Inloggen Geen profiel? Registreer hier.

Audit Vlaanderen wijst op cyberrisico’s tijdens CIS-dag 2020

13/11/2020

Op onze jaarlijkse CIS-dag (10/11/2020) kwam onder meer Gunther Schryvers (Audit Vlaanderen) spreken. Tijdens zijn presentatie trok hij aan de alarmbel over cyberrisico’s die lokale besturen vandaag lopen. Tegelijk gaf hij enkele quick wins mee, waarop steden en gemeenten kunnen inzetten om op vlak van cyberbeveiliging snel winst te boeken.

Thema-audit informatiebeveiliging

In 2018 voerde Gunther met z’n team een thema-audit informatiebeveiliging door bij de lokale besturen, o.b.v. het ISO 27000-raamwerk. In het globaal rapport dat ze daarover formuleerden, wordt onder meer weergegeven hoe lokale besturen hun informatiebeveiliging aanpakken, welke problemen ze daarbij ervaren en welke verbeteracties nog mogelijk zijn. Audit Vlaanderen concludeert dat er inspanningen geleverd zijn, maar tot op vandaag zijn er nog steeds risico’s die onbeheerd zijn en daardoor een reëel gevaar vormen voor de werking van lokale besturen. Zo wordt in drie kwart van de gevallen de IT-omgeving volledig overgenomen wanneer een ethische hacker een bezoekje brengt aan een stad of gemeente. Het is dus vijf voor twaalf, aldus Gunther Schryvers.

Nu, twee jaar later, gaat Gunther met zijn team opnieuw langs bij enkele lokale besturen om te na  gaan hoe de situatie is geëvolueerd. ‘Normaal gezien starten we niet zo snel opnieuw een audit op rond éénzelfde thema, maar dit keer is het sneller gegaan. Er zijn nog steeds grote onafgedekte risico’s in de lokale besturen en ze lopen dan ook het gevaar dat hun werking lamgelegd wordt’, geeft Gunther Schryvers tijdens zijn presentatie mee. Aanbevelingen die in 2018 werden geformuleerd, zijn in 2019 opgevolgd. Schryvers: ‘Er zijn zeker en vast inspanningen geleverd en zaken gerealiseerd, maar er is nog werk aan de winkel.’ Hij wijst er wel op dat lokale besturen hier niet alleen voor staan. Er zijn heel wat organisaties die advies, hulp en concrete tools aanleveren, waaronder de VVSG, CCB, V-ICT-OR, Safeonweb.be, etc. V-ICT-OR probeert onder meer met de informatieveiligheidstool steden en gemeenten te ondersteunen.

Eén van de zaken die aan de thema-audit van 2020 werd toegevoegd, is het luik rond persoonsgegevens. In 2018 was de Algemene Verordening Gegevensbescherming (AVG) nog niet zo ingeburgerd, maar nu is dat anders. Daarnaast kwamen inspanningen ook in een stroomversnelling nadat de Vlaamse regering besloot een programma op te zetten om lokale besturen te ondersteunen op vlak van cyberveiligheid. Naar aanleiding hiervan besloot ook Audit Vlaanderen om de thema-audit uit te stellen en slechts zes besturen onder de loep te nemen.

Quick wins

Er zijn alvast enkele zaken waar lokale besturen kunnen op inzetten en die hen zullen helpen om de cyberrisico’s in te perken. Het gebruik van sterke wachtwoorden, ook voor technische accounts kan al een hele stap vooruit zijn. Ook het beheren van toegangen en rechten is volgens Audit Vlaanderen cruciaal. Daarnaast vormen ook het tijdig actualiseren van IT-systemen en de gepaste versleuteling onontbeerlijke elementen. Volgens Gunther Schryvers kan het ook helpen om een netwerk op te delen in verschillende segmenten. Tot slot geeft hij ook mee dat zowel kwetsbaarheden als de levenscyclus van soft- en hardware voldoende opgevolgd moeten worden.