Verslag vergadering Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering
Verslag
De heer Warnez heeft het woord.
Iedereen weet ondertussen dat de stad Antwerpen getroffen werd door een cyberaanval. De gevolgen waren dat men meerdere dagen in lockdown moest en dat dienstverleningen niet konden plaatsvinden. We hebben het daar in deze commissie al over gehad op 6 december, maar ondertussen is er wat meer informatie bekend over de feiten. Er zijn details naar buiten gekomen op een belangrijke persconferentie op 19 december. Dat was ook de uiterste datum die de stad gekregen had om losgeld te betalen. De stad heeft toen duiding gegeven bij een aantal zaken. Belangrijk daarbij was dat de buitgemaakte data wellicht beperkt waren tot gebruikersnamen en paswoorden van medewerkers, boekhoudkundige gegevens, personeelsgegevens, bouwplannen en e-mailfolders.
De stad heeft aangegeven dat ze samenwerkt met het Snelle Respons Team, waarin ook externen zijn opgenomen, en ook met het federale Cyber Emergency Response Team (CERT) en met andere diensten. De burgemeester heeft ook aangegeven dat hij geen losgeld heeft betaald en dat hij dat ook niet van plan is. Momenteel loopt er ook een onderzoek door de Computer Crime Unit.
Het stadsbestuur zei dat het onmiddellijk zijn partners heeft ingelicht, zoals de centrumsteden, de federale overheid en de Vlaamse overheid. Daarnaast hoorde ik op de persconferentie dat ook aan verschillende andere besturen zou zijn gemeld dat ook zij vatbaar zijn voor een gelijkaardige hacking of dat daartoe zelfs al de eerste stappen werden gezet.
In Antwerpen zal dit in elk geval nog even aanslepen. Er is nog heel wat werk voor de diensten, en pas eind januari zal alles operationeel zijn. De stadsdiensten gaven ook aan dat ze na hun performantieaudit nog bezig zijn met de uitvoering van een aantal actiepunten en met het implementeren van de adviezen van de audits die met Vlaamse steun werden uitgevoerd. Er is in Antwerpen in deze legislatuur een budget van 14,5 miljoen euro voor cybersecurity.
Ik heb hierover een aantal opvolgvragen, minister.
De stad Antwerpen stelt dat ze zich niet laat verzekeren voor cybersecurity omdat dit kwaadwillige organisaties zou stimuleren. Ik zou graag uw advies ter zake horen, ook voor andere lokale besturen.
Ten tweede: bent u op de hoogte van andere besturen, bedrijven of organisaties die verwittigd werden dat zij het risico lopen om gehackt te worden? Is er een effectief risico dat er, naar aanleiding van deze hacking, nog andere besturen worden aangevallen?
Ten derde heb ik een technische vraag die wel belangrijk is voor een aantal steden en gemeenten. Het stadsbestuur gaf aan dat het vroeger werkte met de tien vereisten van het Centrum voor Cybersecurity België (CCB), maar dat er nu gekozen wordt voor andere standaarden, namelijk die van de Critical Security Controls Implementation Group 3 van het Centrum voor Internetsecurity. Een heel concrete vraag, minister: hebt u al een advies over welke standaarden nagestreefd moeten worden?
Minister Somers heeft het woord.
Bedankt voor uw vraag, mijnheer Warnez.
Een cyberverzekering is in de eerste plaats een schadeverzekering die alleen moet worden bekeken als complementair met andere technische en organisatorische maatregelen en investeringen inzake cyberveiligheid. Verzekeringsmaatschappijen doen immers enkel een uitbetaling van de schade als men kan bewijzen dat de cyberveiligheid op een correct aanvaardbaar niveau werd gebracht. Indien men dus niet heeft geïnvesteerd in voldoende bescherming, dan zal de verzekeringsmaatschappij ook niet uitbetalen. Beide elementen hangen dus aan elkaar en een verzekering kan zeker niet ingezet worden als alternatief om te werken aan een beveiligde omgeving.
Zoals u weet zijn lokale besturen zelf verantwoordelijk voor de cyberveiligheid van hun eigen systemen. Ze zijn dus ook vrij om zich al dan niet te laten verzekeren. Het is wel juist dat nogal wat deskundigen zeggen dat cyberverzekeringen het businessmodel van criminele organisaties ondersteunen. De kans dat ze gefinancierd worden, dat ze geld krijgen, wordt daardoor eigenlijk vergroot. Zowel Digitaal Vlaanderen als de Vereniging van Vlaamse Steden en Gemeenten (VVSG) geven aan dat het effectiever is om de middelen te gebruiken om op een soliede manier te investeren in de weerbaarheid van ICT-systemen.
