Verslag plenaire vergadering
Actuele vraag over cybersecurity bij Vlaamse bedrijven
Verslag
De heer Vande Reyde heeft het woord.
Voorzitter, we zijn deze week heel hard geschrokken. Cybercriminelen zijn erin geslaagd het West-Vlaamse bedrijf Picanol, een bedrijf met meer dan tweeduizend werknemers, helemaal lam te leggen. Het is helaas geen alleenstaand geval. Cyberaanvallen komen in Vlaanderen steeds vaker voor en de impact ervan wordt steeds groter en intenser. De schade is enorm, in de eerste plaats voor onze kleine en grote bedrijven, maar de vraag is ook hoe het met onze persoonsgegevens zit. Cyberveiligheid gaat ook over privacy, over onze medische en juridische dossiers, socialezekerheids- en identiteitsgegevens. Hoe veilig is dat nog?
Dit brengt me bij de vraag of onze overheidsdiensten voldoende voorbereid zijn op de impact van mogelijke cyberaanvallen. De uitdagingen zijn heel groot en de digitale toepassingen nemen almaar toe. Dat is een goede zaak, maar de risico’s worden ook groter. Binnenkort komt 5G hopelijk naar Vlaanderen. We zullen daarover in de commissie nog van gedachten wisselen. De mogelijkheden zijn enorm, maar de risico’s nemen toe. We moeten daarop voorbereid zijn.
Mijnheer Muyters, ere wie ere toekomt. Blijkbaar bent u dat standaard vandaag. U hebt als minister een beleidsplan met betrekking tot cyberveiligheid opgesteld. Daarvoor is ook recurrent in 20 miljoen euro per jaar voorzien.
Minister, wat zult u doen om het risico op cyberaanvallen en de impact ervan verder te verkleinen?
De heer Gryffroy heeft het woord.
Voorzitter, we hebben het hier over Asco, met 1000 werknemers, en over Picanol, met 1500 werknemers, maar ook over het Gentse bouwhandelbedrijf Bouwpunt OVB, met een vijftiental werknemers. Dat komt nu allemaal naar boven. Volgens Eurostat zou in 2018 22 procent van onze bedrijven onder een cyberaanval hebben geleden. Wereldwijd wordt geschat dat dit in 2020 wel eens 75 procent van de bedrijven zou kunnen zijn. Dat is niet niks.
Mijnheer Vande Reyde, het gaat niet enkel om het stelen van data, wat uw bezorgdheid is. Wat ze meer doen, is het productieproces stilleggen en chanteren. Dat gaat een stap verder. Ze kunnen iets stelen en eventueel misbruiken. Ze kunnen het productieproces niet alleen stilleggen, maar ook wijzigen zonder dat iemand het weet.
Mijnheer Muyters, de vorige Vlaamse Regering heeft hiervoor 20 miljoen euro uitgetrokken. Dat budget bestaat uit drie onderdelen. Er is een gedeelte op lange termijn met 8 miljoen euro per jaar, bedoeld om het topcybersecurityonderzoek te versterken. Er is het gedeelte op middellange termijn met 9 miljoen euro per jaar. Met dit geld moet het Agentschap Innoveren en Ondernemen (VLAIO) dit excellent onderzoek vertalen naar concrete toepassingen, zoals het gebruik van cybersecurityoplossingen. Dan is er het gedeelte op korte termijn met 3 miljoen euro per jaar. Dit geld is bedoeld voor bewustmaking en opleidingen.
Minister, sinds vorig jaar is hiervoor 20 miljoen euro toegekend. Dit moet nog worden uitgerold, maar de vraag is natuurlijk of het voldoende zal zijn. Ik heb u gisteren gezien in Terzake. U hebt heel correct verklaard dat de Vlaamse overheid geen schadevergoedingen zal uitkeren en niet de verzekeraar zal spelen. Dat zou het die bedrijven wat te gemakkelijk maken. U zult preventief werken. Mijn vraag is hoe we die bedrijven nog beter zullen sensibiliseren met betrekking tot cybersecurity en nog beter op cyberaanvallen zullen voorbereiden.
