Verslag plenaire vergadering
Verslag
De heer De Roo heeft het woord.
Minister-president, hackers slaagden erin om een half miljoen Belgische bedrijfse-mailadressen en bijbehorende wachtwoorden te bemachtigen. Ze haalden de data van RaidForums, een platform waar gestolen gegevens worden verhandeld, of werden verhandeld, moet ik eigenlijk zeggen, want vorig jaar nam de FBI samen met Europol een initiatief waardoor het platform offline werd gehaald. Toch kon dat niet verhinderden dat de gegevens recent werden ontvreemd. Volgens de pers staan er op de lijst onder meer e-mailadressen en wachtwoorden van medewerkers van diverse bedrijven en instellingen, waaronder de Universiteit Gent (UGent), de KU Leuven en de VRT. De kans is groot dat het gaat over oudere wachtwoorden van de bedrijfsaccounts, misschien zelfs over verouderde accounts van mensen die er ondertussen niet meer werken.
Ondertussen hebben diverse bedrijven hun beleid inzake cybersecurity ook aangepast. Denk maar aan de tweestapsverificatie die steeds meer ingang vindt. Toch is het niet duidelijk wat de precieze impact is van dit lek. Is de Vlaamse overheid ook betrokken, zijn er ook studentenaccounts betrokken enzovoort? Daarover is er nog wel wat onduidelijkheid. Het gaat natuurlijk over twee belangrijke kennisinstellingen en over de openbare omroep, en elke tekortkoming in de digitale beveiliging vormt een potentieel risico. Zelfs al zijn de accounts of de wachtwoorden niet meer actief, dan nog kan het lekken van wachtwoorden ook een invloed hebben op de privésfeer indien dezelfde wachtwoorden zouden worden gebruikt voor privéaangelegenheden.
Minister-president, vandaar dus mijn vragen aan u. Hoe wilt u de informatieveiligheid in onze kennisinstellingen, de openbare omroep en de overheid garanderen?
Minister-president Jambon heeft het woord.
Mijnheer De Roo, ik ben het natuurlijk met u eens. In de analoge wereld zetten we heel veel in op veiligheid. In de digitale wereld moeten we dat zo mogelijk nog meer doen. Voor de Vlaamse overheid pakken we dat aan met een breed spectrum aan acties, sommige veeleer beleidsmatig, andere puur technisch, organisatorisch of communicatief. Wat de informatieveiligheid van de overheid betreft, worden de risico’s en de bedreigingen continu geëvalueerd. Die evolueren ook continu, dus moeten we continu evalueren. We hebben de werkgroep informatieveiligheid in het Stuurorgaan Vlaams Informatie- en ICT-beleid. Als de werkgroep adviezen formuleert, gaan die naar het stuurorgaan en bekijkt dat orgaan binnen zijn bevoegdheden welke aanpassingen er nodig zijn aan het informatieveiligheidsbeleid binnen de Vlaamse overheid. Daarbij worden de leidend ambtenaren voortdurend geïnformeerd over geïdentificeerde risico’s en te nemen technische en organisatorische maatregelen. Sinds oktober 2021, dus nu bijna twee jaar geleden, is ook een programma opgestart rond het voeren van een gezamenlijk informatieveiligheidsbeleid voor de gehele Vlaamse administratie. Die strategie is goedgekeurd door de Vlaamse Regering op 15 oktober 2021. Digitaal Vlaanderen treedt op als de regieorganisatie, die een sturend karakter biedt aan deze initiatieven. In die rol heeft Digitaal Vlaanderen beleidsafspraken gemaakt over de authenticatiestrategie, en dan spreken we niet alleen over duale authenticatie, maar ook over multifactorauthenticatie.
Men heeft reeds twee relevante adviezen geformuleerd. Een eerste advies gaat over software of andere dienstverleningen door medewerkers van de overheid buiten contractuele kaders. Het gaat dus om e-mails die gelinkt zijn aan een bedrijf of een instelling en hoe ze kunnen worden gebruikt buiten de contractuele kaders. Men moet daar bijzonder voorzichtig mee optreden. Het wachtwoordenbeleid is een tweede advies. Het is de verantwoordelijkheid van elk departement en agentschap om die regels ook toe te passen.
De lokale besturen zijn ook op heel wat vlakken gelinkt aan de Vlaamse overheid, fysiek en digitaal. Daar hebben collega Somers en ikzelf het Cyber Response Team opgericht. Zij nemen een coördinerende en kennisdelende taak op voor de belanghebbenden, zowel naar de lokale besturen als binnen de Vlaamse overheid wat de interactie betreft. Alle administraties verbonden aan de Vlaamse overheid worden door mij actief opgeroepen om deel te nemen aan deze beleidsvormende initiatieven. De dienst- en afdelingshoofden en de lokale besturen krijgen een heleboel dingen aangereikt, maar ze moeten die wel toepassen in hun eigen organisatie. We controleren wel daarop, maar de verantwoordelijkheid ligt bij de verantwoordelijken.
