'Belgische overheidsdiensten missen centraal informatiebeveiligingsbeleid'

Volgens N-VA-Kamerlid Brecht Vermeulen hebben de federale overheidsdiensten van België geen centraal beleid ten aanzien van informatiebeveiliging. Dat concludeert hij na een rondvraag onder de diensten.

Volgens De Tijd zei Vermeulen: "Er is geen centraal beleid voor de informaticabeveiliging. De kwaliteit van de beveiliging is afhankelijk van de interesse van de personen die er werken. En dus zijn bepaalde overheidsdiensten veel kwetsbaarder dan andere. Uit de cijfers die ik opvroeg, blijkt dat maar enkele overheidsdiensten specifieke personeelsleden hebben aangesteld voor informaticabeveiliging. Vaak moeten die hun cybersecurityopdrachten combineren met andere ict-taken. Dat kan veel beter georganiseerd worden."

Het Kamerlid zegt ook een tekort aan middelen te hebben vastgesteld. Zo heeft alleen de overheidsdienst voor Financiën een speciaal beveiligingsteam. Dat bestaat uit zes mensen, waarbij er daarnaast nog een ict-team is dat bestaat uit vijftien leden. Volgens Vermeulen heeft Financiën met meer dan 20.000 werknemers een kleiner team dan bijvoorbeeld de provider Proximus, dat een beveiligingsteam van 31 mensen en een ict-team van 200 personen heeft.

Bovendien zouden de overheidsdiensten wekelijks met minstens één gerichte internetaanval te maken krijgen, als is onduidelijk wat voor soort aanvallen daaronder vallen. Bij Financiën was er in 2016 sprake van een infectie met ransomware, waarbij 110 systemen geïnfecteerd raakten. Daarbij gingen bestanden verloren, maar het ging daarbij niet om 'strategische info'. Hoewel er tot nu toe nog geen 'echte inbraak' zou hebben plaatsgevonden bij de dienst, zou deze jaarlijks '3000 gevallen van malware tijdig neutraliseren'.

Incidenten zouden ten slotte ook niet bij de politie worden gemeld. Vermeulen hoorde over een incident bij de overheidsdienst Economie in 2017, waarbij het zou gaan om een 'effectieve cyberaanval'. Dat bleek ransomware te zijn, waarvoor 'snel een oplossing is gevonden'. Daarom zou geen melding zijn gemaakt. Ook een hack op een server van Buitenlandse Zaken zou niet zijn gemeld omdat er geen schade was.

Door Sander van Voorst

Nieuwsredacteur

29-08-2018 • 12:43

27

Submitter: HKLM_

Reacties (27)

Sorteer op:

Weergave:

https://www.ccb.belgium.be De situatie is misschien nog niet ideaal, maar de centrale overheidsdienst bestaat wel sinds enkele jaren. Verder is het vooral politiek die zorgt dat er veel verschil tussen de departementen zit

[Reactie gewijzigd door Nik Du Bois op 23 juli 2024 12:37]

Uit het origineel artikel:

Het N-VA-Kamerlid roept op alle taken en middelen voor ICT-opdrachten op middellange termijn onder te brengen op één plaats, bij de federale overheidsdienst Beleid en Ondersteuning. Die kan dan nauw samenwerken met het Centrum voor Cybersecurity België (CCB), dat onder de premier valt en dat al opleidingen geeft aan ambtenaren en de overheidsdiensten uitrust met een risicobeheersysteem.
Deze referentie had ik inderdaad gemist. Wel raar: eerst roept hij op om security apart te houden van IT wat correct is en in de quote van u zegt hij dan weer om alles onder ICT centraal te groeperen :?
Om efficient te werken moet IT security niet onder IT vallen, en ook de locale omgeving zeer goed kennen. Geef het CCB de mogelijkheid om de ministeries een bepaald minimum van security compliance op te leggen en te testen, dan moeten de ministeries zelf wel investeren en hun zaken op orde brengen.
Qua infrastructuur zit het goed snor op Financien (unlimited money en veel,dingen outsourced). Alleen blijven sommige dingen onder beheer van altenaren die koste wat kost hun postje willen behouden en verantwoordelijkzijn voor vaak dingen waar ze geen hol van afweten.

Regelmatig volgen ze eens certificaatje ofso maar zijn er niet mee opgegroeid. En vaak nemen ze geen advies aan van ondergeschikten die wel kennis van zaken hebben.

Source: ik heb 11 jaar gewerkt op ict dienst van Fodfin en weet naar alle waarschijnlijkheid over welke mensen het gaat.

Die ransomware is niks, zijn nog zaken geweest die door die dienst om zeep geholpen zijn. Op alle pcs java om zeep helpen met 1 security script te implementeren, of door,een slechte configuratie van een mcafee epo server werden ongeveer 10 a 15k pc niet van updates voorzien van updates als gevolg dat die pcs het sasservirus binnenkregen waardoor ze eindeloos hingen herstarten. Daarom hadden ze een cd gemaakt die naar de gebouwen werd opgestuurd voor het virus te verwijderen, maar die verwijderde naast het virus, ook een sys bestandje waardoor de pcs zonder netwerk vielen....en ga zo maar door.