Minister Crevits heeft het woord.
Voorzitter, het is bijzonder confronterend te zien wat die cyberaanvallen kunnen veroorzaken. Bij een bedrijf als Picanol hebben 1500 mensen gedurende een week geen werk. Ook in de andere voorbeelden die zijn aangehaald, gebeurt dit plots en onaangekondigd. Dit is pure criminaliteit en we moeten er alles aan doen om onze Vlaamse economie, die sterk en zeer exportgericht is, goed te helpen. We moeten de bedrijven begeleiden om preventief na te gaan wat ze kunnen doen om zich zo goed mogelijk te beveiligen.
Collega's, we hebben een aantal troeven.
Collega Gryffroy, u hebt daarnet zelf de budgetten zoals we ze willen uitgeven, gedefinieerd. De 3 miljoen euro gaat net naar de universiteiten en hogescholen omdat we topkwaliteit in Vlaanderen in huis hebben om onderzoek te doen naar hoe je je systemen het best beveiligt, en dat gaat zowel over applicaties, als over machines, als over het versleutelen en goed coderen. Die middelen zijn op korte termijn inzetbaar en moeten ertoe leiden dat we bij de wereldtop blijven.
Als we al die kennis in huis hebben en verder onderzoek doen, moeten we er ook voor zorgen dat onze bedrijven ermee aan de slag gaan. Vandaar dat het van belang is dat elk bedrijf in Vlaanderen een cybersecurityplan heeft. Daar stoppen we ook een pak middelen in. Op dit ogenblik loopt er een overheidsopdracht bij het Agentschap Innoveren en Ondernemen (VLAIO), met de middelen die we voorzien hebben, om experten op te leiden. We zeggen aan de bedrijven dat ze een scan kunnen laten uitvoeren over hoe veilig hun bedrijf is. We komen naar hen met advies op maat – een klein bedrijf heeft heel ander advies nodig dan een groot bedrijf – en soms heb je heel gespecialiseerde expertise nodig om het plan te maken – niet om te beveiligen maar om het plan te maken. We investeren 9 miljoen euro om het te operationaliseren. De oproep loopt. Intussen zijn we al een aantal projecten aan het goedkeuren die gaan over hoe bedrijven effectief gaan toepassen in het bedrijf.
Collega's, met het plan dat in 2018 door de Vlaamse Regering is goedgekeurd onder impuls van collega Muyters, die intussen al een hele tijd aan het blozen is, hebben we niet stilgezeten. We zijn er absoluut mee aan de slag. Er is ook een stuurgroep waarvan de namen bekend zijn, met mensen uit het bedrijfsleven en uit de overheidsinstellingen, die zeer binnenkort samenkomt om de toestand te evalueren en na te gaan of we de juiste keuzes hebben gemaakt, of we goed aan het uitrollen zijn en of er moet worden bijgestuurd nu we zien dat er de laatste tijd een opstoot aan aanvallen is. We zien ook dat de manier waarop bedrijven worden aangevallen, enorm evolueert.
U stelde vragen over de Vlaamse overheid. Ik geloof dat we in 2015 in Vlaanderen eens een test hebben gedaan met een phishingmail die is uitgestuurd naar alle diensten om na te gaan hoe het personeel daarop reageert.
Het personeel van de parlementen was het snelst.
Het heeft ons veel bijgeleerd. Gisteren zei de mijnheer van het federaal centrum in Terzake dat één handeling van één werknemer die foutief is, ervoor kan zorgen dat het bedrijf heel veel problemen heeft. We moeten dus zorgen dat het veiligheidsplan in het bedrijf leidt tot een veiligheidsketting en een ‘awareness’ bij elk personeelslid van het bedrijf.
De middelen zijn dus geen dag te vroeg. Het plan is ook geen dag te vroeg gekomen. We zijn er zeer actief mee aan de slag.