Dan kom ik aan uw tweede vraag. Het CCB heeft na de hacking van de steden Diest en Antwerpen melding gemaakt van dreigingen die werden geïdentificeerd naar andere centrumsteden toe, namelijk Hasselt, Genk en Leuven. Hierover is door het CCB gerapporteerd aan de lokale besturen in kwestie en aan het overkoepelende CERT van de Vlaamse overheid. Die lokale besturen hebben met hulp van het CERT en het CCB de nodige maatregelen getroffen om de geïdentificeerde zwakheden aan te pakken.
Verder verwijs ik naar mijn antwoord op een vraag om uitleg van collega Wim Verheyden van 13 december, waarin ik onder andere toelichting heb gegeven bij het CERT dat ik samen met de minister-president heb opgericht: een van de doelstellingen van dat team is om lokale besturen proactief en structureel te ondersteunen, te adviseren en te informeren bij cyberaanvallen. In de eerste plaats zijn dat de lokale besturen die het slachtoffer zijn van zo’n cyberaanval, maar het CERT zal ook preventief advies geven om een incident te vermijden. Zo zal het CERT in samenwerking met de VVSG en op basis van deelbare informatie uit het digitaal forensisch onderzoek van het CCB en het CERT gericht naar lokale besturen communiceren over eventuele kwetsbaarheden en risico’s.
Tijdens diezelfde commissie van 13 december heb ik ook aangekondigd dat ik samen met de minister-president een nieuw project op poten zal zetten, waarbij een ‘cloud landingzone’ voorbereid en getest zal worden zodat lokale besturen eenvoudig en snel een ‘noodcloudomgeving’ kunnen inschakelen wanneer een cyberaanval zich voordoet.
U weet dat op mijn initiatief sinds 2020 het programma cyberveilige gemeenten werd uitgewerkt in samenwerking met de VVSG. Bovendien heb ik sindsdien ook een cofinancieringsprogramma uitgewerkt voor cyberveiligheidsaudits, waar 144 lokale besturen op hebben ingetekend. Sinds de – laat ik zeggen – aanval op Antwerpen is er weer een verhoogde interesse van diegenen die het nog niet gedaan hebben om daar eventueel toch nog in te stappen.
Voor uw vraag over de risico’s voor andere organisaties dan lokale besturen, verwijs ik naar de minister-president voor de cyberveiligheid van de openbare besturen en naar minister Brouns voor de cyberveiligheid van ondernemingen.
Op het eerstvolgende Smart Region Board, waar zowel het Agentschap Binnenlands Bestuur als de administraties en kabinetten van de minister-president en van minister Brouns aanwezig zijn, zal ik het onderwerp cyberveiligheid alleszins wel agenderen. Ik denk trouwens dat de twee andere collega’s dat spontaan zullen doen.
Tot slot stelde u een meer technische vraag over de verschillende raamwerken die als leidraad gebruikt kunnen worden om cyberaanvallen te voorkomen. De vereisten die het CCB daarrond vooropstelt zijn generiek en toepasbaar voor iedere organisatie. U vroeg dan ook naar de Critical Security Controls Implementation Group 3. Ik weet niet of u 3A of 3B bedoelt, maar ik ga ervan uit dat het voor u duidelijk is. De criteria die daarin staan, zijn uitgebreider en gedetailleerder. Ik geef ook mee dat er nog andere soortgelijke internationale standaarden bestaan.
Maar wat vooral van belang is, is dat de lokale besturen concreet aan de slag kunnen gaan met deze standaarden. Daar zorgen we al voor. De VVSG heeft in het kader van het project cyberveilige gemeenten een toolkit cybersecurity uitgewerkt. Inhoudelijk voldoet deze toolkit aan de standaarden zoals voorgeschreven door de Critical Security Controls-standaard die u aanhaalt. Vormelijk wordt de toolkit ingedeeld volgens de categorieën uit het gerenommeerde NIST-framework (National Institute of Standards and Technology), een andere standaard dan degene die u aanhaalt. De VVSG zal het gebruik van het NIST-framework evalueren en zal ook bekijken of er nog bijkomend advies moet worden verstrekt aan lokale besturen omtrent de verschillende raamwerken. Omdat er verschillende standaarden bestaan, vaak heel technisch – ik ben zelf ook helemaal geen nerd – gaat men die standaarden, de raamwerken bekijken en kijken op welke manier we er helder en begrijpbaar verder naar gemeenten over kunnen communiceren. In 2023 zet ik in op de verdere verspreiding van de digitale toolkit van de VVSG, door middel van een brede communicatie- en sensibiliseringscampagne.
Mijnheer Warnez, bent u gerustgesteld?
