Verslag vergadering Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering
Verslag
– Een aantal sprekers nemen mogelijk deel via videoconferentie.
De heer Verheyden heeft het woord.
Voorzitter, minister, collega's, het gaat intussen over meer dan Antwerpen alleen, de stad Diest is ook getroffen. Op 6 december werd Antwerpen getroffen door een grootschalige, helaas blijkbaar succesvolle, cyberaanval die veel stadsdiensten trof en een groot deel van de dienstverlening platlegde. Enkele dagen later werd Diest dan aangevallen. Aanmelden op de stedelijke website van Antwerpen bleek niet meer mogelijk, evenmin als een afspraak maken. Ook bij de politie konden geen afspraken meer gemaakt worden. Het reservatiesysteem van de stedelijke musea lag plat. Het stedelijke Zorgbedrijf werd getroffen, waardoor medicatie manueel genoteerd moest worden in plaats van die in de computer in te geven. Ook het stedelijk onderwijs zou problemen ondervinden. In Diest werden de stedelijke diensten, de bibliotheek en het cultureel centrum getroffen. Beide steden zullen de komende weken nog moeilijkheden ondervinden.
Nochtans wordt er na een cyberaanval op de gemeente Willebroek in januari 2020 meer aandacht besteed aan de cyberveiligheid van de gemeenten. Uit de parlementaire debatten bleek toen immers dat het met de cyberveiligheid van de gemeenten slecht gesteld was en dat de beveiligingsrisico’s onvoldoende onder controle waren. U nam toen nieuwe initiatieven, minister, en maakte geld vrij voor de cofinanciering van audits in verband met de cyberveiligheid. Naast basisaudits van Audit Vlaanderen, waarvan Vlaanderen twee derde financiert, kunnen gemeenten ook bijkomende audits laten uitvoeren. Ook kunnen ethische hackers worden ingezet. In antwoord op een recente schriftelijke vraag gaf u nog een overzicht van de bestelde audits.
U hebt echter steeds wel aangegeven dat het garanderen van de cyberveiligheid in de eerste plaats de eigen verantwoordelijkheid van de gemeenten is. Opvallend is nu dat de grootste stad van Vlaanderen zo zwaar wordt getroffen. Nochtans liet u uitschijnen dat het cybersecurityprobleem er eerder een is van kleine gemeenten, waarbij u ook uw pleidooi voor fusies herhaalde. Uit cijfers die u verstrekte, blijkt dat de stad Antwerpen in 2021 een basisaudit had laten uitvoeren en in 2020 eerder al ethische hackers had ingezet. Blijkbaar volstonden deze audits of de daaropvolgende maatregelen niet om het lamleggen van een groot deel van de dienstverlening te voorkomen.
Bij de toelichting van de begroting 2023 liet u weten de steden en gemeenten verder te ondersteunen door het programma Cyberveilige Gemeenten verder te zetten en uit te breiden. In het kader van dit project wordt de Toolkit Cyberveiligheid verder uitgebouwd.
Minister, kunt u mij meedelen welke conclusies u desgevallend trekt uit de gebeurtenissen in Antwerpen?
Hoe reageert u op de vaststelling dat zelfs de grootste stad van Vlaanderen dan toch niet veilig blijkt te zijn voor succesvolle hacking en het lamleggen van de stedelijke dienstverlening, alhoewel u eerder suggereerde dat grotere gemeenten beter gewapend zijn?
Kunnen bepaalde lessen getrokken worden uit deze cyberaanval en de gevolgen ervan voor de stedelijke dienstverlening?
Welke bijkomende initiatieven neemt u desgevallend om de cybersecurity van onze steden en gemeenten te verzekeren?
Minister Somers heeft het woord.
Mijnheer Verheyden, ik dank u voor de zeer actuele en pertinente vraag. Antwerpen en Diest zijn geen daders maar slachtoffer van internationale georganiseerde criminaliteit. Men probeert via digitale chantage geld af te persen van lokale besturen. Men probeert dat ook bij bedrijven en private personen. Het is een opkomend fenomeen, een nieuwe vorm van criminaliteit, die confronterend is maar niet eigen aan ons land. Steden, gemeenten, overheidsinstellingen, private organisaties, privépersonen worden slachtoffer van die praktijken. Dat is verontrustend. Het zal de komende jaren niet verminderen. We moeten ons daarop organiseren. Dat is een eerste belangrijke bedenking. Hoe meer we kiezen voor een digitale samenleving en dienstverlening, met al hun voordelen, hoe meer we op een professionele manier gaan moeten investeren in cyberveiligheid.
Een tweede belangrijk uitgangspunt is: als je het succes van een lokaal veiligheidsbeleid van een burgemeester afmeet aan de vraag of er nog inbraken geweest zijn of niet, dan zal elke burgemeester gebuisd zijn, waar ook ter wereld. Zelfs als een burgemeester heel veel inspanningen doet om criminaliteit te voorkomen en daarin investeert – preventief, politioneel, repressief –, dan nog zullen er feiten zijn. Dat is eigen aan de menselijke samenleving. Het menselijke genie, ook van hen die te kwader trouw zijn, is dusdanig groot dat men altijd op zoek zal gaan naar mogelijkheden om ergens binnen te geraken. Bovendien zijn er aan de andere kant ook altijd menselijke fouten, tekortkomingen en onvolmaaktheden die dat toelaten.
Ik wil dus niet meestappen in het verhaal dat als een persoon of organisatie gehackt wordt, dit automatisch betekent dat er geen of onvoldoende inspanningen zijn gebeurd voor beveiliging. Als burgemeester ken ik burgers die zich zeer goed beveiligd hebben en waar men toch in de woning is binnengeraakt.
Ten derde: Audit Vlaanderen zegt dat er een gradatie is in kwetsbaarheid. Kleinere gemeenten zijn gemiddeld kwetsbaarder voor cyberaanvallen dan grote. Waarschijnlijk zullen criminelen zich, vanuit opportunistisch winstbejag, wel gemakkelijker richten op grote steden. U weet dat het begonnen is met Willebroek. Dat is geen grootstad. Dan was er de politie van Zwijndrecht, als ik het goed heb. Dan de grootstad Antwerpen, en nu de stad Diest. Ik denk dat we moeten beseffen dat we allemaal kwetsbaar zijn.