Minister, ik dank u voor uw antwoord. We zijn heel blij dat er al heel wat initiatieven zijn. Ik herinner mij uit de commissie Welzijn dat collega Vandecasteele die initiatieven inzake cyberveiligheid voor bedrijven nog roekeloos en onverantwoord noemde. Ik neem aan dat ze vandaag die woorden niet gaat herhalen. Wij steunen die initiatieven wel.
Ik heb nog een kleine suggestie om in uw initiatieven op te nemen. Als jongerenvoorzitter heb ik ooit een juridisch kader voor ethische hackers voorgesteld. Ethische hackers zijn mensen die aanvallen doen op bedrijven of overheidsdiensten maar met goede bedoelingen om zo zwakke plekken in de grote keten te ontbloten en vervolgens op te lossen. Grote bedrijven maken er al massaal gebruik van omdat er nu een juridisch kader is, maar voor kmo's is de drempel eigenlijk nog redelijk hoog. De ethische hackers in Vlaanderen behoren tot de wereldtop. We moeten die dus eigenlijk massaal gebruiken, ook voor onze eigen overheidsdiensten, om de zwakke plekken bloot te leggen. Het voorbeeld dat u aanhaalt van een phishingmail te versturen, is heel goed bedoeld, maar intussen zijn er wel drastischer maatregelen nodig om die zwakke plekken bloot te leggen. Ik heb trouwens gehoord dat het Vlaams Parlement dit al implementeert en dat het dergelijke hackers in dienst neemt. Ik denk dat we dit verder moeten uitbreiden. Hack de overheid, moet de baseline zijn, om ervoor te zorgen dat de zwakke plekken in de veiligheid worden ontbloot.
Ik denk niet dat het de bedoeling is dat je vertelt dat we dat hebben.
Minister, dank u wel voor het antwoord. Ik ben zelf opgegroeid in een kmo-gezin en heb zelf jaren gewerkt in een kmo. Een kmo heeft meestal niet het personeel en de middelen om iemand aan te duiden die dat permanent doet, zoals in grotere bedrijven. Straks gaan die kmo's ook deels weer afhankelijk zijn als toeleverancier van die grote bedrijven en misschien eisen opgelegd krijgen door die grote bedrijven als het gaat over cybersecurity.
Ook het bouwbedrijf Bouwpunt O.V.B. uit het Gentse maakte er gisteren melding van dat het aangevallen werd. We zien dat kmo’s dan spontaan grijpen naar een verzekering daarvoor. Ik vrees dat er straks weer een opbod zal komen van de verzekeringsmaatschappijen die je dan zogezegd goed gaan indekken. Je begrijpt er allemaal niet veel van want je hebt daar geen tijd voor. Je ondertekent die polis en je betaalt, maar eigenlijk weet je niet wat je koopt en betaalt. Zou het niet nuttig zijn dat er vanuit de overheid een soort raamverzekeringsovereenkomst op een website kan worden gezet zodat een kmo kan kijken of hij wel een goede polis heeft of niet?
De heer Vanryckeghem heeft het woord.
Minister, dank u wel voor uw antwoord. De Vlaamse Regering heeft vorig jaar reeds het initiatief genomen om heel sterk te investeren in cybersecurity. Met een jaarlijkse investering van 20 miljoen euro wordt baanbrekend werk, onderzoek, de opleiding van experten en het begeleiden van bedrijven inzake preventie gefinancierd. De recente casus bij Picanol in West-Vlaanderen maakt duidelijk dat we waakzaam moeten blijven en dat de verdere uitrol van dit actieplan een absolute prioriteit van deze regering moet zijn.
Minister, u haalde gisteren in Terzake aan dat ondernemingen zich tegen cyberaanvallen kunnen verzekeren. Dat lijkt mij uiteraard een belangrijk onderdeel van het sensibiliseringsinstrumentarium aangezien er soms niet veel nodig is om in de val van cybercriminelen te trappen. Hebt u een zicht op de mate waarin onze ondernemers een dergelijke verzekering hebben afgesloten? Worden daar doelstellingen rond geformuleerd?
Mevrouw Gennez heeft het woord.
