Cyberveilige gemeenten

De digitale transformatie biedt kansen voor lokale besturen, maar het toenemende belang van technologie en digitale info is niet zonder risico’s. Cybercriminaliteit is in opmars en de potentiële schade die organisaties hierbij kunnen oplopen is groot.

Cyberaanvallen en ethische hackers

In januari werd gemeente Willebroek het slachtoffer van een cyberaanval. Dit kwam uitgebreid aan bod in de media want het was de eerste grootschalige aanval op een gemeentebestuur. Uit een doorlichting van Audit Vlaanderen bleek bovendien dat bij 24 van de 28 geanalyseerde besturen ingehuurde ethische hackers controle konden krijgen over de volledige IT-omgeving of de belangrijkste delen ervan.

Beide voorvallen leiden tot een nieuw actieplan voor informatie- en cyberveiligheid bij lokale besturen door minister Somers: het programma ‘Cyberveilige gemeenten’. Dit programma wordt in concreto uitgewerkt door het Agentschap Binnenlands Bestuur, de VVSG, het Facilitair Bedrijf en Audit Vlaanderen en bestaat uit twee delen:

  1. cofinanciering voor het uitvoeren van een ICT-veiligheidsaudit
  2. ontwikkeling van een digitale toolbox cyberveiligheid op maat van lokale besturen

Een digitale toolkit voor lokale besturen

Er is nu al heel wat informatie over cyberveiligheid maar deze informatie is versnipperd en niet altijd op maat van het lokaal bestuur. VVSG zal samen met experten die informatie verzamelen, analyseren, waar nodig aanpassen en samenbrengen in één digitale toolkit. Voor dit project werd een taskforce van een kleine groep lokale experten op poten gezet. Ook onze collega Dimitri Ceyssens maakt als DPO deel uit van deze taskforce. Het is een multidisciplinaire groep met noodplanners, communicatieverantwoordelijken, IT’ers en DPO’s.

De toolkit zal bestaan uit een proactief en reactief luik. Om inbreuken te voorkomen worden allerlei beleidsdocumenten rond encryptie, monitoring, sensibilisering,… verzameld. Handleidingen, processen en structurele maatregelen rond gegevenslekken, multifactor-authentificatie maar ook tools hiervoor komen aan bod.

Tijdens het incident zelf ontstaat vaak een panieksituatie. Dan is het des te belangrijker om terug te kunnen vallen op vooraf gemaakte afspraken en richtlijnen om de situatie zo snel mogelijk in kaart te brengen en onder controle te krijgen. Een noodplanning is wel altijd aanwezig, maar vaak is dit een algemene planning en gaat dit over het grondgebied. Een aparte noodplanning ICT is dus noodzakelijk: welke toepassingen zijn er allemaal, wie moet je contacteren binnen het bestuur en bij leveranciers, hoe krijg je de systemen terug operationeel … De taskforce zal alle bestaande documenten verzamelen en omvormen tot één groot standaardplan, om zo meer uniformiteit en standaardisatie tussen de lokale besturen onderling te verkrijgen.

Naast de taksforce is er ook een klankbordgroep opgericht die het breder veld van cyberveiligheid omvat met vertegenwoordigers van bedrijven, softwareleveranciers, kennisinstellingen,.... Deze groep zal haar expertise gebruiken om het werk van de taskforce aan te vullen en de toolkit scherp te stellen.

De proef op de som komt er van een derde groep: een controlegroep met lokale besturen. Zij zullen finaal beoordelen of de uitgewerkte toolkit in de praktijk kan worden toegepast en de mogelijke risico’s zoveel mogelijk afdekt.

Wanneer mogen we die toolkit verwachten?

Dit najaar is de taakverdeling en de werktools van de verschillende groepen bepaald. In het voorjaar van 2021 worden de verschillende documenten geanalyseerd en tools getest, om af te werken tegen het einde van het jaar. Eens de klankbord- en controlegroep hun feedback hebben gegeven, wordt de toolkit in mei 2022 beschikbaar voor de lokale besturen.

Als vertegenwoordiger van de lokale besturen in Vlaams-Brabant heeft onze collega Dimitri alvast aangedrongen op enkele vervolgprojecten rond reeds lang gekende pijnpunten als:

  • monopolie van huisleveranciers
  • taakverdeling tussen de verschillende overheden onderling en het laattijdig betrekken van lokale overheden bij nieuwe verplichtingen of applicaties
  • multifactor-authentificatie bij lokale besturen (vaak een probleem wegens gebrek aan gsm van het bestuur)
  • hoge kosten voor redundantie serverinfrastructuur

Dit laatste pijnpunt is vooral voor kleinere besturen erg moeilijk te financieren. Een gezamenlijke oplossing voor meerdere besturen samen of een overstap naar de cloud zou financieel wel mogelijk zijn. Audit Vlaanderen dringt terecht aan op redundantie, maar houdt te weinig rekening met de financiële draagkracht van (kleinere) lokale besturen. Net daarom is het goed dat we met VERA mee aan de ‘tekentafel’ van dit programma zitten en jullie zo een stem kunnen geven.

Praktische handleiding e-platformen voor scholen

Onze DPO’s zien toe op de informatieveiligheid en zorgvuldige omgang met persoonsgegevens bij de lokale besturen én hun scholen. Nu de scholen steeds vaker moeten overschakelen naar afstandsonderwijs wegens de coronamaatregelen en leerkrachten en leerlingen thuis een periode in quarantaine zouden kunnen doorbrengen, is er nood aan kennis rond het gebruik van digitale leerplatformen.

Checks en richtlijnen i.v.m. toepassing softwaretools

De onderwijskoepels hebben reeds handvaten aangereikt om de juiste softwaretools te kiezen, maar niet hoe je deze tools dan correct en veilig dient in te stellen. En dat is nu net het probleem voor veel scholen, want de beschikbare ICT-budgetten zijn vaak niet voldoende om hen hierin te laten bijstaan. Daarom werkt Pieter Taes, onze specialist onderwijs van de DPO-afdeling, samen met de OVSG en andere onderwijskoepels momenteel aan een praktische handleiding met checks en duidelijke richtlijnen i.v.m. de mogelijke toepassingen van de verschillende softwaretools.

We weten uit ervaring bij meer dan 30 scholen in Vlaams-Brabant dat een groot aantal besturen Microsoft Teams gebruikt, maar natuurlijk zijn er ook andere tools zoals Smartschool (Live), Zoom, Yitsi, …

Daarom kiezen we voor een praktische leidraad die generiek genoeg is om voor die verschillende toepassingen te gebruiken, maar toch concreet genoeg zodat de ICT-coördinatoren met zo weinig mogelijk tijd en inspanning e-platformen veilig kunnen aanbieden aan hun leerkrachten en leerlingen. In concreto zullen we richtlijnen geven betreffende het afbakenen van gebruikersgroepen per klas, het toekennen van gebruikersrollen, het beheren van chats en streams, audiovisuele bestanden uitwisselen, ….

Hebben jullie vragen over cybersecurity voor gemeente of school? Neem dan contact op met je DPO of VERA-contactpersoon!