De heer De Roo heeft het woord.
Dank u wel, minister-president, voor uw antwoord. We moeten effectief inzetten op die systemen. Die systeem moeten tonen op welke manier de veiligheid kan worden verhoogd. We hebben daar in de commissie al een debat over gevoerd. Het feit dat de departementen zelf verantwoordelijk zijn, zorgt ervoor dat zij dat op de juiste manier kunnen implementeren, passend bij hun departement. Maar het brengt ook een risico met zich mee wanneer het onvoldoende wordt opgevolgd. Ik denk dat we daar zeker goed moeten blijven evalueren en kijken of de departementen de juiste dingen doen en effectief overgaan tot implementatie.
Een ander onderdeel is dat we personeelsleden moeten gaan sensibiliseren. Als we kijken naar de laatste cybersecuritybarometer, die de situatie van 2022 bekijkt, zien we dat 57 procent van de Vlaamse bedrijven het gebrek aan bewustzijn rond cybersecurity bij werknemers als een obstakel ziet om verder te gaan in de implementatie ervan. Het verhogen van de digitale competenties is nodig in bedrijven, maar ook in een overheidscontext.
Mijn vraag, minister-president, is hoe u de competenties van de leden van de Vlaamse overheid verder gaat verhogen.
De heer Vandenhove heeft het woord.
Minister-president, ik bedank de collega voor de vraag. We hebben het in de commissie Algemeen Beleid al een aantal keer over dit thema gehad, onder andere over de situatie in Antwerpen en in andere gemeenten. De oproep was dat Vlaanderen daar maximaal moet ondersteunen. Nu doet dit zich voor met een aantal kennisinstellingen. Vlaanderen moet er alles aan doen om de knowhow ter beschikking te stellen en zo veel mogelijk instanties en openbare besturen te ondersteunen.
Mijn laatste punt betreft het Vlaams Datanutsbedrijf, we hebben het daar vorige week nog over gehad. Het heet ondertussen athumi, denk ik. Ik neem aan dat het in een van de volgende plenaire vergaderingen aan bod zal komen. Ik zou, net zoals ik in de commissie al heb gedaan, naar aanleiding van het Vlaams Datanutsbedrijf, waarbij het de terechte ambitie is om de digitale dienstverlening voor alle burgers te verbeteren, willen aandringen om daar extra aandacht te besteden aan cybersecurity. (Applaus bij Vooruit)
Minister-president Jambon heeft het woord.
Dank u wel collega's. Wat betreft de opvolging is het de taak van Digitaal Vlaanderen om regelmatig te solderen, om na te gaan of de regels die we opleggen ook effectief gevolgd worden. U hebt de vergelijking gemaakt met de bedrijfswereld, u hebt daar een cijfer genoemd van 57 procent. Ik beschouw de overheid als een van de bedrijven. Het is dus onze verantwoordelijkheid om binnen de Vlaamse overheid te zorgen dat er een veiligheidsbeleid is – en dat is er –, dat het opgevolgd wordt – dat gebeurt ook –, dat er ook verantwoordelijken voor aangeduid worden – en ook dat gebeurt.
Wat betreft het verhogen van de competenties, wijs ik op het permanente aanbod van Digitaal Vlaanderen aan diensthoofden en afdelingshoofden indien er een behoefte is aan bijscholing van medewerkers. De grote verantwoordelijkheid ligt bij de leidende ambtenaren.
En mijnheer Vandenhove, blij dat u de naam athumi noemt. Het zou natuurlijk verschrikkelijk zijn als het bedrijf dat juist opgericht is om het vertrouwen in het systeem van databeheer te versterken, steken zou laten vallen op het vlak van digitale veiligheid. Ik weet dat dit prioriteit is voor de mensen die athumi leiden.
De heer De Roo heeft het woord.
Dank voor uw bijkomend antwoord, minister-president. We zitten in een steeds verder digitaliserende maatschappij. Onze economie wordt steeds meer digitaal. We moeten ervoor zorgen dat iedereen meekan, maar we moeten er vooral voor zorgen dat het veilig kan verlopen. We zijn een kenniseconomie, we zijn een data-economie, en dat zal alleen maar toenemen. We moeten dus blijven investeren in de cyberveiligheid van onze bedrijven en onze overheid. (Applaus)
De actuele vraag is afgehandeld.