De beste verzekering tegen cybercriminaliteit is volgens mij het ondersteunen van sterke politiediensten die daarop inzetten zodat die cybercriminelen geen kans krijgen. Dat is een federale bevoegdheid. Het is een Vlaamse bevoegdheid om niet alleen ondernemers maar ook schooldirecties, die ook als slachtoffer zijn geworden van cyberaanvallen, te sensibiliseren en hun systemen te laten beveiligen. Verder denk ik dat er nood is aan overleg tussen de verschillende overheden. Dat is vooral een taak voor de Vlaamse minister van Justitie, samen met de federale collega's. Een integrale aanpak is hier geboden, want cybercriminaliteit is een zware vorm van criminaliteit en moet dan ook zwaar bestraft worden.
De heer Annouri heeft het woord.
Voorzitter, ik wil me aansluiten bij het pleidooi van collega Vande Reyde over ethische hackers. Dat is een heel intelligent en nodig instrument om in te zetten. We hebben in Vlaanderen topkwaliteit om onze kmo's daar beter in te helpen beschermen. Ik denk dat we daar veel meer gebruik van moeten maken.
Minister, u hebt terecht aangehaald dat u veel gaat investeren om die bedrijven te helpen zichzelf te beschermen en te zorgen dat ze de reflex hebben om elke werknemer daar bewust van te maken. Maar ik vind dat allebei zeer reactief. Die hackers, die mensen die daar gebruik van maken, zorgen natuurlijk altijd voor de nieuwste methodes en doen dat op de meest slinkse manieren. We moeten hun altijd een stap voor zijn. We moeten niet al ons geld investeren in het reactief werken maar we moeten ook op de hoogte zijn van al die nieuwe manieren van hacken en we moeten als overheid de mensen avant-gardistisch kunnen beschermen. In hoeverre maakt u middelen vrij om dat te onderzoeken en altijd een stap vooruit te blijven zodat we niet altijd te laat komen?
Collega Annouri, ik zal bij u beginnen. De 3 miljoen euro die we vrijmaken gaat net naar universiteiten en hogescholen om te investeren in datgene wat u zegt, namelijk voorsprong nemen in het veiligheidsbeleid. Hoe kan ik ervoor zorgen dat ik in het versleutelen beter ben dan de andere? Dat is preventief. Dat is nog niet hacken, maar dat is kijken hoe je ten aanzien van veiligheid en preventie kunt vermijden dat je aangevallen wordt of dat men je kan kwetsen in zijn aanvallen. Daar maken we budget voor vrij.
Ethische hackers wil ik zeker bekijken binnen de stuurgroep en ook met de minister-president, want hij is bevoegd voor de digitalisering van de overheid.
Ik wil wel meegeven dat we met de Vlaamse overheid niet alleen een phishingmail gestuurd hebben, maar dat we wel nog wat meer hebben gedaan. Er wordt elk jaar of om de twee jaar een risicoprofiel opgemaakt van alle overheidsdiensten. Zo krijg je een mooi overzicht van waar de zwakke plekken zitten. Cybersecurity is een van de zaken die daarbij worden onderzocht. De overheid is dus echt alert. We proberen bij te blijven en ik neem de suggestie zeker mee.
Mijnheer Vanryckeghem, wat de verzekeringen betreft, ken ik de cijfers niet uit mijn hoofd, maar ik denk dat ongeveer 12 procent van de bedrijven nu al een verzekering neemt. Er is weinig animo op dit ogenblik om raamcontracten af te sluiten omdat we volop willen inzetten op preventie. Ik zal het nog eens proberen uit te leggen: het is niet omdat je verzekerd bent, dat je er vanaf bent. Sowieso is het van belang dat het veiligheidsdenken in de cultuur van elk bedrijf en in elke bedrijfsmedewerker zit.
