Verslag vergadering Commissie voor Algemeen Beleid, Financiën, Begroting en Justitie
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
De heer De Roo heeft het woord.
Minister-president, op 7 december is een vrouw omstreeks 17 uur binnengedrongen in het Errerahuis. Volgens verklaringen in de pers kon ze daar tientallen minuten vrij rondlopen en filmpjes opnemen, onder andere in de zalen waar de Vlaamse Regering persconferenties geeft, en inloggen op een computer.
Omdat het onzeker was of er ook een veiligheidsrisico was, heeft de Vlaamse Regering op vrijdag 10 december dan ook op een andere locatie vergaderd.
Volgens berichtgeving ging het niet om een extremiste, maar wel over een activiste. We mogen op dat vlak misschien wel van geluk spreken.
Het beveiligen van de gebouwen en de digitale systemen van de Vlaamse overheid moet een prioriteit zijn. Het Vlaams regeerakkoord wil via het beleidsplan cybersecurity in Vlaanderen een weerbare digitale economie uitbouwen. Het kunnen binnendringen in een overheidsgebouw en gebruik kunnen maken van een computer op het netwerk is opnieuw een feit dat het belang van het inzetten op cyberbeveiliging onderstreept. Digitalisering en digitale veiligheid moeten steeds hand in hand gaan.
Vandaar dat ik enkele vragen heb voor u, minister-president.
Welke acties zult u ondernemen om de veiligheid en de kwetsbaarheid van overheidsgebouwen, medewerkers en digitale systemen te garanderen?
Welke conclusies trekt u uit het voorval waarbij een indringer zich toegang kon verschaffen tot het Errerahuis? In welke mate zal dit voorval aanleiding geven tot het doorlichten van de bestaande maatregelen rond de beveiliging van de gebouwen van de Vlaamse overheid?
Kunt u de feiten verduidelijken? Heeft de indringer de computer gehackt? Ging het over een gepland misdrijf? Op welke manier kon zij zich toegang verschaffen tot deze computer? Werd er informatie ontvreemd?
Op welke manier zijn onze overheidsgebouwen en ICT-systemen beschermd tegen het plaatsen van afluisterapparatuur of malware?
Minister-president Jambon heeft het woord.
Mijnheer De Roo, u vraagt welke acties we nemen om de veiligheid van de overheidsgebouwen, de medewerkers en de digitale systemen te garanderen.
Langs de ene kant willen wij een toegankelijk overheid zijn. Dat betekent dat er in de grote kantoorgebouwen kleine of grotere publieke ruimtes zijn waar de toegang vrij is. Door middel van een persoonlijke badge hebben de medewerkers van de Vlaamse overheid toegang tot de kantoorzone. Dat is dan de afgeschermde zone. Specifieke zones in deze afgeschermde zone zijn bijkomend beperkt toegankelijk, zoals technische ruimtes of zones toegewezen aan één specifieke entiteit, met een aantal bijkomende toegangsveiligheidsnoden. Een voorbeeld is Audit Vlaanderen in het Herman Teirlinckgebouw. Bezoekers kunnen na identificatie en registratie een tijdelijke bezoekersbadge ontvangen indien hun aanwezigheid in de afgeschermde zone vereist is. Zo niet, dan kunnen bezoekers in de publieke ruimte ontvangen worden. Recent, in oktober-november 2021, werd nog een visuele campagne gevoerd aan alle toegangen van de afgeschermde zones, voorzien van een badgelezer, waarin erop werd gewezen dat de persoonlijke Vlaamse overheidstoegangsbadge enkel persoonlijk mag gebruikt worden, en niet om een derde binnen te laten. U vindt dat op de webstek overheid.vlaanderen.be/niet-gezocht-poortjesglippers.
In de grote kantoorgebouwen zijn bewakingsagenten aanwezig, gedurende de hele dag, of op bepaalde dagdelen, afhankelijk van de noden in het gebouw, zoals die van de gehuisveste entiteiten en hun dienstverlening aan de maatschappij.