Wat hebben we gedaan bij Antwerpen en Diest? Bij beide incidenten staan Audit Vlaanderen, onze adminstratie Agentschap Binnenlands Bestuur (ABB), Digitaal Vlaanderen en de Vereniging van Vlaamse Steden en Gemeenten (VVSG) klaar voor ondersteuning. Digitaal Vlaanderen nam trouwens al contact op, zowel met Diest als met Antwerpen.
De twee aanvallen volgden elkaar snel op en het is niet uitgesloten dat er, misschien zelfs vandaag al, in andere stedelijke digitale infrastructuur inbraakpogingen zijn geweest. Misschien is men al ergens binnengekropen en wacht men het juiste moment af. Vaak wacht men vakantieperiodes of weekends af. Vooral eindejaarsperiodes worden geviseerd door deze georganiseerde misdaadbendes. Daarom heb ik beslist om een warroom op te richten. We hebben daar een meer officiële naam voor: het ‘cyber response team’. Dat bundelt de expertise binnen de Vlaamse overheid en zorgt voor een gecoördineerde dienstverlening en communicatie naar de lokale besturen toe. In de eerste plaats zijn dat de lokale besturen die het slachtoffer zijn van een cyberaanval.
Onder andere het Agentschap Binnenlands Bestuur, Audit Vlaanderen, Digitaal Vlaanderen en de VVSG maken hier deel van uit. Op mijn vraag zal ook het federale Centre for Cyber Security Belgium (CCB) hieraan meewerken en al zijn kennis en expertise ter beschikking stellen. Ik heb daarvoor contact opgenomen met zowel de minister van Justitie als de eerste minister.
Er is op dit moment nog onvoldoende duidelijkheid over de reikwijdte en de impact van de cyberaanvallen. Zowel in Antwerpen als in Diest heeft het parket een onderzoek geopend.
Het is belangrijk dat de bevoegde diensten en IT-professionals hun werk kunnen doen om het digitaal forensisch onderzoek ten gronde uit te voeren en zo snel mogelijk minimale dienstverlening aan de inwoners te waarborgen.
Wat we wel al weten, is dat hackers in het geval van Antwerpen onder andere gebruik gemaakt hebben van kwetsbaarheden in het ICT-systeem die ook al naar boven kwamen in cyberveiligheidsaudits die reeds werden uitgevoerd. Er zijn audits gebeurd en die hebben op een aantal kwetsbaarheden gewezen. Het is evident dat je dat probleem niet van vandaag op morgen opgelost hebt. Er is een stappenplan gemaakt, en men was volop bezig om die stappen te zetten.
We hebben alle lokale besturen hier gisteren in hoofdlijnen nog rond geïnformeerd. Ten laatste tegen morgen wordt aan alle lokale ICT-medewerkers een checklist bezorgd waarmee ze aan de slag kunnen gaan om de belangrijkste kwetsbaarheden te remediëren. Die checklist zal door de Vlaamse overheid ook worden bezorgd aan de ICT-dienstenleveranciers, degenen die de producten maken en leveren, want ook zij hebben hierin een verantwoordelijkheid.
Later deze week volgt er nog een informatiesessie met alle ICT-medewerkers van alle lokale besturen om hen uit te leggen wat er juist gebeurd is in Antwerpen en Diest. Er kan dan in een meer technische taal met die mensen gecommuniceerd worden. Er wordt hun gezegd wat ze eraan kunnen doen, en wat wij vanuit Vlaanderen aanbieden ter ondersteuning. Zodra er meer duidelijkheid is over de aard, reikwijdte en impact van de cyberaanvallen in Antwerpen en Diest, kunnen ook daaruit conclusies en lessen worden getrokken, die ook gedeeld zullen worden.
De incidenten tonen nogmaals – en dat is het antwoord op de derde vraag – de urgentie van cyberveiligheid aan, en het belang van de inspanningen die lokale besturen nu al leveren om zich voor te bereiden op dergelijke incidenten. Het is juist, het zijn niet alleen kleine besturen die daar slachtoffer van kunnen zijn, maar Audit Vlaanderen heeft wel gezegd dat kleine besturen extra kwetsbaar zijn, dus daar moet men extra inspanningen doen. Regelvorming en ICT-pooling kunnen ter zake zeker helpen.
Welke bijkomende initiatieven nemen we? We moeten aan de lokale besturen zeggen dat ze eerst en vooral zelf verantwoordelijk zijn voor hun ICT-veiligheid, hun informatieveiligheid en organisatie- en risicobeheer en dat Vlaanderen hen daar zoveel mogelijk in bijstaat. We doen dat op vier pijlers.
Een, sinds 2020, na het incident in Willebroek, voert de VVSG in mijn opdracht het programma Cyberveilige Gemeenten uit. In dat programma werken we met concrete tools, handvatten en draaiboeken die de cyberveiligheid van gemeenten moeten versterken. In 2023 zet ik verder in op de verspreiding van de digitale toolkit cybersecurity, die in dat kader ontwikkeld werd door de VVSG, door middel van brede communicatie- en sensibiliseringscampagnes, die trouwens ook al plaatsgevonden hebben in het verleden. In samenwerking met de VVSG en ABB wordt deze toolkit in 2023 verder uitgebreid met bijkomende tools. Want dat is altijd updaten, men ontdekt nieuwe dingen, altijd versterken. Dat is ‘work in process’.
Ten tweede wordt ook het traject ethisch hacken verdergezet. De afgelopen jaren namen in totaal al 138 besturen deel aan dit traject, waarbij ethische hackers van de hogeschool Howest lokale besturen helpen om hun cyberveiligheid te versterken. We gebruiken de creativiteit, de innovatie van de jonge, vaak ook gedreven ICT’ers om in beveiligde omgevingen en in een duidelijk afsprakenkader dingen te doen die ze normaal niet mogen doen om te kijken hoe kwetsbaar het is.
