Een studie door Audit Vlaanderen schetst een zorgwekkend beeld over de cyberveiligheid van onze steden en gemeenten. De laatste jaren zijn belangrijke stappen gezet maar bepaalde pijnpunten blijven bestaan. De kleine schaal van gemeenten speelt onder meer een rol. Slechts een op drie van de 144 bevraagde besturen heeft een actuele ICT-risicoanalyse en minder dan de helft heeft een concreet ICT-actieplan. Dit vormt een blijvend risico. Vlaams minister van Binnenlands Bestuur Bart Somers: “We moeten waakzaam zijn. Deze legislatuur heb ik op verschillende fronten ingezet. Dat gaat van ethische hackers die de ICT-veiligheid van een lokaal bestuur testen, over het aanbieden van audits en een toolbox cyberveiligheid tot de oprichting van een Cyber Response Team, dat getroffen besturen ondersteunt bij een cyberaanval. Het rapport van Audit Vlaanderen toont aan dat de kleine schaal van gemeenten voor structurele problemen zorgt.”
De cyberaanval op stad Antwerpen door het hackerscollectief Play zette de cyberveiligheid van onze 300 steden en gemeenten hoog op de politieke agenda. De voorbije jaren werd niet alleen stad Antwerpen het doelwit van hackers, ook onder andere Diest, Willebroek, Geraardsbergen en Herselt kregen met hackers te maken. De Vlaamse regering pompte deze legislatuur meerdere miljoenen in acties om de cyberveiligheid van lokale besturen te verbeteren en te professionaliseren. In samenwerkingen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) worden ethische hackings door hogeschoolstudenten aangeboden, het Agentschap Binnenlands Bestuur biedt samen met Audit Vlaanderen dan weer ICT-veiligheidsaudits aan. Sinds de start van het programma in 2020 tekenden reeds 163 lokale besturen in op een dergelijke audit. Somers trok voor deze audits begin legislatuur 2 miljoen euro uit. Daarnaast werd onder het initiatief van Somers en Vlaams minister-president Jan Jambon het cyber respons team (CRT) opgericht dat lokale besturen ondersteund in het geval van een hacking en aan wie ze vragen kunnen stellen. Somers komt daarboven binnenkort met een zelfevaluatietool die lokale besturen in staat stelt om op een makkelijke manier een eerste inschatting te krijgen van de belangrijkste ICT-risico’s binnen hun eigen organisatie.
Belangrijke stappen gezet, bepaalde problemen blijven
Een rapport van Audit Vlaanderen, een onafhankelijk agentschap dat audits uitoefent bij de Vlaamse administratie en lokale besturen, schets een zorgwekkend beeld over de cybersecurity van onze lokale besturen. Ondanks dat er de voorbije jaren belangrijke stappen zijn gezet en lokale besturen fundamentele inspanningen leveren, blijven structurele problemen overeind.
In een bevraging bij 144 steden en gemeenten gaf minder dan de helft aan een concreet ICT-actieplan te hebben, slechts een derde van de bevraagde besturen heeft een actuele ICT-risicoanalyse. Dit vormt een blijvend risico sinds deze lokale besturen niet in staat zijn om proactief ICT-risico’s te beheren. Ze kunnen met andere woorden hun ICT-gebeuren onvoldoende organiseren en opvolgen en kunnen bijvoorbeeld alleen achteraf reageren op mogelijke hackpogingen, waardoor ze vaak nodeloos te laat zullen zijn.
Werkpunten
Daarnaast blijkt uit de studie ook dat meer dan 50% van de bevraagde lokale besturen aangeeft dat er binnen het thema cyberveiligheid nog steeds belangrijke werkpunten zijn. Slechts 28% heeft een voldoende bedrijfscontinuïteitsplan liggen. Met dit plan tekent een stad of gemeente uit hoe men de dienstverlening zal garanderen na een aanval zodat de heropstart vlot en snel kan verlopen. Met zo een plan kan je de schade van een mogelijke aanval ook proberen beperken.
Te kleine schaal vormt bijkomend risico
Ondanks de blijvende steun van de Vlaamse Regering en dat de besturen zelf aangeven dat cyberveiligheid een risico vormt, blijven de uitdagingen groot. Een van de redenen hiervoor is de kleine schaal van sommige gemeenten. De allerkleinste besturen slagen er vaak niet in de juiste ICT-profielen aan te trekken en de nodige professionalisering door te voeren. Vaak werken daar slechts één tot twee personen op de dienst ICT en worden deze personen ook operationeel ingezet voor bijvoorbeeld het uitbaten van de helpdesk of het installeren van nieuwe hardware en telefonie. Hierdoor ontbreekt de tijd en mentale ruimte om de ICT-risico’s van lokale besturen in kaart te brengen en aan te pakken.
“We hebben recent een grote hervorming doorgevoerd die lokale besturen in staat stelt flexibeler personeel aan te werven of bepaalde profielen beter te vergoeden. Zo kan een stad of gemeente beslissen de diploma vereiste te laten vallen maar te kijken naar de ervaring. Toch zien we dat specifiek voor kleine gemeenten de situatie een grote uitdaging vormt. ICT-profielen hebben vaak weinig interesse om daar aan de slag te gaan en de kleine schaal staat een professionalisering in de weg. De huidige bestuurlijke versnippering vormt een risico.”, aldus Vlaams minister Somers. Hij benadrukt daarbij dat lokale besturen hun uiterste best doen maar wijst op de nood aan minder maar meer slagkrachtige besturen.
Waarschuwing voor de zomervakantie
Minister Somers sluit af door de lokale besturen nog eens op het hart te drukken waakzaam te zijn en blijven tijdens de zomerperiode. Tijdens vakantieperiodes of de eindejaarsperiode is de dreiging typisch hoger gezien hackers weten dat ICT-diensten dan vaak op halve kracht draaien.
SHARE