Ethisch hacken voor 'Cyberveilige gemeenten'

Publicatiedatum

Auteur

Stijn De Roo

Deel dit artikel

In het voorjaar van 2020 zette de Vlaamse Overheid, in samenwerking met het Agentschap Binnenlands Bestuur (ABB), de Vereniging van Steden en Gemeenten (VVSG), Digitaal Vlaanderen, Audit Vlaanderen, en de hogeschool Howest het project ‘Cyberveilige Gemeenten’ op.

Eén van de sporen waarrond het project werkte is ‘Ethisch hacken’ waarbij lokale besturen hun ICT-omgeving kunnen laten doorlichten door ethische hackers van de hogeschool Howest. Op twee jaar tijd namen 104 steden en gemeenten deel aan het traject ‘Ethisch hacken’. Daarnaast werd het door het VVSG ook een digitale toolkit cyberveiligheid ontwikkeld en werden er webinars en bewustmakingssessies georganiseerd. Audit Vlaanderen bood ondersteuning aan lokale besturen om de informatieveiligheid te versterken.

Fractievoorzitter Stijn De Roo stelde hierover vragen aan de bevoegd schepen. De integrale antwoorden vind je hieronder:

1. Wat is de reden waarom stad Gent niet heeft deelgenomen aan het project ‘Ethisch hacken’?

"In april 2020 nam het VVSG het initiatief voor het starten van een project “cyberveilige gemeenten” in samenwerking met het Agentschap Binnenlands Bestuur, Audit Vlaanderen en Digitaal Vlaanderen.

Het project voorzag in drie sporen:

  • ontwikkeling van een digitale toolkit cyberveiligheid
  • een traject met hogeschoolstudenten die als ethische hackers ingeschakeld kunnen worden
  • het informeren en sensibiliseren van lokale besturen met als doel besturen handvatten aan te reiken om zelf aan de slag te gaan op het vlak van cyberveiligheid.

Ethical hacking is een belangrijk instrument om kwetsbaarheden te detecteren. District09 maakt op basis van de resultaten van risico beoordelingen, gebruik van interne of externe penetratietesten om cybersecurity kwetsbaarheden in kaart te brengen. Nadien worden ethical hackers aangespoord en via responsible disclousure  (zoals beschreven op de website van de stad) gehonoreerd voor het melden van eventuele alsnog gevonden kwetsbaarheden.

Het tweede spoor in het project “cyberveilige gemeenten” waarbij studenten als ethische hackers worden ingeschakeld omvat een aanbod waarbij studenten “Cyber Security Professional” fysiek en virtueel enkele dagen langs gaan bij een bestuur om de theorie in de te brengen en te proberen mogelijke werkpunten aan te reiken. Het bestuur staat daarbij zelf in voor de begeleiding van de studenten. (Dit aanbod wordt mee gepositioneerd als een voorbereiding voor een bestuur op een ge-cofinancierde ICT-veiligheidsaudit van Audit Vlaanderen).

Voor Gent vormt cyberveiligheid reeds lang een belangrijk thema waardoor we een maturiteitsniveau bereikten dat hoger ligt dan waar dit aanbod zich in hoofdzaak wil op richten.

Op 9 maart 2022 was één van onze aanbevelingen aan het VVSG dan ook om in het aanbod rekening te houden met de heterogeniteit in maturiteitsniveau bij de lokale overheden, zodat in functie van de eigen ambitie van elke lokale overheid op het vlak van cyberveiligheid en het nagestreefde maturiteitsniveau gebruik zou kunnen worden gemaakt van het aanbod en daar een eigen realistisch actieplan aan te koppelen om het gewenste niveau te bereiken.

We hebben er daarom voor geopteerd om niet in te gaan op dit aanbod maar zetten wel verder in op een structurele samenwerking met ethical hackers. Zo voorzien we dit jaar in een platform waarop we specifieke uitdagingen zullen kunnen plaatsen voor ethical hackers."

2. Heeft de stad Gent gebruik gemaakt van één van de andere tools die door het VVSG of Audit Vlaanderen werden opgesteld? Zo ja, welke? Zo nee, waarom niet?

"Binnen het project “cyberveilige gemeenten” is voorrang gegeven door Gent aan het spoor voor de ontwikkeling van een praktische werkbare digitale toolkit op het vlak van cyberveiligheid op maat van de lokale besturen. Deze toolkit had tot doel een bundeling van inspirerende praktijken (adhv. sjablonen, leidraden en andere hulpmiddelen) aan te reiken aan lokale overheden.

Hierbij zijn we verder gegaan dan louter gebruik maken van dit aanbod maar heeft District09 gedurende 2 jaar voor Gent de rol van lokale expert opgenomen in de taskforce cyberveilige gemeenten binnen dit project. Dit gaf ons de mogelijkheid tot expertise-deling met andere besturen reeds tijdens het project en tot het opnemen van een meer actieve rol in het mee tot stand brengen van deze digitale toolkit (bvb. op het vlak van het beleid voor responsible disclosure en richtlijnen voor veilige softwareontwikkeling).

In het kader van het project “cyberveilige gemeenten” van het VVSG besloot de Vlaamse overheid om daarnaast budget ter beschikking te stellen voor de cofinanciering van ICT-veiligheidsaudits via Audit Vlaanderen. Het aanbod op dit vlak bestaat uit een basisaudit en (optionele) aanvullende audits.

Op basis van de actuele maturiteit van onze organisatie op het vlak van cyberveiligheid had een basisaudit slechts een beperkte meerwaarde. De procedure voorziet evenwel in een verplichte volgordelijkheid: eerst een basisaudit, daarna pas de mogelijkheid om een aanvullende audit af te nemen.  

Het alleen omwille van de procedure eerst laten uitvoeren van de ge-co-financierde basisaudit om daarna gebruik te kunnen maken van een ge-co-financierde aanvullende audit, die wel een meerwaarde voor ons kan hebben, bleek ondanks de cofinanciering duurder dan het voorzien in maatwerkaudits op basis van onze bestaande raamcontracten. Binnen dit aanbod is er geen mogelijkheid voorzien om ge-co-financierde maatwerkaudits af te nemen zodat het voor ons niet opportuun was om in te gaan op dit aanbod.

District09 blijft dit verder opvolgen door deel te nemen aan de infosessies die worden georganiseerd vanuit het derde spoor in het project “cyberveilige gemeenten”. Zo bijvoorbeeld door deelname aan de infosessie “vaststellingen uit ICT-veiligheidsaudits (cyberveilige gemeenten)” van Audit Vlaanderen op 14 september 2022 te Mechelen."

Stijn De Roo: "Met dit antwoord van de schepen keer ik terug naar de minister. Ik zal hem bevragen hoe grote steden en gemeenten hierin voldoende ondersteund kunnen worden."

Nieuws

Steeds meer ondernemingen bewust van cyberrisico’s

Vlaams volksvertegenwoordiger Stijn De Roo (cd&v) ondervroeg bevoegd minister en partijgenoot Jo Brouns over de cyberaanvallen op Vlaamse ondernemingen.

Jachtseizoenen 2021, 2022 en 2023: afschotcijfers en conclusies

De soorten die in Vlaanderen behoren tot het jachtwild zijn opgesomd in artikel 3 van het Jachtdecreet. Dat artikel verdeelt de wildsoorten in verschillende categorieën: grof wild, klein wild, waterwild en overig wild.