Ten derde heb ik in 2020 een budget van 2 miljoen euro vrijgemaakt voor de cofinanciering van lokale cyberveiligheidsaudits. Dit traject loopt in samenwerking met Audit Vlaanderen. Op dit moment kunnen lokale besturen hun informatiesystemen nog steeds laten doorlichten door professionele auditfirma’s met cofinanciering van Audit Vlaanderen. Ik voorzie daar nog eens 200.000 euro extra voor in 2023. De afgelopen 2 jaar hebben 144 lokale besturen hiervan gebruikgemaakt. Daarjuist heb ik gezegd dat 138 besturen deelnamen aan het traject ethisch hacken, 144 lokale besturen hebben gebruikgemaakt van het aanbod voor hun audit. Als je de twee samentelt – ze overlappen voor een stuk – zitten we op iets meer dan twee derde van de gemeenten die ofwel een audit gedaan hebben ofwel zich hebben laten hacken, ofwel de twee samen. Er is dus toch – we mogen dat niet onderschatten – een bereidheid van de gemeenten om daaraan mee te werken.
Uit de evaluatie van de reeds uitgevoerde cyberveiligheidsaudits blijkt dat de meeste lokale besturen vandaag onvoldoende kunnen garanderen dat bij een zwaar incident de belangrijkste dienstverlening binnen een redelijke termijn van enkele dagen kan worden hervat. Ik overloop de vaststellingen uit de 144 audits in mensentaal – ik moet dat ook laten vertalen, ik ben geen ICT-nerd of -kenner. (Gelach)
Dat mogen we zeggen, dat is niet beledigend. De mensen vinden dat zelf ook een eer. Dat is een geuzennaam.
De vaststellingen zijn: verouderde en kwetsbare software, te open rechten op gevoelige informatie, gemakkelijk te raden inloggegevens op gevoelige systemen, beperkte netwerkbeveiliging, het hergebruik van wachtwoorden op geprivilegieerde systeemaccounts, zwakke wachtwoorden geïdentificeerd, onveilig beheer van geprivilegieerde accounts, het hergebruik van leverancierswachtwoorden, zwakheden in het wachtwoordbeleid – heel vaak relatief eenvoudige dingen –, misconfiguraties op gebruikersaccounts en geen of geen volwaardig bedrijfscontinuïteitsplan. Dat blijkt uit de audits van firma’s zoals Deloitte, dus van ernstige firma’s.
Bij de lokale besturen weerklinkt meer dan ooit de vraag naar concrete ondersteuning voor het opzetten van beheersmaatregelen. Daarom heb ik samen met minister-president Jambon, verantwoordelijk voor het ICT-beleid van Vlaanderen, de voorbereidingen getroffen voor een nieuw project, waarbij we ervoor zorgen dat de lokale besturen beschikken over de tools om bij zo'n zwaar incident zo snel mogelijk opnieuw op te starten. Het doel van dit project is om lokale besturen de mogelijkheid te geven om minimale dienstverlening zo snel mogelijk te hervatten in een noodcloudomgeving. Concreet zetten we in op een ondersteuningsaanbod om een cloudlandingszone voor te bereiden en te testen, zodat lokale besturen eenvoudig en snel een noodcloudomgeving kunnen inschakelen wanneer een incident zich zou voordoen.
Om dit te realiseren wordt samengewerkt met Digitaal Vlaanderen en wordt een budget van 1,25 miljoen euro voorzien, via een herbestemming van onbenutte middelen. Dit dossier moet nog goedgekeurd worden door de Vlaamse Regering, maar ik ben er zeker van dat de collega-ministers de urgentie van de problematiek inzien, zoals de cases bij de stad Antwerpen en Diest aantonen.
Conclusie: de sporen die we enkele jaren geleden gestart hebben, zijn meer dan nuttig. We zetten die verder. Ik verwacht echter van lokale besturen dat ze ook hun verantwoordelijkheid nemen en gebruikmaken van het huidige aanbod. De incidenten in Antwerpen en Diest tonen aan dat we meer moeten doen als Vlaamse overheid. Dat is evident, je moet altijd meer doen. Dat doen we ook met dit digitaalresponsteam, dat volop samengesteld wordt en eigenlijk al aan de slag is en de samenwerking met Digitaal Vlaanderen die wordt opgestart om tot een cloudlandingszone te komen.
De heer Verheyden heeft het woord.
Dank u wel, minister. Het is een hele boterham, maar de wereld van de IT is dan ook bijzonder uitgestrekt en heeft nog heel veel kantjes die we allemaal niet kennen.
U hebt heel veel antwoorden gegeven. Ik ben het met u eens dat die cyberaanvallen een verontrustende tendens zijn, waarvan ik vrees dat die enkel nog zal toenemen. Hoe meer digitalisering, hoe meer zwakheden kunnen worden gedetecteerd. Ik heb wel de indruk dat u een beetje de zwartepiet naar mij wilt doorschuiven omdat ik zou beweren dat de steden en gemeenten die getroffen zijn, daders zouden zijn. Ik heb nooit gezegd dat dat daders zijn. Uiteraard zijn dat slachtoffers. Daar gaat het niet over. Uiteraard deel ik ook de mening dat er al veel inspanningen geleverd zijn. Zoals ik zei, zullen er zich nog steeds cyberaanvallen blijven voordoen. Ik denk dat we daar alvast op dezelfde golflengte zitten. Maar ik heb toch de indruk dat er nog altijd heel veel gemeenten zijn die de ernst van de situatie niet helemaal erkennen. Het is goed dat u op Vlaams niveau de zogenaamde warroom aankondigt om die lokale besturen te ondersteunen. Het is goed dat dat effectief zal worden uitgerold, hopelijk zo snel mogelijk. Het is goed dat u gaat samenwerken op interfederaal niveau. Maar ik heb toch wel ergens een vrees. Daar zal heel wat overleg aan voorafgaan en heel wat coördinatie om de hoek komen kijken. Ik vrees dus dat het wel eens wat meer tijd zou kunnen vragen dan we misschien denken vooraleer die warroom effectief operationeel en op volledige sterkte is. Ik hoop dat we op dat ogenblik weer niet achter de feiten aan moeten hollen.
