hackers al toegeslagen bij tientallen Belgische bedrijven en/of publieke instellingen.
De aanvallers konden toegang krijgen tot de Exchangeserver, slaagden er hierna in om een eigen code te draaien en kenden zichzelf vervolgens lees- en schrijfrechten toe. Hierdoor konden zij naast het lezen van de e-mail en agenda ook malware installeren.
Vele grote organisaties maken geen gebruik meer van een eigen Exchangeserver en besteden die diensten uit aan de clouddiensten van Microsoft. Maar de Exchangeserver wordt nog breed gebruikt bij kleinere bedrijven, lokale overheden, maar bijvoorbeeld ook nog bij het Noors parlement, dat slachtoffer werd van een aanval. (Opmerkingen van minister-president Jan Jambon)
Ik versta niet wat u zegt, maar ik ben benieuwd om straks te horen wat u wilde zeggen.
Het Vlaams regeerakkoord wil via het beleidsplan cybersecurity in Vlaanderen een weerbare digitale economie uitbouwen. De omvang van die Exchangehack, de opeenvolging van nieuwsfeiten over cyberaanvallen en het toenemend aantal digitale toepassingen onderstrepen nogmaals het belang van het inzetten op cyberbeveiliging.
Minister-president, welke acties zult u ondernemen met betrekking tot deze hack en de kwetsbaarheid van de systemen van Vlaanderen, van bedrijven en van lokale besturen?
Welke acties zult u ondernemen om de ICT-systemen van de Vlaamse overheidsdiensten en van het Vlaams Parlement nog veiliger te maken?
Is Vlaanderen op een of andere manier verzekerd tegen de schade van dergelijke cyberaanvallen; waarom wel of waarom niet?
Hoe kijkt u op vandaag naar de uitbouw van een weerbare digitale economie via het beleidsplan cyberveiligheid, gericht op onderzoek, praktische toepassingen bij bedrijven en opleiding?
Minister-president Jambon heeft het woord.
Collega De Roo, u vroeg welke acties wij nemen voor de bedrijven en de lokale besturen. Binnen de centrale dienstverlening van Digitaal Vlaanderen werd reeds op 5 maart, twee dagen na de initiële waarschuwing van Microsoft, de noodzakelijke controle op de blootstelling van dit risico gevalideerd door de dienstverlener, op expliciete vraag van de Chief Information Security Officer (CISO) van Het Facilitair Bedrijf.
Binnen de centrale dienstverlening van Digitaal Vlaanderen werd de laatste Exchangeserver reeds een tweetal jaar geleden verwijderd en werd overgestapt op het Office 365/Exchange Online-aanbod van Microsoft. Die Office 365/Exchange Online-infrastructuur is niet kwetsbaar voor de betrokken kwetsbaarheden.
Binnen het bredere kader van de Vlaamse administratie en de lokale besturen biedt het team Informatieveiligheid een aantal beste praktijken aan. Die worden besproken en gepubliceerd via de werkgroep Informatieveiligheid, onder de bevoegdheden van het Stuurorgaan Vlaams Informatie- en ICT-beleid. Meer concreet wordt advies verstrekt met betrekking tot software lifecycle management. Dat beschrijft de levenscyclus van software, waarbij Exchange – en in het verlengde alle communicatiesoftware – hoort tot de bedrijfskritische software, waarbij een correcte en gegarandeerde ondersteuning door de leverancier een absolute noodzaak is. Er wordt ook advies verstrekt rond patch management en configuratiebeheer, dat de prioriteiten beschrijft bij het toepassen van software-updates in de context van het bedreigingsniveau dat voorligt bij kwetsbaarheden of functionele defecten.
Digitaal Vlaanderen werkt vanuit zijn bevoegdheden door middel van het team Informatieveiligheid actief samen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG), het Crisiscentrum van Vlaamse overheid (CCVO) en de federale instanties, met voornamelijk het Centrum voor Cybersecurity België. Zo worden de volledige Vlaamse administratie en ook de lokale besturen actief ondersteund via gerichte adviezen en nieuwsbrieven. De laatste nieuwsbrief van het team Informatieveiligheid dateert van 13 maart jongstleden en gaat expliciet over deze Hafniumaanval op Microsoft Exchange-infrastructuur. Op deze manier tracht Digitaal Vlaanderen alle overheden binnen zijn verantwoordelijkheid te sensibiliseren wat betreft operationele en technische risico’s in de informatieverwerking.