Er zitten competente mensen, maar die zijn er weinig en degene die er zijn werken ze wel,tegen.
Qua collegas had ik niet te klagen, supermensen, maar op ict gebied liepen ze redelijk achter. (Op uitzondering na ofc)
Spijtig dat je zo'n negatieve ervaringen had daar :/
Ik zou je wel willen adviseren op te letten de was van je (ex) klanten/werkgevers niet buiten te hangen. Ten eerste is het niet netjes, ten tweede lek je misschien onbewust informatie (die je niet mocht lekken) en ten derde vinden toekomstige klanten en werkgevers loyaliteit sowieso belangrijk.
Ik mis de vermelding dat dit een kamerlid is voor de Nieuw Vlaamse Alliantie, een nogal conservatieve en nationalistische partij.
Hoewel dat juist is, begrijp ik niet echt waarom dat relevant is. Ik vind het juist zeer netjes dat hij federale problemen duidelijk maakt, navraagt en onderzoekt. Je zegt dat ze (vlaams)nationalisten zijn, maar het gaat hier wel over een federaal probleem dat hij probeert op te lossen... 8)7
Ik lees het artikel daardoor een beetje met een korrel zout.
Je kan het ook lezen als een Vlaams Nationalist die met dit betoog duidelijk wil maken dat wat federaal georganiseerd is niet werkt. In die zin is het dan weer wel relevant.
Hoewel er tot nu toe nog geen 'echte inbraak' zou hebben plaatsgevonden bij de dienst, zou deze jaarlijks '3000 gevallen van malware tijdig neutraliseren'.
Of ze hebben natuurlijk geen 'echte inbraak' kunnen vaststellen.
Dat dus. Een echte inbraak vaststellen doe je niet op basis van gebruikersmeldingen of antivirus die op hol slaat.
Een echte inbraak vaststellen doe je door het continue monitoren van gedrag (van gebruikers en systemen) en het auditen waar je maar kan (wie logt waar aan, welke data wordt gebruikt, systeemconfiguraties,...). Mij lijkt het dat zoiets bij gebrek aan personeel en opvolging wel eens te weinig zou kunnen gebeuren, en dan zou het niet verwonderlijk zijn mochten ze het niet weten als er bijvoorbeeld gisteren iemand hun hele fileserver kopieerde.
Hier in mijn stad draaien ze vaak nog Windows XP waarmee ze toegang hebben tot identiteitsgegevens van burgers. Tsjonge tsjonge.
De gehele IT is ook niet centraal binnen de overheid. En dat is in de hand gewerkt door partijen zoals N-VA, die willen toch alles graag regionaal doen.
Dat IT niet centraal is binnen de ganse Belgische overheid, lijkt me ergens logisch. België kent meer bestuursniveau's dan de ons omliggende landen, met vooral federaal en regionaal verschillende diensten (de provinciale en lokale bevoegdheden komen eerder verder uit bevoegdheden die gedelegeerd zijn vanuit de hogere overheden).
Wat mij wel minder logisch lijkt, is dat op éénzelfde bestuursniveau elke overheidsdienst zelf instaat voor de eigen IT-diensten. Je hebt wel het CCB, maar dat geeft guidelines uit en geeft opleidingen (inzake overheidsdiensten). Dat geeft dus dat elke overheidsdienst wel weet dat warm water bestaat, maar iedere dienst mag gaan uitzoeken hoe ze op hun dienst het water warm kunnen krijgen, om het wat met beeldspraak te zeggen.
Misschien zou het CCB nog een opdracht bij moeten krijgen om een standaard ICT-structuur op poten te zetten, met een soort modules naargelang de noden. Dan zou de opbouw in elke overheidsdienst hetzelfde zijn, wat ook de uitwisseling en opleiding van overheids-IT-personeel vergemakkelijkt.

offtopic : het bashen op N-VA op dit thema kan ik ook niet volgen. De regionalisering van het land is begonnen in 1970 met de eerste staatshervorming, nog voor dat er sprake was van N-VA. Momenteel staat N-VA voor een betere harmonisering van de bevoegdheden, weliswaar naar het regionale en lokale bestuursniveau.

[Reactie gewijzigd door Arator op 23 juli 2024 12:37]

Dus cloud is te centraal?
1 IT beheer wil niet zeggeb dat men dan ineens overal toegang heeft. Dat is denken in termen van 20 of 30 jaar geleden. Het strategisch denken rond IT en de tactische uitwerking is wel iets dat moet worden gecentraliseerd. Hoe wil men anders tot en IT komen die afgestemd is met de doelstellingen van een overheid.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:37]

Dus cloud is te centraal?
Voor een overheid is cloud te centraal, ja. Je kan je hele land niet afhankelijk laten zijn van bv. één cloud leverancier. Eigenlijk zijn er vele systemen binnen een overheid die je nooit, maar dan ook echt nooit, buiten de landsgrenzen wil en/of buiten eigen controle (op de meest volledige manier denkbaar).