Het lijkt er in elk geval op dat de cyberaanvallen moeilijk tegen te houden zijn, zelfs met de nodige beveiliging. Maar ik denk dat we in de noodplannen nog in onze kinderschoenen staan wat betreft back-ups en dergelijke. U zegt dat u die noodcloud gaat uitrollen. Daar lopen we toch weer een beetje achter, denk ik. Ik hoop dat dat binnen een vrij snelle termijn kan worden uitgerold. Hebt u enig idee wanneer dat effectief op sterkte zal zijn en wanneer de gemeenten effectief van die mogelijkheden gebruik kunnen maken?
De heer Van Miert heeft het woord.
Minister, ik wil u danken voor de uitgebreide duiding die u geeft. Het stemt mij redelijk optimistisch dat er heel ernstig wordt gekeken naar het problematische hacken van onze diensten. Ik had een heel aantal vragen voor u opgeschreven, maar de meeste daarvan hebt u duidelijk beantwoord. Dat geeft alleen maar aan dat er ernstig mee wordt omgegaan en dat de urgentie en de zware gevolgen van een hack in een openbaar bestuur zeker niet worden onderschat en heel au sérieux worden genomen.
Eerst en vooral is er dat cyber response team. Ik denk dat het noodzakelijk zal zijn om dat de volgende jaren heel intensief uit te bouwen. Wat we nu zien, gaat niet stilstaan. Die mensen die Antwerpen bijvoorbeeld gehackt hebben, zullen ook weer nieuwe stappen kunnen ondernemen om de beveiligingen van de openbare besturen weer te gaan omzeilen. Minister, bouw dat cyber response team uit en blijf het uitbouwen, want dit lijkt me niet te gaan stoppen.
Mijn belangrijkste vraag aan u, minister, is een draaiboek over wat een gemeente moet doen op de dag dat men beseft dat er is gehackt. Ik heb begrepen dat u daar die 1,25 miljoen euro voor gaat uittrekken. Ik denk dat we daar echt wel nood aan hebben. Zeker de kleine gemeenten, die meestal niet over een groot IT-team beschikken, hebben er echt nood aan om te weten wat ze moeten doen als er zoiets gebeurt. Daar moeten we een zware ‘effort’ voor doen.
Tot slot verbaasde het mij dat u zegt dat 144 gemeenten gebruik hebben gemaakt van die cyberaudit. Dat is ongeveer de helft. Ongeveer de helft doet het dus niet. Ik vind het een raar gegeven. Minister, gaat u nog iets doen om die mensen extra aan te porren om toch de zaken dringend aan te pakken, een audit te doen en zich te laten begeleiden in heel deze problematiek?
De heer Van de Wauwer heeft het woord.
Minister, dank u voor uw uitgebreid antwoord, en collega Verheyden, dank voor deze interessante vraag.
Minister, u hebt in uw beleids- en begrotingstoelichting het belang van die cybersecurity heel erg benadrukt. Dat is inderdaad een nieuw opkomend fenomeen, dat aantoont dat een overheid heel kwetsbaar kan zijn voor criminele hackers. Ik ben heel blij dat u al contact hebt gehad met uw federale collega's en hen hierin hebt betrokken. Als zelfs de grootste stad van Vlaanderen hiervan het slachtoffer kan zijn, dan betekent dat dat geen enkel lokaal bestuur zich nog echt veilig kan wanen.
Minister, u hebt aangegeven hoe u al met de stad Antwerpen hebt nagegaan wat de zwakke plekken waren. Ik vroeg me af welke rol het Vlaamse cyber response team specifiek nog zal krijgen in het verder detecteren van de oorzaken van deze specifieke aanval en welke lessen daar mogelijk uit kunnen worden getrokken, zowel voor Antwerpen vandaag als in de toekomst.
Enerzijds is er cyberveiligheid, preventief, en anderzijds is er ook reactief optreden indien een gemeentebestuur slachtoffer is geworden van zo’n aanval. U hebt verwezen naar het initiatief dat u samen met de minister-president hebt opgezet. Ik denk dat dat nodig is. U spreekt over de noodcloudomgeving. Dat kan Antwerpen vandaag niet onmiddellijk helpen, denk ik, als we kijken naar de tactiek die deze hackers gebruiken. Het gaat niet over het al dan niet hebben van een back-up van alle gegevens. Nu wordt er gedreigd met het lossen van data, het organiseren van een datalek, in ruil voor losgeld. Wat kan de reactie vanuit de Vlaamse overheid hierin zijn? Hoe kunt u Antwerpen daarin verder ondersteunen? Ik vraag me af welke rol dat cyber response team daar specifiek voor Antwerpen eventueel nog kan hebben.
De heer Annouri heeft het woord.
Collega Verheyden, dank u wel om de vraag te stellen en dank u wel, minister, voor uw antwoorden.
Ik wil toch benadrukken dat wat er vandaag gaande is in Antwerpen, een gigantische impact heeft. De digitale dienstverlening ligt gewoon plat, en dat heeft heel vergaande gevolgen. Om een voorbeeld te geven: er zijn mensen die sorteerstraatjes hebben waar ze hun afval naartoe kunnen brengen. Dat moet men digitaal opladen om te kunnen gebruiken. Dat kan vandaag niet. Oké, dan wil men misschien zijn afval naar het containerpark brengen. Dat kan vandaag ook niet. Dat is misschien oké voor een week of twee, maar op termijn – het ziet er niet naar uit dat het snel opgelost zal zijn – kan dat vergaande gevolgen hebben voor bijvoorbeeld hygiëne. Dat zijn nog maar de lichte verhalen. Er zijn ook mensen die een afspraak moeten maken over identiteit of die bij de stadsdiensten moeten zijn voor dringende zaken. Denk aan de hele discussie die we hebben gehad over vingerafdrukken toevertrouwen. In een worstcasescenario, waar vanochtend heel wat experten over spraken, kunnen die persoonsgegevens gebruikt worden. Weet dan dat identiteitsfraude vandaag een van de meest mogelijke gevaren is voor heel wat Antwerpenaren. Collega’s, de gevolgen zijn dus gigantisch.