Minister Somers nam het afgelopen jaar eveneens verschillende ondersteunende maatregelen ten aanzien van de lokale besturen, die tot doel hebben de cyberveiligheid van hun systemen en organisaties te optimaliseren en te versterken, zoals de cofinanciering van ICT-veiligheidsaudits in de lokale besturen en de uitwerking van een toolkit voor cyberveilige gemeenten.
U vroeg ook naar de acties voor de ICT-systemen van de Vlaamse overheidsdiensten. Binnen de werkgroep Informatieveiligheid, onder de bevoegdheden van het Stuurorgaan Vlaams Informatie- en ICT-beleid, loopt een programma om het beleid en de strategie met betrekking tot informatieveiligheid verder uit te bouwen en met structurele middelen te ondersteunen. Dit programma heeft tot doel de veiligheidsaspecten binnen onze informatieverwerking te versterken en te stroomlijnen en een versnipperde werking en organisatie binnen het domein informatieveiligheid te vermijden. Dit programma zal meer inzichten verschaffen in hoe de Vlaamse overheid kan inzetten op een meer gecentraliseerd beleid en aansturing wat betreft informatieveiligheid en waar efficiëntie en synergieën elkaar kunnen versterken.
Digitaal Vlaanderen heeft in het kader van de onderhandelingen van de nieuwe raamcontracten ICT-dienstverlening 2022 expliciet aandacht besteed aan een bredere structurele operationele ondersteuning van de informatieveiligheid met specifieke aandacht naar het opsporen en opvolgen van risico’s die voortkomen uit technologische kwetsbaarheden, onder andere in de vorm van een automatisering van het incidentbeheer. Op die manier krijgt elke Vlaamse instantie, inclusief het Vlaams Parlement en de lokale besturen, de mogelijkheid om deze beveiligingsexpertise binnen het bereik van zijn dienstverlening te brengen.
Wat de verzekering betreft: de Vlaamse overheid is momenteel eigen verzekeraar wat betreft cyberrisico’s, en staat dus zelf in voor het betalen van eventuele schade aan haar systemen. Bedrijven zijn natuurlijk vrij om een verzekering tegen cybercriminaliteit af te sluiten. Dergelijke cyberverzekeringen worden nu al aangeboden door een aantal Belgische banken en verzekeringsmaatschappijen.
Er bestaat wel controverse rond de wenselijkheid van het verzekeren tegen cybercriminaliteit. Deze verzekeringen dekken niet alleen de geleden schade, maar bieden ook dekking voor het eventuele losgeld bij ransomware. Door die aanpak verzekert het de aanvallers of cybercriminelen dat ze zeker hun geld krijgen bij digitale afpersing, en draagt het dus eigenlijk bij tot een bestendiging van het probleem. Daarom hebben we daar zelf nog geen verzekering rond afgesloten.
Hoe kijk ik zelf naar een weerbare digitale economie via het beleidsplan cyberveiligheid? Door de toenemende digitalisering van onze maatschappij en economieën zijn we de voorbije jaren inderdaad kwetsbaarder geworden op het vlak van dataveiligheid. Betrouwbaarheid, robuustheid en beveiliging van digitale technologieën en toepassingen van ondernemingen zijn cruciale elementen voor het verzekeren van de bedrijfscontinuïteit en de adoptie van nieuwe digitale producten en diensten. Dit maakt ook dat investeringen in cybersecurity van noodzakelijk belang zijn indien we een weerbare digitale economie wensen uit te bouwen in Vlaanderen.
Met de cybersecuritybeleidsagenda wil Vlaanderen, onder coördinatie van minister Crevits, zich wapenen tegen de vele uitdagingen op het vlak van cyberveiligheid. Minister Crevits maakt hier jaarlijks 20 miljoen euro voor vrij. Deze agenda bestaat naast een onderzoeksluik uit een gedeelte dat gericht is op het verhogen van de cybersecuritymaturiteit en de adoptie van innovatieve cybersecuritytechnologieën bij de Vlaamse bedrijven. In dit bedrijfsluik worden tal van acties gelanceerd in samenwerking met federaties, werkgeversorganisaties en kennisinstellingen om ondernemingen te sensibiliseren rond cyberveiligheid en hen aan te sporen om over te gaan tot actie om de cyberveiligheid van hun onderneming te verhogen. Nog te veel ondernemingen zijn zich immers nog onvoldoende bewust van de risico’s inzake cyberveiligheid en de mogelijke gevolgen van een eventuele cyberaanval.