Ik denk dan aan militaire systemen, bijvoorbeeld.
Je spreekt over on-topic maar ik lees niets maar dan ook niets dat on-topic is. Enigste dat ik lees zijn van die populaire uitspraken die men ergens op café heeft horen waaien en die zeer populair zijn onder het niet tevreden gedeelte van de bevolking.

Kan het beter ? Natuurlijk. Het kan zelfs nog veel beter. Maar volgens mij zijn we al een paar jaar bezig met een serieuze inhaalbeweging, zeker op vlaams niveau waar volop wordt ingezet op digitale samenleving met open data en open software.
Zo is Vlaanderen bezig met alles in data-modellen te gieten waardoor uitwisselbaarheid erg versimpeld wordt : https://data.vlaanderen.be/
Het is misschien de omgekeerde wereld maar de laatste jaren volgt federaal de werken op vlaams niveau op de voet en neemt ze dan over. Dat zal ook hier het geval zijn.

Over het artikel : ik dacht eigenlijk dat er al enkele jaren een centrale security dienst was. Een beleid is er misschien nog niet helemaal maar de dienst is er wel al
Grappig dat dat onder belgen een beetje de concensus is.
Misschien eens een paar jaar buiten de Benelux gaan wonen :) Ik woon nu al 3 jaar in Ierland. Ik heb best veel respect gekregen voor de Belgische regering en ons systeem.

Wegen in België zijn misschien niet perfect (Nederland heeft nog de bovenhand op dat gebied) maar in Ierland is dat rampzalig, zelfs midden in de hoofdstad. En dat met 800 euro wegenbelasting en duizenden euro's aan inschrijfkosten voor voertuigen (dat ding dat in België een flat fee van 250 euro is; ik werdt zo even gevraagd om 3700 euro ;) ).

Informatie delen bij de regering gaat in België ook best goed. Alles gelinkt aan de rijksregisternummer (en dus identiteitskaart). Hier in Ierland heb ik ondertussen bij verhuis binnen Ierland zelf al bij 6 afzonderlijke regeringsdepartementen mijn adres moeten laten aanpassen. Ik ben hier ook opgelicht, en kan die man niet aanklagen omdat hij doet alsof hij niet woont op het adres dat ik van hem heb door simpelweg aangetekende brieven te weigeren (ik weet dat hij daar wel degelijk woont) en het gerecht niet bij de gegevens van de regeringsdepartementen kan (maar ook die zijn niet up-to-date, dus tja...).

Ik weet dat dit zwaar off-topic is (net zoals het bericht waar ik uberhaupt op reageer, dus excuses daarvoor aan de mede-Tweakers), maar het komt er uiteindelijk op neer dat elk land zijn problemen heeft en je de slechtere dingen vaak pas doorhebt als je er een tijdje gewoont hebt. Dus ik kan je met best wel heel erg wat zekerheid vertellen dat de Belgische regering best wel efficiënt in elkaar zit (hoe vreemd dat ook mag klinken, met 6 regeringen voor 1 land 😅) en de wegen helemaal prima zijn in de meeste gevallen. België is modern land, en loopt ver voor op de meeste andere landen.

Dat gezegd zijnde, buiten dat het op veel manieren decenia achterloopt op bijvoorbeeld België en Nederland, heeft Ierland ook zeker wel zijn perks, en zijn er dingen die dit land veel beter gedaan heeft dat bijvoorbeeld België en Nederland. Dus ik wil ook niet zeggen dat Ierland slecht is of dat België perfect is, want dat is absoluut niet het geval. Ik hoop alleen dat dit misschien een ander perspectief kan bieden.

[Reactie gewijzigd door RobinJ1995 op 23 juli 2024 12:37]

Sommige gedeeltes van uw betoog kloppen mogelijks, maar in België wordt al jaren zwaar onder geïnvesteerd in wegenwerken. Die "gigantische investeringen in wegenwerken" ken ik niet.
Ook elk jaar opnieuw asfalt gieten is mij niet bekend. Mogelijks heb je het over de jaarlijkse herstellingen met gietasfalt, maar dat is net het resultaat van geen budget te hebben om het goed te herstellen.
bijna elke 1 of 2 jaar wordt de asfalt opnieuw gegoten.
Sorry is echt helemaal niets van te merken.

Ter verdediging van België, jullie zijn wel een doorvoer land, als in de zin, dat veel vrachtwagens naar het zuiden vaak door België heen rijden. En omgekeerd dus ook weer.
Ba ba ba ba bananen... :+

Op dit item kan niet meer gereageerd worden.