De heer Warnez heeft het woord.
We mogen nooit gerustgesteld zijn als het gaat over cybersecurity. Vandaar is het ook goed dat het nog eens op de agenda staat. Ik heb goed begrepen dat nu inderdaad enkel de drie centrumsteden risico lopen. Ik had dat ook al in de pers gelezen. Het blijkt dus dat de pers al alles wist. Dat is ook een belangrijk feit.
Afsluitend: het is belangrijk dat het opnieuw hoog op de agenda staat en dat lokale besturen initiatieven nemen. U hebt inderdaad terecht al heel wat initiatieven genomen, zelfs al van in het begin van de legislatuur, nog ver voor Antwerpen. We kunnen alleen maar toejuichen dat die verder uitgerold en versterkt worden.
De heer Veys heeft het woord.
Minister, u hebt erop gealludeerd dat we dat vorige keer midden december besproken hebben. Nu, het ziet ernaar uit dat dat redelijk goed afgelopen is, als ik dat zo mag stellen. Er zijn geen persoonsgegevens of toch geen cruciale gestolen. Er zou ook niets betaald geweest zijn aan de criminelen. Het is belangrijk dat wij eraan werken dat de burgers zo weinig mogelijk risico lopen want zij zijn inderdaad wel het slachtoffer. Nu, de lokale besturen – daar hebben we het vorige keer ook over gehad – zijn ook het slachtoffer. De daders zijn voor alle duidelijkheid de hackers.
Minister, u gaf in vorige zitting ook aan dat u van lokale besturen verwacht dat ze hun verantwoordelijkheid nemen en gebruikmaken van het huidige aanbod. Voelt u een grotere urgentie? U gaf voor de audit aan dat u die wel opmerkt. Is dat ook het geval voor de ethische hacking? Bent u van plan om meer te doen, om lokale besturen meer aan te sporen? Collega Van den Heuvel verwees er vorige keer naar om de stok te gebruiken. Wat zijn uw plannen in de nabije toekomst om hopelijk te zorgen dat alle driehonderd gemeenten daarop intekenen?
De heer Van Rooy heeft het woord.
Ik zou toch van de gelegenheid willen gebruikmaken – ik heb het debat in Antwerpen goed gevolgd – om opnieuw te waarschuwen voor iets wat we ook al in het verleden hebben gezegd, namelijk dat die digitalisering razendsnel gaat, en eigenlijk veel te snel is gegaan tot hiertoe. Dit is daar eigenlijk een symptoom van, een bewijs. Ik zal één ding noemen, want ik heb met een aantal experts gesproken. Er waren genoeg experts in de media, maar ik heb zelf ook met een aantal experts gesproken, die ik ook persoonlijk ken.
Een van hen, die daar ook goed van op de hoogte was, en dan bedoel ik specifiek van de Antwerpse situatie, zei me – luister nu goed – dat zelfs niet overal een tweestapsverificatie gold, in heel dat digitale Antwerpse systeem. De meesten onder ons zullen weten wat dat betekent, denk ik toch, hoop ik. Vele burgers werken daarmee. Wij in het Vlaams Parlement ook. Als je wilt inloggen in je mail, moet je via je gsm, via een sms-code, of via itsme, een bevestiging geven, of je geraakt er niet in. Wel, dat was dus een van de grote zwaktes van heel dat systeem in Antwerpen. Ik viel achterover toen ik dat hoorde, dat een stad als Antwerpen, terwijl heel wat burgers daar ondertussen wel mee weg zijn, nog altijd domeinen heeft in dat digitale netwerk waar dus geen tweestapsverificatie is.
Die hackers zijn dus eigenlijk – is mij ook verteld – bijzonder gemakkelijk binnen geraakt. Wat doen ze eigenlijk? Ze gooien een soort digitaal sleepnet uit, waarbij zij honderden, misschien zelfs duizenden organisaties, lokale besturen en overheden viseren, en zo komen dan de zwakkeren bovendrijven. Die sleept men met dat digitaal sleepnet onmiddellijk binnen, zonder veel problemen, en dan kan men dus heel wat data stelen. Dus dit ten eerste. De digitalisering ging te snel, waardoor de beveiliging gewoon achterophinkte.
Was is ten tweede de conclusie? We hebben gezien dat het naar schatting 70 miljoen euro kost. Ik hoor het wel graag zeggen dat het nu allemaal goed op zijn pootjes terechtkomt, qua privacy dan, en qua veiligheid. Maar 70 miljoen euro, wie zal dat betalen? Dat is de belastingbetaler. Omdat er de afgelopen jaren een onderinvestering is geweest, waardoor de knappe koppen – die nu in de media vaak te horen zijn, en die wij soms kennen in ons privéleven, die voor privébedrijven of banken werken – niet voor een overheid of een lokaal bestuur zullen werken, waardoor er ook een gebrek is aan knowhow om zulke systemen goed te beveiligen.