Met de cybersecurityverbetertrajecten werd begin 2021 bij het Agentschap Innoveren en Ondernemen (VLAIO) zelfs een nieuwe steunmaatregel opgestart die kmo’s ondersteunt bij de aankoop van advies en begeleiding met het oog op een structureel verbeteringstraject op het vlak van cyberveiligheid. Daarnaast is er in het cybersecuritybeleidsplan inderdaad ook een focus op de noodzakelijke skills en vaardigheden op het vlak van cyberveiligheid bij zowel werknemers zonder voorkennis als werknemers met een IT-profiel. Door toedoen van de cybersecuritybeleidsagenda zien we dat ook hier nieuwe opleidingen worden ontwikkeld en uitgerold.
De heer De Roo heeft het woord.
Minister, ik ben tevreden om te horen dat inderdaad zowel de lokale besturen als de bedrijven ondersteuning krijgen, dat er daarvoor trajecten lopen en dat daarvoor 20 miljoen euro per jaar wordt vrijgemaakt. En daarnaast zijn er nog de Vlaamse overheidsdiensten. Ik merk uit uw antwoord vooral een heel hoge aandacht voor het thema, en dat is heel belangrijk. Het zijn professionele bedrijven die dergelijke zaken op poten zetten, die zoeken naar lekken en ofwel schade veroorzaken of losgeld eisen.
Ik heb nog een bijkomende vraag. Worden er de komende jaren ook heel specifiek audits ingezet in de verschillende diensten rond cyberveiligheid? Gebeurt daar iets heel concreets mee, of hoe kijkt u daarnaar?
De heer Gryffroy heeft het woord.
Ik denk inderdaad dat door deze coronacrisis de digitalisering versneld is. Dat is zeer positief, en we weten allemaal dat de toekomst nog meer digitaal zal zijn. Maar dat brengt dan inderdaad de nodige gevaren en valkuilen met zich mee. Het is inderdaad ook zo dat er, zeker vanuit VLAIO, al heel wat werd aangekondigd om de Vlaamse kmo’s te ondersteunen. Zij kunnen rekenen op middelen voor begeleidingstrajecten, zoals de minister-president heeft aangekaart. Zo zijn zij ook gewapend.
Ik sluit een beetje aan bij de vraag van collega De Roo. VLAIO voorziet in een scan om te kijken hoe Vlaamse ondernemingen scoren op het vlak van cybersecurity. Dat bestaat uit een advies en een coachingtraject. De vraag is of deze scan ook beschikbaar zou kunnen worden gesteld van de Vlaamse overheidsdiensten en de lokale besturen. Ik dank u.
Minister-president Jambon heeft het woord.
Binnen het luik cyberveiligheid van de digitalisering zijn die zaken inderdaad ook voorzien voor Vlaamse overheden en lokale besturen. Dat gebeurt niet via VLAIO, wel via Digitaal Vlaanderen. Die mogelijkheden zijn er dus. Daar wordt ook informatie rond verspreid. Maar zoals zo vaak geldt ook hier: ‘You can lead a horse to the water but you can’t make him drink.’ Er wordt dus nog altijd een inspanning gevraagd van de betrokkene om daar effectief mee aan de slag te gaan.
De heer De Roo heeft het woord.
Inderdaad, men moet het paard effectief kunnen laten drinken. Maar ik denk dat het blijven wijzen op het belang van cyberveiligheid heel belangrijk is. Het zal misschien dwangvoederen zijn, om het slecht uit te drukken. Maar dat is iets wat hoog op de agenda staat, zeker met de verdere digitalisering. Maar ik heb er alle vertrouwen in dat daarin de noodzakelijke stappen worden gezet. Ik dank u voor uw antwoord.
De vraag om uitleg is afgehandeld.