Het Errerahuis, daarover ging het voorval, is geen kantoorgebouw maar wel de ambtswoning van de minister-president.
Hier is geen toegangsbadgesysteem, maar een op de site inwonende conciërge. De Vlaamse Regering heeft op 15 oktober 2021 de strategie voor informatieveiligheid goedgekeurd. Een van de speerpunten hiervan is het verhogen van de digitale weerbaarheid van zowel de medewerkers als van de processen rond informatieveiligheid. Dit is een bestendiging van de activiteiten die de verschillende betrokken overheidsentiteiten nu al ondernemen om hun medewerkers bewust te maken van bepaalde veiligheidsrisico’s. In dit concrete geval waar de indringster zich toegang verschafte tot een laptop aanwezig in het Errerahuis, ging het om een gedeeld toestel dat uit voorzorg enkel toegang heeft tot een bezoekersnetwerk na het inloggen met een actief bezoekersaccount. Zij deed dit door in te loggen via een tijdelijk bezoekersaccount waarvan de gegevens, helaas, beschikbaar waren op een briefje aan de binnenzijde van de laptop. Het betrof hier een standalone-toestel dat niet verbonden is met het eigenlijke IT-netwerk van de Vlaamse overheid waardoor eventuele infecties met malware ook niet verder kunnen gaan dan het toestel zelf of het bezoekersnetwerk.
De Vlaamse overheid neemt vanuit haar rol als voorzichtige en redelijke eigenaar bijkomende veiligheidsmaatregelen op het IT-netwerk van de Vlaamse overheid alsook, in minder mate, op het bezoekersnetwerk van de Vlaamse overheid. Bepaalde sites en functies zijn geblokkeerd. Gebruikers hebben beperkte rechten op de machine en activiteiten die via deze verbinding gebeuren worden gelogd. Het Agentschap Digitaal Vlaanderen voert de monitoring uit op de IT-netwerken van de Vlaamse overheid om te verifiëren welke bedreigingen er zich kunnen voordoen en om daar ook onmiddellijk op te kunnen reageren als dat nodig is. In dit geval heeft de indringster in kwestie geen schade berokkend aan materiaal of aan de IT-infrastructuur.
In het nieuwe raamcontract zet het Agentschap Digitaal Vlaanderen extra in op het monitoren van onze verbindingen. Dit incident kunnen we gebruiken in onze toekomstige bewustwordingscampagnes om bepaalde veiligheidsrisico’s met concrete voorbeelden duidelijk te maken zonder daarbij te vingerwijzen. Dit soort voorbeelden met hoge zichtbaarheid helpt om bepaalde veiligheidsuitdagingen inzichtelijk te maken.
Dan wil ik antwoorden op de vraag welke conclusies ik trek uit het voorval in het Errerahuis.
Door miscommunicatie aan de toegangspoort van het Errerahuis stond deze poort open waarbij de conciërge in het gebouw taken aan het uitvoeren was en er dus niemand op het binnenplein aanwezig was. Er werden vernieuwde organisatorische afspraken gemaakt met betrekking tot het sluiten van de poort en de toegangsdeuren tot het gebouw met de conciërge, de dienst Protocol van het Departement Kanselarij en Buitenlandse zaken en met het Facilitair Bedrijf. De lopende aanpassingen aan het camerabewakingssysteem, waaronder een bouwaanvraag voor de plaatsing van extra camera’s op de geklasseerde buitengevel van het Errerahuis, worden verdergezet. Er loopt ook een marktbevraging voor aanpassingen aan het aansturingssysteem van de toegangspoort. Er wordt advies gevraagd aan de federale politie inzake de beveiliging van de gevoelige gebouwen van de Vlaamse overheid met ondersteuning van de verbindingsofficier politie bij de Vlaamse overheid. Er gebeurde een menselijke fout door die poort te laten openstaan.
