PROJECT CYBERVEILIGE GEMEENTEN IN LAATSTE FASE

Meer en meer lokale besturen zijn het slachtoffer van cyberaanvallen. Het Project Cyberveilige Gemeenten wil hierop een antwoord bieden en start aan de laatste rechte lijn.

Waarom dit project?

In januari 2019 was de gemeente Willebroek het slachtoffer van een cyberaanval. Plots moesten de gemeentediensten ongeveer een week de deuren sluiten om de problemen op te lossen. Als reactie hierop startte VVSG in samenwerking met het kabinet van minister Bart Somers, ABB, Audit Vlaanderen en Digitaal Vlaanderen het Project Cyberveilige Gemeenten. Het doel? Lokale besturen voorbereiden op de gevaren die digitalisering met zich meebrengt.

Het Project Cyberveilige Gemeenten werkt op twee sporen. Ten eerste is er de cofinanciering van ICT-veiligheidsaudits. Daarnaast is er het actieplan voor cyberveiligheid. Dit plan kan je dan weer op zijn beurt opdelen in drie delen: ethische hacking door studenten, evenementen om te informeren en inspireren en tot slot de ontwikkeling van de digitale toolkit cyberveiligheid. Om deze toolkit te ontwikkelen werden drie verschillende werkgroepen opgericht:

  1. een taskforce om informatie over cyberveiligheid te bundelen en een toolkit samen te stellen op maat van de lokale besturen.
  2. een klankbordgroep die mogelijke valkuilen en aandachtspunten signaleert aan de taskforce.
  3. een controlegroep van lokale besturen om na te kijken of de toolkit in de praktijk werkbaar is.

De taskforce verzamelt een multidisciplinair team van noodplanners, communicatiespecialisten, IT’ers en Data Protecion Officers (DPO’s). Zij stellen de toolkit samen via twee invalshoeken: een pro-actief luik om problemen te voorkomen en een reactief luik om eventuele incidenten op te lossen.

VERA-kennis

Wat heeft VERA hiermee te maken? De neutrale VERA-blik en het feit dat we dagelijks medewerkers hebben die werken voor de lokale besturen gaven de doorslag om te kiezen voor VERA-input. Zo vaardigden we DPO Dimitri Ceyssens af voor de taskforce en DPO Sarah Smolders voor de klankbordgroep.


Sarah Smolders: “De nood aan standaarddocumenten is er. Veel besturen hebben nu geen idee hoe ze moeten beginnen met het opstellen van een Business Continuity Plan (BCP) of een Crisiscommunicatieplan.”



Dimitri Ceyssens: “Er is al heel veel informatie over cyberveiligheid, maar die is gefragmenteerd en niet overzichtelijk. Onze eerste taak was alles inventariseren. Sinds 2019 is er hard gewerkt. Nu zijn we bezig met de laatste fase: het opleveren van een draaiboek waarin elke stap beschreven staat van wat je moet doen als het fout loopt.”

Aandachtspunten

Dimitri: “Omdat elk bestuur zijn eigen identiteit heeft en op zijn eigen individuele manier is opgebouwd, is het onmogelijk om een heel gedetailleerd standaardplan op te stellen dat je meteen van de plank kan halen bij een noodgeval. Het draaiboek dat wij opstellen moet nog vertaald worden naar de individuele situatie van de specifieke besturen. Dat is mijn grootste aanbeveling.”

Dimitri: “We moeten ook oog hebben voor enkele andere aandachtspunten. Zo moet er altijd kritisch gekeken worden naar de veiligheid van de software die door externen aangeleverd wordt. De softwarehuizen moeten hier meer oog voor hebben. Daarnaast hebben lokale besturen budget nodig om audits uit te voeren. Zo komen de knelpunten snel aan het licht. Tot slot moeten we een manier zoeken om de besturen te helpen om de juiste IT-profielen aan boord te krijgen. De concurrentie op de arbeidsmarkt is moordend, maar besturen hebben specifieke profielen nodig om gewapend te zijn in de digitale wereld.”

Sarah: “Het is ontzettend belangrijk dat de lokale besturen aan de slag gaan met de documenten die nu worden opgesteld. Je DPO brengt deze aan via de informatieveiligheidscel (IVC) en het is cruciaal dat niet alleen ICT, maar ook de algemeen directeur, beleidscoördinator, communicatiedienst en personeelsdienst rond de tafel zitten. De opmaak en implementatie van de plannen moet gedragen worden binnen elke laag van het bestuur.”

VERA DPO’s

Lokale besturen zijn wettelijk verplicht om een Data Protection Officer (DPO of functionaris gegevensbescherming) aan te stellen en een gedetailleerd informatieveiligheidsplan te maken. Door onze jarenlange praktische ervaring met de werking van lokale besturen kunnen we snel veiligheidsrisico’s detecteren en objectief advies geven.

Heb je nood aan een DPO en wil je weten of VERA je hiermee kan helpen? Neem dan contact met ons op via info@vera.be.