Wanneer wordt cyberveiligheid een prioriteit voor de Belgische politiek?

Door Karl Vanlouwe op 7 juni 2012, over deze onderwerpen: Staatsveiligheid, Technologie, Veiligheid

Vorige week werd nog maar eens duidelijk dat cyberveiligheid, of het gebrek daaraan, de komende jaren zal uitgroeien tot een belangrijk politiek thema. Eerst was er de Russische antivirusontwikkelaar Kaspersky die meldde een nieuw computervirus met een nooit geziene vernietigingskracht te hebben ontdekt, Flame of Flames. Vrijdag meldde de New York Times op zijn beurt dat de Amerikaanse president Barack Obama aan de basis ligt van de cyberaanvallen tegen het Iraanse atoomprogramma. En zondag gaf Israël voor het eerst toe dat ze cyberspace gebruikt om haar vijanden aan te vallen.

Voldoende signalen dus voor elk land om cyberveiligheid ernstig te nemen. En België? Dat heeft cyberveiligheid nog altijd niet bovenaan de politieke agenda staan. Een mondelinge en schriftelijke rondvraag van mij bij verschillende ministers leert trouwens dat dit nog een tijdje zo gaat blijven.

Geen coördinatie
Zo is er vooreerst een gebrek aan coördinatie. Mijn rondvraag leerde me dat het binnen de Belgische regering zelf onduidelijk is welke overheidsdienst de leiding heeft in het cyberdefensieproject.

Zo werd in 2005 BELNIS opgericht. Een overlegplatform dat maandelijks (behalve juli en augustus – in de zomermaanden is er geen cyberdreiging, zullen we maar denken) bij elkaar komt om antwoorden voor te stellen op de vragen met betrekking tot de bescherming van kritieke infrastructuur.

Binnenlandse Zaken zegt dat het BELNIS is dat de interdepartementale coördinatie doet, maar geen enkele operationele bevoegdheid heeft. De verbetering en versterking van deze samenwerking hangt af van de Eerste Minister, zo stelt de minister van Binnenlandse Zaken Joëlle Milquet.

Defensie stelt dan weer op zijn beurt dat Justitie de piloot is van het cyberproject en samen met de Federale Computer Crime Unit (FCCU) van Binnenlandse Zaken ageert.
En dan zijn er ook nog de internettoegangen van alle FOD’s. Deze worden net als universiteiten en parlementen beheerd door de overheidsdienst Wetenschapsbeleid (BELSPO) dat op zijn beurt onder de bevoegdheid valt van minister Paul Magnette.

En om het helemaal ingewikkeld te maken: het is de verantwoordelijkheid van de Eerste Minister om een nationaal informatieveiligheidsbeleid te ontwikkelen.

Hoeft het ons te verwonderen dat de langverwachte cybernota maar blijft schipperen tussen allerlei werkgroepen?

Ieder voor zich
Het gevolg van dit alles? Elke federale overheidsdienst is op zichzelf aangewezen voor haar cyberveiligheid. Zo stelt elke overheidsdienst haar eigen budgetten op en neemt ze op eigen initiatief, en zonder enige coördinatie met andere departementen, beveiligingsmaatregelen. Het laat zich raden dat dit niet de meest efficiënte manier is om de cyberdreiging aan te pakken.

Het moet gezegd, sommige overheidsdiensten bezitten ondertussen wel al een speciale adviseur ter coördinatie van de informatieveiligheid. Bij Buitenlandse Zaken gaat het over een Chief Security Officer, bij Defensie neemt ADIV deze taak op zich, en bij Binnenlandse Zaken werd in december 2011 deze taak aan het bedrijf ICT Control NV uitbesteed.

Particulieren en exploitanten van kritieke sectoren komen er in België helemaal bekaaid vanaf. Zij moeten op eigen initiatief softwarematige maatregelen nemen. De overheid beperkt zich enkel en alleen tot het verspreiden van informatie via de website van CERT (een publieke dienst met als missie de Belgische bevolking te voorzien van informatie rond computerbeveiliging).

Dringend gezocht: een dirigent
De actualiteit maakt zoals gezegd duidelijk dat België niet langer in gespreide slagorde de cyberwereld tegemoet kan treden. Zo moet nu in eerste instantie een ernstig debat plaatsvinden over de rol die de Belgische overheid in heel het cyberverhaal wil spelen. Is het louter ‘awareness raising’, informeren of meer: controleren, certifiëren, simuleren?

Daarnaast is er nood om de aanbevelingen uit het Actieplan voor Cyberaanvallen van de EU volledig om te zetten, dat wil zeggen dat er ook nagedacht moet worden over een eerste rampenoefening op nationaal niveau.

En er is eveneens nood aan een realistisch ‘Disaster Recovery Plan’, of een Plan-B indien de cruciale infrastructuren en de overheid het slachtoffer zou worden van een cyberaanval. Voorlopig blijft het bij een ad hoc knip-en-plakwerk zonder dat de federale overheidsdiensten een gemeenschappelijke handleiding volgen.

Maar alles begint natuurlijk met een goed uitgerust team dat kan rekenen op externe steun, externe normen, een duidelijk en goed gedocumenteerde coördinatie.

Zoals Miguel De Bruycker, het hoofd van de afdeling Cyber Defense van de Belgische militaire veiligheidsdienst, reeds verklaarde in de Panoramareportage van vorige week: “We beschikken over een goed orkest. Nu wordt het tijd voor een goede dirigent.”

Hoe waardevol vond je dit artikel?

Geef hier je persoonlijke score in
De gemiddelde score is