Ik geef nog eens een verduidelijking van de feiten. De indringster heeft toegang gehad tot een toestel van de Vlaamse overheid dat niet verbonden is met het IT-netwerk Vlaamse overheid. Het gaat over een standalone-toestel dat onder andere gebruikt wordt voor toelichtingen bij persconferenties in het Errerahuis. Hierop heeft ze enkel toegang gehad tot het bezoekersnetwerk door middel van het gebruik van een gebruiksnaam en paswoord dat – en dat is een fout – zichtbaar aanwezig was. De persoon heeft dus eerder een account gebruikt dan dat ze een systeem gehackt heeft. De internetverbinding die ze tijdens haar inbraak heeft gebruikt was via haar eigen smartphone en dat heeft ze gebruikt om onder andere op sociale mediasites te gaan. Onderzoek wees uit dat de internetbrowser op het toestel van de Vlaamse overheid niet werd gebruikt en dat er dus via dat toestel geen internetverbinding gebruikt werd. Met haar toegang tot de Vlaamse overheid heeft ze een presentatie geopend en aangepast. Deze presentatie die dateert van juni 2021 stond op deze laptop om de audiovisuele installatie van het gebouw te testen in de dagen voorafgaand aan de onbevoegde overtreding. Hierin staat geen vertrouwelijke informatie. Voor zover we hebben kunnen vaststellen is er geen informatie ontvreemd die niet digitaal publiek toegankelijk is. We hebben geen enkel spoor kunnen vinden van een verdere inbraak in een fysiek of digitaal IT-systeem van de Vlaamse overheid.
Dan wil ik het hebben over de bescherming tegen afluisterapparatuur of malware. De opdeling van de gebouwen van de Vlaamse overheid in publieke en afgeschermde zones waartoe men enkel toegang krijgt via een medewerkersbadge of een tijdelijke bezoekersbadge zorgt ervoor dat deze afgeschermde zones beschermd zijn tegen de plaatsing van afluisterapparatuur.
Gebruikers van toestellen van de Vlaamse overheid hebben standaard zo weinig mogelijk beheerdersrechten op dat toestel. Dit belet onder andere dat ze ongeoorloofde of illegale software kunnen installeren. Enkel software die door de Vlaamse overheid als werkgever ter beschikking gesteld is, kan geïnstalleerd worden. Onze securityprovider monitort actief het IT-netwerk van de Vlaamse overheid om verdacht verkeer op te sporen. De firewall van dit netwerk blokkeert sowieso actief bepaalde schadelijke activiteiten, onder andere: malware, command and control, waarbij externe bronnen een toestel overnemen, en proxy avoidance, waarbij de proxy server omzeild wordt om eventuele controles te ontlopen.
De heer De Roo heeft het woord.
Bedankt voor uw antwoord. Het geeft wat verduidelijking van de feiten, en het stelt ook wat gerust, maar het geeft ook wat ongerustheid, door het feit dat dit kon gebeuren. U hebt aangehaald dat het ging om een menselijke fout. Zo’n dingen kunnen gebeuren, maar we hebben natuurlijk toch geluk gehad dat het hierbij bleef.
We hebben het er al eens over gehad: het nulrisico bestaat niet, en zeker niet wanneer het gaat over digitale systemen. Het is altijd zoeken naar een evenwicht tussen veiligheid en gebruiksgemak, zodat je vlot ergens kan inloggen en niet tien keer een uniek paswoord moet invullen, bij manier van spreken. Dat evenwicht tussen gebruiksgemak en veiligheid moeten we natuurlijk in het oog houden.
Ik ben tevreden dat u nieuwe afspraken hebt gemaakt voor het gebouw zelf, en ik hoop dat deze case ook gebruikt kan worden om de aandacht voor digitale en fysieke veiligheid binnen en buiten overheidsgebouwen verder te laten toenemen. Ik hoop vooral dat dit voorval een leerschool kan zijn, en een voorbeeld van hoe we veiligheid binnen Vlaanderen en binnen een overheidscontext hoog in het vaandel moeten dragen.
De vraag om uitleg is afgehandeld.