Minister, u maakte de vergelijking met lokale veiligheid en inbreken in een woning, maar dat is niet helemaal hetzelfde. Dit is geen woning, dit is een loods, een archief waar gigantisch veel gevoelig materiaal ligt, en die beveiligt men op een heel andere manier dan een woning, natuurlijk. Als er wordt ingebroken in uw persoonlijke laptop of in uw woning is dat dramatisch. Maar men kan inbreken in een loods. Die beveiligt men op een andere manier, met badges en allerlei camera's om ervoor te zorgen dat er veel minder op ingegrepen kan worden. Die digitale strijd zijn we vandaag aan het verliezen. Dat is niet om met de vinger te wijzen, dat is gewoon een simpele, nuchtere analyse die we allemaal moeten maken.
Het gaat voor mij niet over de bereidheid van de lokale besturen om hieraan mee te werken. Het is goed dat er een audit is gebeurd, ook in Antwerpen in 2020. Ik denk dat iedereen doorheeft dat we een en ander moeten doen. Het gaat wel over de urgentie en de gigantische gevolgen die dat met zich kan meebrengen. De afgelopen jaren hebben we hier discussies gehad, niet alleen over de lokale besturen maar ook over bedrijven en medische labo's die gehackt worden. Er is dus een urgentie die ik voor een deel mis en waar vandaag veel harder op moet worden ingezet.
Dit gezegd zijnde, is mijn eerste vraag in dezen, los van wat er in volgende termijn zal gebeuren: heel wat Antwerpenaren, mensen uit Diest, en wie weet wie nog slachtoffer kan zijn … Wat zijn hun rechten als slachtoffer? Zal Vlaanderen daar lokale besturen in bijstaan of niet? In die zin is mijn vraag: stel je voor dat je persoonlijke gegevens zijn gestolen, word je daar dan van op de hoogte gebracht? Zal Vlaanderen daar een rol in spelen? Zullen die mensen informatie krijgen over wat ze daar dan tegen moeten doen? Zal Vlaanderen daar een rol in spelen?
Vanmorgen heb ik gelezen dat het gigantisch veel geld kost voor een lokaal bestuur, als je daar zelf in wilt tussenkomen. Of zullen we gewoon aan mensen zeggen dat hun gegevens gestolen zijn? Dat ze zelf een aanvraag moeten invoeren, dat ze zelf opnieuw al hun documenten moeten aanvragen, en daar zelf de kosten van moeten betalen? Ik neem aan dat dat niet de bedoeling is. Zult u als Vlaanderen de lokale besturen laten opdraaien voor die kosten, of zal Vlaanderen daar ook in tussenkomen?
Mijn eerste reeks vragen gaat dus vooral over wat er op dit moment zal gebeuren voor de slachtoffers die er zijn.
De heer Veys heeft het woord.
Het is op zich wat onwezenlijk om over een zaak die nog loopt te discussiëren. We kijken natuurlijk allemaal angstvallig uit naar maandag. Hoe zal dit aflopen? Dan verwijs ik naar maandag, de dag waarop die hackers de gegevens dreigen te publiceren, als ik mij niet vergis. Ik denk dat het heel duidelijk is, collega’s, en ik hoor dat ook bij jullie allemaal: het slachtoffer hier is de burger, de burger die zijn of haar persoonlijke gegevens dreigt naar buiten te zien komen. Ik denk dat dat de vraag is die iedereen in Vlaanderen vandaag bezighoudt: zijn onze gegevens veilig? Maar bij gevolg ook: zijn wij veilig? Worden we voldoende beschermd door onze overheid? En de vraag die de Vooruitfractie zich fundamenteel stelt is: hoe zorgen we dat al die andere gemeenten ook die audits doen? Ongeveer de helft heeft nog geen audit gedaan.
Maar de vraag die ik mij ook stel is: is die audit voldoende? Want Antwerpen en Diest – ik zie u knikken, minister – hebben die audit gedaan. In een vorig debat over deze kwestie, weet ik dat collega Vande Reyde, die ook schepen is in Diest, zei dat hij met zijn lokaal bestuur meteen had ingetekend op die audits. Dus zelfs de lokale besturen die de veronderstelde audits doen, zijn niet 100 procent veilig. Dat gaf u ook aan. U verwijst naar de verantwoordelijkheid van de gemeenten, en dat klopt ook, maar wij lezen in de krant dat die gemeenten communiceren via sleutels. Het is zo beschreven. Dat is om met andere overheidsdiensten te kunnen communiceren.
En dat leidt me al meteen tot mijn volgende vraag. Want als Antwerpen in verbinding staat met andere gemeenten, en via die weg andere gemeenten getroffen kunnen worden, dan wordt dit niet enkel het probleem van het stadsbestuur van Antwerpen, maar ook van andere gemeentebesturen. Met andere woorden: het wordt ons probleem in Vlaanderen. Het wordt uw probleem als verantwoordelijke minister voor de lokale besturen. U hebt verschillende zaken aangegeven, de stappen die u zult zetten. Maar mijn fundamentele vraag is: is die audit voldoende om alle risico’s te detecteren? Is die audit in combinatie met de ethische hackers al voldoende? Dit is continu in ontwikkeling. We moeten nieuwe stappen zetten.
Dan heb ik nog enkele andere vragen, minister. De 2 miljoen euro die u voorzag voor de audits, is dat besteed geweest? U zal daar 200.000 euro bij steken. Is dat voldoende om al die andere gemeenten te laten intekenen? En dan een heel fundamentele vraag: er is de NIS-2-richtlijn (Network and Information Security) in Europa, die een standaard voor cybersecurity oplegt. Kunt u mij bevestigen of er op vraag van Vlaanderen een uitzondering is gemaakt om de strengste EU-cybersecuritynormen toe te passen op de lokale besturen? En is Vlaanderen die mening nog altijd toegedaan? Want in deze situatie lijkt me dat toch geen verstandige keuze te zijn, om ervoor te opteren om onze lokale besturen niet te laten voldoen aan de strengste securitynormen die door Europa vooropgesteld worden.
De heer Warnez heeft het woord.
