Verslag vergadering Commissie voor Economie, Werk, Sociale Economie, Wetenschap en Innovatie
Verslag
De heer De Roo heeft het woord.
Minister, maar liefst 13,5 procent van de Vlaamse bedrijven gaf aan in 2022 slachtoffer te zijn geweest van een cyberaanval. Er is natuurlijk daarnaast een hoog ‘dark number’ bij zulke aanvallen, waardoor het werkelijke aantal hoger ligt.
Dat blijkt uit de resultaten van de tweede cybersecuritybarometer die het Departement Economie, Wetenschap en Innovatie (DEWI) publiceerde. Deze studie heeft als doel om de maturiteit rond cyberveiligheid of cybersecurity bij Vlaamse ondernemingen in kaart te brengen. Die maturiteit is een combinatie van technische maatregelen, van beheerprocedures en de kennis en het bewustzijn bij het management en werknemers.
Driekwart van de Vlaamse ondernemingen meent dat hun onderneming goed beschermd is tegen cyberaanvallen. Maar de bevindingen van de studie tonen andere resultaten: de afwezigheid van geavanceerde technische maatregelen en beheerprocedures wijzen op het uitblijven van een noodzakelijke hogere maturiteit bij onze bedrijven.
Ondernemingen zetten te weinig in op procedures om cyberaanvallen te detecteren. Slechts 49,7 procent doet dat. Ze zetten ook te weinig in op de identificatie van gevoelige databronnen of kritieke bedrijfsprocessen – dan gaat het over 40,7 procent – en een adequate reactie aan de hand van bijvoorbeeld crisiscommunicatie. Dat doet slechts 37 procent.
Het rapport wijst op de nood aan bijkomende investeringen in cybersecurity en concludeert, ik citeer: “De adoptie van meer en vooral meer geavanceerde technische maatregelen, het uitwerken van beheerprocedures, en een inzet op bewustmaking bij medewerkers en management zijn hierbij een absolute must.”
Dat roept natuurlijk enkele vragen op, minister.
Hoe evalueert u de resultaten van de tweede cybersecurity barometer?
Op welke manier wilt u de bedrijven blijven stimuleren om minstens de elementaire toepassingen zoals software-updates, back-upbeleid, netwerktoegangsbeheer en paswoordauthentificatie zo snel als mogelijk te implementeren?
Hoe zult u een actief beleid voeren dat ondernemingen verder stimuleert en ondersteunt om hun cyberveiligheid te verbeteren?
Welke stappen plant u om meer bedrijven toe te leiden naar een cybersecurityverbetertraject dat directe financiële steun geeft aan kmo’s voor extern advies en begeleiding.
Minister Brouns heeft het woord.
Dank u wel, collega De Roo.
De cijfers van deze tweede cybersecuritybarometer zijn uiteraard niet geruststellend. Ze bevestigen de nulmeting van 2021 waarin vastgesteld werd dat er nog heel wat stappen dienen gezet te worden om de cybersecuritymaturiteit van onze Vlaamse ondernemingen significant te verbeteren, zodat ze voldoende voorbereid zijn op eventuele incidenten.
We stellen echter vast dat dit vandaag nog niet het geval is en dat de sense of urgency bij vele ondernemingen nog steeds onvoldoende groot is, ondanks de vele incidenten, met vaak verstrekkende gevolgen, zoals bekend. Het overtuigen en activeren van die ondernemingen lijkt een lange weg te worden.
Ik wil wel benadrukken dat het niet enkel volstaat om technische maatregelen te nemen om voldoende beschermd en voorbereid te zijn op eventuele cyberincidenten. Cyberveiligheid vereist echter ook de nodige procedures en opleiding van het personeel.
Om bedrijven op dit vlak te activeren werken we sinds de start van de beleidsagenda cybersecurity in 2019 samen met zowel de partners uit het VLAIO-netwerk (Agentschap Innoveren en Ondernemen). Het gaat daarbij zowel om de werkgeversorganisaties zoals Voka, UNIZO en Agoria als om meer sectorgebonden initiatieven. Deze organisaties zetten met steun van VLAIO in op het sensibiliseren via een continu aanbod van webinars, infosessies, opleidingen en lerende netwerken. Ook werden er al verschillende gerichte mediacampagnes gevoerd.
Ik geef enkele concrete voorbeelden van acties. Recent werd door het industriepartnerschap onder leiding van Agoria en Sirris met cyberstart.be een nieuw initiatief opgestart met gratis e-learning, waarin de elementaire stappen op het vlak van technische maatregelen en procedures op een heel laagdrempelige manier worden toegelicht. Vanuit het industriepartnerschap wordt met de masterclass ‘cyberveilig in 30 stappen’ de fysieke variant daarvan georganiseerd. Er werd ook de cybersecurityescaperoom georganiseerd, een mooi voorbeeld van Voka.
