Audit Vlaanderen voerde in 2018 een eerste controle-audit uit op vlak van cyberveiligheid. Deze werd vervolgd in 2020 bij zes lokale besturen, namelijk Aalst, Boutersem, Denderleeuw, Geel, Wervik en Zutendaal. Hierdoor moet het eindverslag enigszins genuanceerd worden, maar de conclusies liggen in dezelfde lijn als bij de audit van 2018 en zijn daarom waardevol.
De belangrijkste conclusie is, net zoals in 2018, dat de lokale besturen nog steeds bijkomende inspanningen moeten leveren om de risico’s voor informatiebeveiliging voldoende te beheersen. Concreet blijven de meeste lokale besturen dus kwetsbaar voor hackers. Dit risico waarbij persoonsgevoelige gegevens kunnen bemachtigd worden, geldt bovendien ook voor de vaccinatiecentra. Daar zullen immers lijsten met persoonlijke gegevens worden bijgehouden in tijdelijke structuren.
Omdat de cyberveiligheid van de lokale besturen belangrijk is, biedt Audit Vlaanderen de mogelijkheid om een basisaudit te laten uitvoeren die de belangrijkste potentiële kwetsbaarheden op vlak van cyberveiligheid detecteert. Een dergelijke audit wordt voor 2/3e gefinancierd door de Vlaamse overheid. Deze regeling geldt nog tot 31 december 2021.
Derhalve graag volgende vragen:
Werd onze stad al slachtoffer van hacking?
Indien ja, wanneer en hoe vaak deed zich dat voor? Welke stappen werden nadien ondernomen om de cyberveiligheid te verbeteren?
Indien nee, is de huidige cyberveiligheid nog afdoende?
Op 25 februari 2016 werd het netwerk van de stad, vanop een PC van het C-mine cultuurcentrum, getroffen door het Cryptolocker virus. Van dat incident werd een rapport opgemaakt en volgende bijkomende maatregelen werden genomen:
De veiligheid wordt ook verhoogd door de uitrol van de tweefactorauthenticatie. De implementatie loopt momenteel en afronding is voorzien op 26/3.
Binnen de werkgroep Informatieveiligheid is recent ook een apart traject gestart om de bestaande incidentpolicy uit 2016 over de te volgen procedure bij een incident te evalueren en te actualiseren.
Hoe wordt deze geactualiseerd?
Cyberveiligheid en informatieveiligheid vormen een permanent aandachtspunt in het team- en sectoroverleg van team informatica, de tweemaandelijkse overleggen werkgroep informatieveiligheid en het maandelijks overleg van het team informatica met onze securitypartner Orange Defense.
Ter illustratie: deze partner signaleerde de bestaande kwetsbaarheden in Microsoft Exchange twee weken voor de informatie in de pers bekend werd. Ondertussen werd ook de nodige actie ondernomen.
Heeft onze stad al een basisaudit cyberveiligheid laten uitvoeren? Indien ja, welke conclusies kwamen hieruit naar voor? Indien nee, zal onze stad gebruik maken van de cofinanciering door de Vlaamse overheid en alsnog zo’n audit laten uitvoeren?
In oktober 2019 werd door Synergics een CSAT-scan (een Cyber Security Assessment Tool) uitgevoerd. Via deze tool wordt de maturiteit met betrekking tot cyberveiligheid gemeten. Op basis van deze screening werd door Synergics een rapport opgemaakt met een dertiental aandachtspunten. Deze aandachtspunten werden opgenomen in een actieplan voor de periode 2020-2022, dat verder opgevolgd wordt door de werkgroep Informatieveiligheid en het Intern Auditcomité. Elementen hierin zijn o.a. 2FA (uitrol lopend) en een onderzoek en uitrol van bijkomende maatregelen met o.a. bijkomende software voor het systematisch opvolgen van kwetsbaarheden.
In het vaccinatiecentrum zullen ook gevoelige gegevens opgeslagen worden. Is de cyberveiligheid daar voldoende gegarandeerd? Op welke wijze?
De volledige apparatuur (met inbegrip van de wifi) en de telefonie (het callcenter) zit op het systeem van de stad en valt dus onder de maatregelen die uitgerold zijn voor de stad. De applicaties zelf vallen onder de verantwoordelijkheid van het Agentschap Zorg en de Eerstelijnszone. Eigen ontwikkelingen of software vallen onder de informatieveiligheidsvereisten uitgewerkt binnen de stad.
di 23/03/2021 - 18:06