Collega’s, het is inderdaad een van onze grootste nachtmerries dat onze data niet meer veilig zijn bij de overheid. We mogen daarbij onze ogen zeker en vast niet sluiten. Als we dan horen dat de realiteit is dat een op de drie gemeenten niet intekent op het aanbod van Vlaanderen … Er zullen ook wel gemeenten zijn die op zichzelf bezig zijn met de cyberveiligheid van hun bestuur, maar er zijn er zeker ook die daar niet mee bezig zijn, en dat baart me wel wat zorgen.
U hebt het terecht vergeleken, minister, met de gewone criminaliteit in een huis, en de inbraken die er daar zijn. Maar toen wij vanochtend vertrokken zijn aan onze woning, dan hebben we ons omgedraaid en de sleutel in het slot gestoken, om zeker te zijn dat het wel een degelijk slot is. Iedereen kan daar misschien met een koevoet binnen, maar we zijn ervan overtuigd dat het een redelijk slot is. En als bepaalde steden en gemeenten daar dan vandaag toch niet mee bezig zijn – want dat zal ook zo zijn –, dan baart me dat wel zorgen. En dan vraag ik me af: moeten we op een bepaald moment niet nog een stap verder gaan en bijvoorbeeld een driejaarlijkse cyberveiligheidscontrole verplichten, uiteraard met financiering van de Vlaamse overheid?
Maar de tweede realiteit is ook correct, namelijk dat we niet elke hacking kunnen vermijden. Het is ook niet de eerste keer dat we het hierover hebben. Ik denk zelfs dat een van mijn eerste actuele vragen daarover ging. En dan zien we dat heel wat steden en gemeenten geen plan hebben voor als zij gehackt worden. En het is goed dat u initiatieven neemt, minister, maar eigenlijk heeft de VVSG, onder uw impuls, al een aantal modellen voorzien om een businessimpactanalye en een businesscontinuïteitsplan op te maken. Dus die modellen zijn er. Ik heb die zelf in mijn eigen lokaal bestuur ook opgemaakt. Dat is relatief eenvoudig te doen. Wat in noodsituaties? Mijn vraag is of dat nu de eerste stap is, voordat we zelfs naar een noodcloudstation overschakelen. Elke gemeente zou zo’n businessimpactanalye en een businesscontinuïteitsplan in haar lokaal bestuur moeten hebben.
De heer Van den Heuvel heeft het woord.
Ik wil me aansluiten om te benadrukken hoe belangrijk die problematiek bij de lokale besturen is. De urgentie is hier al een paar keer uitgesproken. Dat moet worden benadrukt, zowel vanuit Vlaanderen als bij de lokale besturen. Het is nodig dat Vlaanderen, ondanks de inspanningen die de minister heel uitgebreid heeft opgesomd, nog een tandje bij steekt. Niet ieder lokaal bestuur doet even grote inspanningen. Er moet nog meer gesensibiliseerd worden, zowel op het preventieve als het reactieve vlak. Er moet een mooi draaiboek komen om lokale besturen bij te staan. Maar men moet lokale besturen vooral van het preventieve luik overtuigen. Ik merk ook bij mijn eigen lokaal bestuur dat, wanneer men vanuit ICT beveiligingstopics lanceert, daar door de verschillende diensten niet altijd even enthousiast op wordt gereageerd. De mensen van ICT-beveiliging moeten geduldig te werk gaan om iedereen te overtuigen mee te stappen in de veiligheidsregels.
Minister, daarom denk ik dat, als de wortel niet helpt, we ook even moeten zoeken hoe we de stok kunnen hanteren om elk lokaal bestuur ervan te overtuigen dat dit heel ernstig is en dat ze het preventieve luik absoluut moeten bewaken.
Tot slot, minister, wanneer ik het debat aanhoor, is dit een heel belangrijk en intens onderwerp. Ik wil wel waarschuwen niet in de val te trappen om van de slachtoffers daders te maken. Alle gemeentebesturen doen inspanningen. Laat ons niet in de val trappen om te veroordelen. De daders blijven nog altijd de daders, en dat zijn de hackers.
Minister Somers heeft het woord.
Collega’s, ik sluit mij bij dit laatste volkomen aan. We zitten met criminele, internationale organisaties die slachtoffers maken. We moeten heel scherp onder ogen zien dat we niet in een unieke situatie zitten. In alle ons omringende landen worden overheden gehackt, in de Verenigde Staten, in Canada, in Duitsland, in Groot-Brittannië, overal. Het gaat om overheidsinstellingen, private bedrijven, verenigingen en personen. Dat is een uitdaging waar iedereen mee geconfronteerd wordt.
We mogen elkaar ook niet wijsmaken dat we door audits te organiseren, door draaiboeken op te stellen, door investeringen te doen, door beveiligingsmaatregelen te nemen, 100 procent veiligheid kunnen garanderen. Dat was de vergelijking die ik wilde maken, mijnheer Annouri. Dat is een belangrijke vergelijking omdat je anders jezelf, maar vooral de burger, dingen wijsmaakt. De vergelijking met een huis gaat in deze mate wel op. Een inbraak in je woning – ik wens het u niet toe, ik heb het zelf ooit meegemaakt – is heel confronterend en heel ingrijpend. Zo is inbreken op een gemeentehuis ook heel ingrijpend. U hebt daarover heel terecht gezegd en benadrukt dat de organisaties en de burgers die daarachter zitten, de slachtoffers zijn. We moeten ons de vraag stellen hoe we dat zo maximaal mogelijk kunnen voorkomen.
Een volgende kritische opmerking is dat wij in deze commissie heel vaak zeggen dat we lokale besturen niet mogen overladen met regels en dwang. We moeten responsabiliseren en vertrouwen hebben in de lokale besturen. We moeten helpen, ondersteunen, aanreiken, maar niet nog eens regeltjes en procedures instellen. Daar hebben ze lak aan, dat zijn ze beu. Ook daarin moeten we een bepaalde filosofie van verantwoordelijkheid durven blijven volgen. De heer Warnez zegt dat mensen hun deur dicht en op slot moeten doen, dat zij ervoor moeten zorgen dat hun deur goed gesloten is. Wat doet een lokaal bestuur? Een goed lokaal bestuur heeft een preventiedienst, geeft preventietips, waarschuwt, informeert, subsidieert misschien zelfs hier en daar preventieve maatregelen die mensen kunnen nemen om hun huis te beveiligen. Maar ze gaan mensen niet verplichten om op een welbepaalde manier hun huis te beveiligen. Elke vergelijking loopt mank, maar toch verwijs ik naar de relatie tussen de Vlaamse overheid en de lokale besturen. Wij informeren, wij geven tips, wij geven tools, wij subsidiëren tools, wij waarschuwen, wij geven back-up, wij komen zelfs ter plaatse. Maar uiteindelijk is het de eindverantwoordelijkheid van een lokaal bestuur om daar goed mee om te gaan. We mogen dat niet uit het oog verliezen.