Hoe gaan we daar verder op inzetten? In een steeds meer gedigitaliseerde wereld hebben we geen andere keuze, denk ik, dan in overleg met de deskundige partners binnen de cybersecuritystuurgroep te blijven inzetten op het thema van cyberveiligheid. We zijn allemaal mee met de digitale trein, we zijn ons allemaal bewust van het belang van data. We zien dat, maar de veiligheid daarrond is inderdaad een belangrijke ‘to do’. Elke onderneming loopt immers in het vizier van cybercriminelen en de gevolgen van zo’n incident kunnen inderdaad zeer groot zijn.
We blijven dan ook met onze Vlaamse beleidsagenda cybersecurity verder inzetten op het sensibiliseren en activeren van de Vlaamse ondernemingen en ook op de samenwerking met de partners uit het VLAIO-netwerk, maar dus ook met het Centrum voor Cybersecurity België op federaal niveau via eventuele bijkomende of nieuwe acties indien die opportuun zijn.
Ten slotte loopt bij VLAIO op dit ogenblik de procedure om bijkomende dienstverleners aan te duiden voor het uitvoeren van cybersecurityverbetertrajecten. Extra erkende dienstverleners betekent dat er bijkomende inspanningen zullen gebeuren om kmo’s te overtuigen om met ondersteuning vanuit VLAIO aan hun cybersecuritymaturiteit te werken. We merkten dat bestaande dienstverleners vaak niet actief op zoek gaan naar ondernemingen die op de trajecten willen intekenen. Van de nieuwe dienstverleners zal dit daarom expliciet gevraagd worden.
Ik herinner er ook aan dat VLAIO in het begin van het jaar met de invoering van het starterspakket de drempel van de verbetertrajecten verder verlaagd heeft. Dit pakket is ideaal voor ondernemingen die de eerste stap willen zetten richting een cybersecuritybeleid, maar in de eerste fase vooral zicht willen krijgen op de huidige cyberveiligheid. Na tussenkomst van VLAIO betalen ondernemingen hiervoor nog circa 5000 euro.
We rekenen ook op de partners uit het VLAIO-netwerk om de bedrijven die ze bereiken met hun sensibiliseringsacties actief door te verwijzen richting de cybersecurityverbetertrajecten.
De heer De Roo heeft het woord.
Het belang van cyberveiligheid kunnen we niet genoeg benadrukken. Ik ben dan ook tevreden dat u naar onder andere het initiatief cyberstart.be hebt verwezen. De vele toehoorders in deze zaal kennen dit nu ook en ik hoop dat ze dit ook uitgebreid in hun netwerken zullen verspreiden. Het is een handige tool voor de bedrijven, voor de werknemers en voor het management met een wekelijkse nieuwsbrief enzovoort. Ik denk dat dat soort initiatieven alleen maar kan bijdragen aan het verhogen van de alertheid voor cybersecurity.
Minister, ik heb nog twee bijkomende suggesties. Als we bedrijven willen aanzetten om cyberveiligheid hoog in het vaandel te dragen, dan moeten we natuurlijk als overheid ook zelf het goede voorbeeld geven. Ik denk dat er al heel wat stappen zijn genomen binnen de Vlaamse overheid om die cybersecurity hoog op de agenda te zetten. Maar dat is natuurlijk een continu proces. Het is een ingesteldheid. Ik herinner mij dat er hier in het parlement een aantal weken geleden een testmail werd gestuurd naar alle parlementsleden om na te gaan wie er klikt op dergelijke links die informatie zouden kunnen ontfutselen. Ik weet niet of er hier collega’s zijn die daar toen op hebben geklikt. Ik zie iemand vooraan lachen, maar het lijkt dan toch niet het geval. Dat is op zich goed en een zeer laagdrempelig initiatief. Maar het feit dat we als overheid het goede voorbeeld geven en dat we ons ook inschrijven in verhoogde veiligheid en dat ook durven te tonen aan bedrijven, is volgens mij een belangrijk iets waar we misschien nog iets meer op kunnen inzetten. Het eerste punt is dus tonen welke stappen wij nemen als overheid en het goede voorbeeld geven.
Dan het tweede punt, waar we het enkele weken geleden over hebben gehad. We zien natuurlijk dat er een aantal knelpuntberoepen zijn en als je gaat polsen bij ondernemingen, dan is dat het beroep van cyberveiligheidsexpert. Maar omdat het niet op een knelpuntenlijst is opgenomen bij VDAB zeggen bedrijven dat het moeilijk is om mensen nog toe te leiden tot die job en rol, omdat dat mee onder de koepel van netwerkbeheerder zit en het dus niet altijd duidelijk is dat het om iets aparts gaat.