Minister Somers heeft het woord.
Ik ken het concrete dossier van Antwerpen natuurlijk niet in detail. Je zit in de Antwerpse gemeenteraad. Je zult het waarschijnlijk gedetailleerder kennen dan ikzelf. Maar het is inderdaad wel zo, mijnheer Van Rooy, dat men bij de ethische hackings die we gedaan hebben, en bij de audits, ondervindt dat eenvoudige zaken zoals een tweestapsverificatie nog onvoldoende aanwezig zijn. U zegt heel terecht dat er een ongelooflijke versnelling is van de digitalisering. Dat is nu eenmaal de samenleving en de wereld waarin we leven.
De overheid kan daar ook onmogelijk achterblijven. Stel dat we niet zouden volgen, dan zouden heel veel bedrijven en mensen heel lastig worden op de overheid, omdat ze dan nog altijd voor alles naar het gemeentehuis moeten gaan. Maar dat heeft een schaduwzijde die u terecht aanhaalt, dat er ook heel veel geïnvesteerd moet worden in, ten eerste, gebruiksvriendelijkheid, dat is heel het probleem van de tweedeling in de maatschappij, maar ten tweede ook in de digitale veiligheid.
Daarom zijn we enkele jaren geleden ook begonnen met die audits. Als je ethische hackers en audits samentelt, zitten we ongeveer op twee derden van de gemeenten die daar al aan hebben deelgenomen. Maar uit die onderzoeken blijkt ook wel dat er werk aan de winkel is. Gelukkig zijn heel veel gemeenten daarin aan het investeren. Maar dat er nog een tand bijgestoken moet worden, dat is duidelijk.
Een grotere wake-upcall dan wat er nu gebeurd is in Antwerpen, kan ik me moeilijk inbeelden. Als er nu nog ergens een gemeentehuis is waar men niet geïnteresseerd is omdat het hen niet zou aangaan, dan zouden dat onverantwoorde bestuurders zijn. Ik denk dat er ook een verantwoordelijkheid ligt bij de lokale besturen om daarin actie te ondernemen en stappen te zetten.
De schade die Antwerpen blijkbaar heeft opgelopen, is inderdaad heel groot, als ik de heer Kennis mag geloven, die in de krant 70 miljoen euro verliest aankondigt. Zelfs voor een grote stad als Antwerpen scheelt dat een slok op een borrel. Dat is natuurlijk een spijtige zaak. Nogmaals: het dossier ken ik niet. Ik zal daar ook geen analyse, geen oordeel, geen waardeoordeel over vellen. Ik denk dat we moeten beseffen dat Antwerpen in de allereerste plaats slachtoffer is geweest van crimineel gedrag. Zo kijk ik ook naar dit dossier.
Wij hebben dat Cyber Response Team opgericht. Dat moet nog meer motiveren of, om het met een Engels woord te zeggen, de ‘awareness’ vergroten. We blijven het aanbod in de markt zetten van zowel de audits als de ethische hackers. Dat zijn twee belangrijke en interessante instrumenten die helpen.
Mijnheer Van Rooy, ik ben geen ICT-kenner maar slechts een eenvoudige jurist, maar wij denken soms nog te veel dat het een grote hocuspocus is zoals we het in films zien. Maar wat men eigenlijk doet, is de gemakkelijkste ingangspoorten zoeken. Een minimale bescherming helpt al heel goed tegen het overgrote deel van wat men doet. Het probleem is dat als men per se bij mijnheer Van Rooy of mijnheer Somers of mijnheer Veys binnen wil raken en het gaat om hackers van topkwaliteit, dat ze dan misschien binnen raken als ze op u gefocust zijn. Maar veel van die hackings zijn inderdaad – het is een mooi beeld – sleeptouwen. Het gaat om massale pogingen om ergens binnen te geraken. De zwakste deuren vallen dan open en daar kan men dan binnen. Een minimale bescherming betekent dus al heel veel. Dat hoeft allemaal niet ongelooflijk veel te kosten.
Wij gaan via onze kanalen en via de VVSG opnieuw de mensen nog eens heel duidelijk maken dat het hun morgen ook kan overkomen en dat ze hun verantwoordelijkheid moeten opnemen. Dat is de boodschap die we geven. We reiken tools aan. Dat is het maximale wat een minister van Binnenlands Bestuur in dit dossier kan doen.
De vraag om uitleg is afgehandeld.