In de audits die we gedaan hebben – en dit is ook gericht aan collega Veys en collega Verheyden – werd wel degelijk gesproken over zaken. Ik ga op dit moment – dat mag u me niet vragen – geen uitspraak doen over de individuele dossiers van Antwerpen en Diest. Daarover is een gerechtelijk onderzoek bezig. ICT-mensen zijn aan het bekijken hoe het precies is kunnen gebeuren. Maar het is wel zo dat zowel Antwerpen als Diest die audit gedaan hebben en daardoor ook geconfronteerd werden met de gebreken. Men was daarmee bezig. Het is niet zo dat alle aanbevelingen van die audits van Antwerpen en Diest al volledig gerealiseerd waren. Je mag ook niet vragen aan een bestuur om dat onmiddellijk te doen. Dat vraagt tijd. Die audits zullen ook altijd geüpdatet worden, want we leren ook uit elke hacking. Uit elke hacking komen nieuwe elementen die worden meegenomen voor de verdere beveiliging. Dat is ook de reden waarom je als private persoon regelmatig updates krijgt van je eigen beveiligingssysteem van je eigen private account. Daar moet altijd verder op gewerkt worden.
Dat is ‘work in progress’ en dat zal altijd zo blijven. Het is inderdaad het gevecht tussen de aanvaller en de verdediger. Dat is het verhaal van de pijl en de boog, van de muur en het kanon. Op een hogere muur volgt een groter kanon. Dat is exact hetzelfde als wat we hier doen. We trekken een verdedigingsmuur op, maar uiteraard gaan criminelen proberen die te doorbreken. Wat we kunnen doen, is het veel moeilijker maken, het bijna onmogelijk maken. Maar beloven dat we het helemaal onmogelijk maken, is niet mogelijk.
Mijnheer Verheyden, u uit uw bezorgdheid over de samenwerking tussen Vlaanderen en het federale niveau. U vraagt of dat niet lang zal duren. Ik moet u in dezen een beetje tegenspreken. Ze zitten al samen, ze zijn al aan het samenwerken. De communicatie van gisteren was al een communicatie van het cyber response team. Vanaf donderdag zal het cyber response team ook bereikbaar zijn via mail, via cyberresponse@vlaanderen.be. Vrijdag geeft het cyber response team info aan alle ICT-medewerkers van alle Vlaamse gemeenten. We zorgen ervoor dat er een SPoC komt, een single point of contact, om het eenvoudig te maken. Ik denk dat we daarmee in ons land bewijzen dat, als men de urgentie aanvoelt, iedereen in staat is om goed en snel samen te werken. Ik vind dat hoopvol, ik vind dat beloftevol.
Wat we natuurlijk niet doen, is het werk doen van het parket. Het gerechtelijk onderzoek wordt uitgevoerd door het parket. Ook Justitie is bezig met gerechtelijke onderzoeken ter zake.
Wat de ondersteuning van Antwerpen betreft, mogen we niet vergeten dat er geen ICT-dienst zo groot is als die van de stad Antwerpen, bij wijze van spreken. Antwerpen heeft een heel sterke en goed uitgebouwde IT-dienst. Onze mensen van het cyber response team zijn aanwezig en helpen waar mogelijk. Dat is een heel krachtig team dat heel veel zaken kan doen en ons ook kan helpen, ook elders trouwens. We kunnen daar ook heel veel uit leren.
Er was ook een vraag over de fraude en de gevolgen voor burgers. Het is zo dat bij identiteitsfraude het slachtoffer altijd op de hoogte wordt gesteld. We zijn nu aan het bekijken welke informatie en hoeveel informatie er potentieel in handen is van criminele organisaties. De volgende stap is – maar dat is op dit moment nog work in progress – bekijken op welke manier we mensen daarover informeren en dergelijke. Maar als er sprake is van identiteitsfraude of diefstal van persoonlijke gegevens, dan moeten de slachtoffers uiteraard op de hoogte gebracht worden. Nu zitten we echter nog in het heetst van het gebeuren. We volgen dat samen met hen heel goed op.
De heer Veys triggerde mij een beetje – dat is zijn rol als lid van de oppositie – door te vragen of we wel genoeg aan het doen zijn. Ik denk dat we heel veel aan het doen zijn en dat we daar al heel lang mee bezig waren. Ik zou het vervelender vinden, mocht ik in 2020 Willebroek hebben meegemaakt, en mocht ik dan vandaag Antwerpen en Diest meemaken, om te moeten zeggen dat we nu in gang gaan schieten. Eigenlijk hebben we dat al gedaan in 2020. Toen hebben we alle gemeentebesturen geïnformeerd en op de urgentie gewezen. We hebben gezegd: we gaan u helpen, wij gaan voor u die audit doen, wij gaan die aanbieden, wij bieden u hackers aan om dat te doen; u gaat daar dingen uit leren.
We hebben een draaiboek. Onder andere collega Van den Heuvel vroeg daarnaar. De VVSG heeft een draaiboek gemaakt dat men onmiddellijk kan implementeren. Dat staat allemaal ter beschikking. Maar natuurlijk, je kunt het paard naar het water brengen – om een belangrijke gewezen socialistische voorman, de heer Vande Lanotte, te citeren – maar je kunt het niet dwingen te drinken. De heer Warnez zegt dan: in zo’n geval moet je niet verder gaan en moet je het niet opleggen; je moet het niet verplichten. Ik ben daar terughoudend in, omdat dat de algemene filosofie is die hier vaak wordt aangehaald, niet alleen door de heer Warnez maar door alle partijen. Ten tweede is de grote vraag, als je verplicht moet worden: wat ga je daarmee doen? Wat we wel kunnen doen, en wat we ook gaan doen, is ons auditcomité vragen – en het zal dat ongetwijfeld zelf ook voorstellen – om nog meer prioriteit te geven aan cybersecurity en aan de analyses van hoe zo’n cyberomgeving werkt in een gemeente. Zij volgen dit ook al op in gemeenten, maar misschien kan daar nog meer op geaudit worden.