Minister, u hebt daar een aantal weken geleden op geantwoord dat u werk wilt maken van de invulling van allerlei knelpuntopleidingen, en dat het verlaten van de structuur bij VDAB niet de meest eenvoudige taak is. Mijn bijkomende vraag is dan ook op welke manier we ervoor kunnen zorgen dat de bedrijven ook kunnen terugvallen op een aantal experten en dat de opleidingen daarvoor nog beter worden. Het feit dat mensen ook worden toegeleid naar dat soort functies kan er volgens mij alleen maar toe bijdragen dat de cyberveiligheid in onze Vlaamse ondernemingen ook omhoog gaat. Ziet u daar nog mogelijkheden in samenwerking met VDAB om cybersecurity ook via die weg nog meer op de radar te krijgen?
Minister, ik vind het een zeer terechte vraag van collega De Roo. In het verleden hebben we heel wat voorbeelden gezien van hoe verregaand de gevolgen zijn als je slachtoffer wordt van zo’n cyberaanval. Ik vrees dat we als maatschappij misschien nog te weinig preventief bezig zijn met het bewust zijn van het risico daarop en van die vorm van veiligheid. Mijn bijkomende concrete vraag is of u zicht hebt op het aantal bedrijven die gehackt worden, hoeveel er het probleem zelf kunnen oplossen en het beheer terugkrijgen, en hoeveel mensen effectief ingaan op de vraag van hackers.
Als het antwoord niet kan worden gegeven vanwege privacy redenen of schriftelijk moet worden gegeven, dan wil ik dat gerust op die manier doen. Ik stel me die vraag gewoon omdat toen bijvoorbeeld Stad Antwerpen werd gehackt, de analyse werd gemaakt dat je vaak niet anders kan dan gewoon toegeven. Dan is het duidelijk voor een stuk te laat en beloon je een model dat dan alleen maar aan populariteit zal winnen en voor steeds meer gevolgen zal zorgen als er niet voldoende verdediging komt. Ik ben benieuwd of daar meer informatie over is of bezorgd kan worden.
Minister Brouns heeft het woord.
Vorige week is de Digiscan gelanceerd op de DigiNoon, dat mee georganiseerd werd door onder andere Voka. Daar zit heel veel cijfermateriaal in dat ik niet vanbuiten ken, maar dat kan zeker bezorgd worden. De vaststelling is tweeledig. Enerzijds zitten we op de digitale trein en zijn we mee. Heel wat ondernemingen zijn er zich van bewust dat data elementair zijn geworden in een meer performante bedrijfsvoering of als voorwaarde daartoe. Het belang van een competitieve training en de veiligheid van de productiviteit zijn vaak onderbelicht en krijgen nog onvoldoende aandacht. Dat hebben we met deze vraag en de aandacht hiervoor in deze commissie nogmaals onderstreept.
Het is inderdaad ook zo dat vandaag – de ‘war on talent’ moet ik u niet uitleggen – alles in die brede IT-scope een zeer grote uitdaging is. Het is ook noodzakelijk om daar, binnen de context van knelpuntberoepen, aandacht aan te schenken. Het is ook belangrijk dat als er vacatures zijn, die ook geplaatst worden. Ik zou met een heel dikke vette knipoog kunnen zeggen dat er heel wat consultants zijn die heel beslagen zijn op het vlak van cybersecurity. Alle gekheid op een stokje: ik denk dat het meer dan ooit in de digitale wereld van vandaag bijzonder veel aandacht verdient, en dat wij met VDAB er alles aan doen om daar het nodige en mogelijke te doen om onze bedrijven te ondersteunen en te helpen om de juiste profielen te vinden. Maar het is ook geen geheim dat, als we gaan kijken naar de economische migratie, er voor die knelpuntfuncties ook heel wat buitenlandse arbeidskrachten naar hier komen om de nodige ondersteuning te bieden.
– Robrecht Bothuyne treedt als voorzitter op.
De heer De Roo heeft het woord.
Dank u wel, minister, voor uw bijkomend antwoord. Ik denk dat het van groot belang is dat we cyberveiligheid in de hele breedte op de agenda zetten Toen ik nog wat dieper in de studie dook, zag ik ook dat maar één op de drie ondernemingen in opleidingen of activiteiten rond die cyberveiligheid voorziet. Er zijn toch een aantal basisprincipes die we echt zouden moeten kunnen aanzwengelen en ik hoop natuurlijk dat we door het goede voorbeeld te tonen, bedrijven kunnen voorzien van die alertheid. U hebt in uw eerste antwoord al gezegd dat de drempel voor de trajecten rond cybersecurityveiligheid is verlaagd. Ik hoop dat dat een motivator kan zijn voor bedrijven om daarin te stappen, want het is zowel voor een onderneming als voor de medewerkers en zeker ook voor het management van groot belang dat zij dat doen.
De vraag om uitleg is afgehandeld.