Ik kijk ook naar mezelf. Binnen de Vlaamse overheid moeten we regelmatig onze paswoorden vernieuwen. Ik vind het heel lastig om om de zoveel tijd een nieuw paswoord, dat ook nog eens sterk is, te maken en op te slaan. Je moet dan ook nog eens opletten waar je dat opslaat, want ook dat kan weer gehackt worden. We moeten proberen om dat er bij elk van onszelf in te krijgen. De Vlaamse overheid is nu een campagne gestart – ik heb daar gisteren iets van gezien – dat je je paswoord moet behandelen als je onderbroek. Dat is een doordenkertje: het betekent dat je veel moet wisselen. (Gelach)
Ik begrijp de commotie niet, want het is een waarheid als een koe.
Mevrouw Gennez, wat de veiligheidsdiensten betreft, heeft minister De Crem nog niet zo lang geleden duidelijk gemaakt dat er meer blauw online moet komen. Mevrouw Rutten voelt zich aangesproken, en dat kan ik begrijpen. (Gelach)
Het is niet dat er geen coördinatie is. Er wordt overlegd, maar er is een duidelijke taakverdeling. Vlaanderen moet preventief doen wat het kan. We investeren grote bedragen en die bedragen moeten goed worden ingezet. Er moet echt een sense of urgency zijn bij elk bedrijf omdat dit zoveel schade kan berokkenen. Picanol is de hele week dicht, wat grote verliezen betekent. Het aandeel is geschorst – en het is goed dat dit gebeurt –, maar het is wel erg dat dergelijke zaken gebeuren.
Hopelijk kunnen we uit deze heel slechte situatie iets goeds halen, namelijk dat er een tandje bij gestoken wordt en dat er veel meer mensen opgeleid kunnen worden als cyberexpert.
Dit is ook iets dat Vlaanderen niet alleen kan. Zoals mevrouw Gennez zegt, is er de relatie met het federale niveau, maar ook internationaal moet er samengewerkt worden. In Europa staat in het kader van industrieel onderzoek ook cybersecurity op de agenda. Ik hoop dat we in de komende periode met een aantal regio's of landen kunnen samenwerken om de veiligheid te versterken.
Er ligt veel werk op de plank, en hopelijk is er verder goede samenwerking, in het belang van het ondernemerschap in Vlaanderen.
Minister, ik dank u voor uw antwoord. De Vlaamse overheid heeft in deze zaak al vele puzzelstukjes gelegd. Dat mag ook eens worden gezegd. We spreken hier vaak over thema's waarbij we de feiten achternahollen, maar hier hebben we al heel wat gedaan. Dit moeten we verder verstevigen.
Ik ben blij dat de heer Annouri mijn voorstellen inzake ethische hacking intelligent, goed en zo noemt. (Gelach)
Ik kan dat alleen maar beamen. We zullen het er in de toekomst zeker nog verder over hebben.
Laat ons onze bedrijven, onze economie en onze persoonsgegevens verder beschermen. (Applaus bij Open Vld)
Het veiligheidsdenken moet inderdaad meer in onze cultuur zitten. Ik zou bijna durven vragen – maar niemand moet zijn vinger omhoog steken – hoeveel mensen in dit halfrond regelmatig hun paswoorden vervangen en hoeveel mensen er hetzelfde gemakkelijke paswoord gebruiken voor al hun socialemediatoepassingen. Het is inderdaad een fundamenteel probleem.
Misschien heb ik mij verkeerd uitgedrukt over de verzekering. Bij arbeidsongevallen bijvoorbeeld wordt er soms maar een arbeidsongevallenpolis afgesloten als er tegelijkertijd een sensibiliseringscampagne is opgemaakt binnen het bedrijf. U zou aan de bedrijven kunnen zeggen dat een polis afsluiten tegen cyberaanvallen gekoppeld moet zijn aan een securityplan met laagdrempelige maatregelen, sensibilisering enzovoort. Het is inderdaad zo dat de zwakste schakel de sterkte van de ketting zal bepalen. Vaak spreken we over letterlijk de poorten sluiten van een bedrijf, maar de virtuele deur staat als het ware wagenwijd open. (Applaus bij de N-VA)
De actuele vragen zijn afgehandeld.