Als een lokaal bestuur het na wat er nu gebeurt nog niet begrepen heeft, dan zal er in 2024 hopelijk een grote rekening komen van de kiezer. Dat is de verantwoordelijkheid van een lokaal bestuur. Ik doe hier dus nogmaals een oproep aan de besturen die nog niet in actie geschoten zijn. Ik herhaal dat twee derde het al wel gedaan heeft. Het is niet dat ze niets gedaan hebben. Maar het zal natuurlijk een permanente oefening blijven. En waar zit dan het probleem? Antwerpen heeft bijvoorbeeld een grote ICT-dienst. Die worden hier nu mee geconfronteerd, die zijn gehackt, die gaan daar lessen uit trekken, die gaan zich organiseren, die hebben de inhouse capaciteit om dat te doen. Kleinere besturen met minder mensen gaan zich misschien op een andere manier moeten organiseren. Ik denk bijvoorbeeld aan de ‘Warnezachtige’ manier, waarbij de regio als hefboom gebruikt wordt om een gemeenschappelijke ICT-dienst uit te bouwen en om op te schalen. Het kan ook op de ‘Somersachtige’ manier, namelijk door ernstiger na te denken over fusioneren. Er zijn verschillende manieren om dat te doen. Voor mij maakt het hier niet uit of de kat wit of zwart is, als ze maar muizen vangt, mijnheer Veys. Ik denk dat het belangrijk is dat men daar verder aan werkt.
Ik denk dat ik daarmee toch op de belangrijkste vragen geantwoord heb. Maar dit staat hoog op de agenda. Wij gaan vrijdag naar de ministerraad om, ook in afspraak met minister-president Jambon, dat noodlandingsscenario, die beveiligde noodcloudomgeving, zo snel mogelijk te beginnen opbouwen.
Ik ga niet antwoorden op uw vraag naar die Europese regelgeving omdat ik denk dat ze binnen de bevoegdheid van de minister-president valt. Ze heeft te maken met ICT.
Mijnheer Veys, ik heb die cijfers niet hier, maar ik zal u daarover informeren. We gaan dat nakijken en u daarover informeren. Maar – ik zeg het nogmaals – zelfs met de strengste normering blijft er altijd een risico. Ik denk dus dat gemeentebesturen echt alles uit de kast moeten halen om dat zo goed en zo degelijk mogelijk te doen.
De heer Verheyden heeft het woord.
Excuseer, voorzitter, mag ik nog iets zeggen aan de heer Verheyden?
Mijnheer Verheyden, mijn eerste antwoord was absoluut geen impliciete aanval. Als ik een aanval zou doen, zou ik het openlijk en expliciet doen. Ik heb uw vraag niet geïnterpreteerd alsof u zou zeggen dat de gemeenten daders waren en geen slachtoffers. Dat hebt u dan verkeerd gelezen in mijn reactie.
De heer Verheyden heeft het woord.
Dank u wel, minister, voor die kleine rechtzetting. Dat heb ik dan inderdaad verkeerd begrepen. Ik denk in ieder geval dat uit deze discussie duidelijk blijkt dat we over alle partijgrenzen heen op dezelfde golflengte zitten en dat we absoluut moeten inzetten op die cybersecurity, en dringend. We mogen het probleem zeker niet onderschatten. Het is een probleem waarvan ik vrees – en ik denk dat we dat allemaal vrezen – dat het de komende jaren vaker zal voorkomen.
Ik wil trouwens ook de collega’s bedanken voor hun inbreng. Ik denk dat hier heel nuttige vragen gesteld en heel nuttige suggesties gedaan zijn. Wat mij toch wel een beetje treft, minister, – en ik dacht dat collega Van den Heuvel het ook zei – is het feit dat men binnen de gemeenten niet altijd zo happig is over die cybersecurity en dat men dat vaak een beetje bekijkt als regelneverij en dat niet in alle diensten en alle gemeentebesturen de ernst van de situatie doordringt. Die cijfers zijn er. U zegt dat twee derde van de gemeentebesturen maatregelen genomen hebben, en dat klopt. 142 besturen hebben ingetekend op die cyberaudits, maar een heel deel, meer dan 150, moeten dat nog doen. 138 gemeenten hebben gebruik gemaakt van die ethische hackers. Misschien moet er toch wel iets meer worden gesensibiliseerd. We horen dat Vlaanderen middelen heeft en er middelen en ondersteuning voor inzet en nog nieuwe initiatieven zal nemen. Er wordt zwaar op ingezet.
Ik denk dan ook dat het aan u, als minister, is om die gemeenten inderdaad wakker te schudden. Als dat in 2020 al niet gebeurd is, na de zaak in Willebroek, denk ik dat dat nu toch wel dringend is. U hebt ook heel wat pijnpunten opgesomd die naar aanleiding van die cyberaudits naar voren zijn gekomen. Ik denk dat dat het bewijs is dat toch nog heel wat gemeenten nog altijd een bijzonder zwakke verdedigingslinie hebben. Men mag inderdaad, zoals op het militaire vlak, heel wat verdedigingslinies opwerpen, maar dat is natuurlijk nooit een garantie dat er geen doorbraak door uw linie komt. Er moeten zoveel mogelijk wapens zijn. Wat wel misschien interessant is, minister, is dat het misschien wel goed is om te gaan kijken naar wat de gemeenten naar aanleiding van die audits ook effectief hebben ondernomen. Hebben ze gebruikgemaakt van de suggesties van die cyberaudits? Zijn ze daarmee aan de slag gegaan? Ik denk dat het wel nuttig is om dat eventueel op te vragen.
De vraag om uitleg is afgehandeld.