Belgische overheidswebsites scoren laag op cyberveiligheid. Voor ons een aanleiding om in gesprek te gaan met onze cybersecurity expert Kristof Tuyteleers. Hij vergelijkt de cybersecurity-aanpak van Nederland en België.
Hoe komt het dat onze overheidswebsites zo matig scoren qua beveiliging?
Er zijn verschillende redenen waarom Belgische overheidswebsites achterblijven op het gebied van beveiliging. Om te beginnen, ontbreekt het aan centrale richtlijnen en toezicht. Dit betekent dat er geen standaardprocedures zijn die overal worden toegepast. Dat leidt tot verschillen in beveiligingsmaatregelen.
Zijn er nog zaken die de cyberbeveiliging bemoeilijken?
Absoluut, de complexe bevoegdheidsverdeling in ons land zorgt voor een versnipperd beleid. Cybersecurity is hier verdeeld over verschillende bestuursniveaus. Dat bemoeilijkt gecoördineerde acties. Deze versnippering zorgt ervoor dat er geen eenduidige aanpak is, wat de effectiviteit van de beveiligingsmaatregelen vermindert.
'Niet alle overheidsdiensten en -niveaus beschikken over IT-specialisten die cyberrisico’s goed kunnen inschatten en aanpakken.'
Hoe zit het met het bewustzijn en de expertise rond internetbeveiliging binnen de overheidsdiensten?
Helaas is daar een gebrek aan. Niet alle overheidsdiensten en -niveaus beschikken over IT-specialisten die cyberrisico’s goed kunnen inschatten en aanpakken. Weinig kennis en ervaring maken het moeilijk om gepaste beveiligingsmaatregelen op te stellen, door te voeren en te onderhouden.
Het Centrum voor Cybersecurity België (CCB), verantwoordelijk voor de coördinatie van het nationale cybersecuritybeleid, probeert deze kennisleemte op te vullen door het ontwikkelen van richtlijnen en aanbevelingen (o.a. over incident response, phishing en kwetsbaarheden). Daarnaast organiseert het CCB jaarlijks een grootschalige bewustmakingscampagne rond een centraal thema (bv. tweestapsverificatie ).
Zijn er nog andere redenen waarom de beveiliging van overheidswebsites tekortschiet?
Er is ook een achterstand qua investeringen in cybersecurity. Budgetten, ook in het bedrijfsleven, zijn beperkt en cybersecurity krijgt niet altijd prioriteit. Vandaag zijn er onvoldoende middelen beschikbaar om de nodige technologieën en expertise of mankracht aan te schaffen en te ontwikkelen.
Volgens onderzoek van de Internet Cleanup Foundation loopt de Belgische overheid achter ten opzichte van Nederland. Waarin verschillen België en Nederland als het over cybersecurity gaat?
België en Nederland hebben een andere bestuurlijke aanpak. Nederland heeft een sterker centraal beleid en de Nederlandse overheid houdt er strengere normen op na. Zo is er daar de Baseline Informatiebeveiliging Overheid (BIO), een basisnormenkader voor informatiebeveiliging binnen alle overheidslagen in Nederland. In België heeft het CCB met haar cyberfundamentals een raamwerk dat verplicht is voor essentiële diensten, maar bijvoorbeeld niet voor gemeenten.
Hoe zit het daar met investeringen in digitale veiligheid?
Nederland investeert daar al langer in en heeft bijvoorbeeld de ‘pas-toe-of-leg-uit’-standaarden, onder beheer van het Forum Standaardisatie. Dat zijn verplichte, open standaarden voor overheden bij de inkoop of ontwikkeling van ICT-systemen en digitale diensten, tenzij er zwaarwegende redenen zijn om hiervan af te wijken. Die uitzondering moet dan gemotiveerd worden (“leg uit”). Voorbeelden van verplichte open standaarden zijn DNSSEC , DMARC, DKIM en SPF voor e-mailbeveiliging.
Ik ben een groot voorstander van deze aanpak. Ze verhoogt niet alleen het maturiteitsniveau van de beveiliging bij overheden, maar zet ook druk op leveranciers om veilige standaarden te ondersteunen, wat op zijn beurt leidt tot een bredere adoptie van moderne en adequate beveiligingsmaatregelen in de hele sector.
'Het is zeker niet zo dat Nederland een perfect parcours loopt en België niets doet.'
Maar laten we het niet te zwart-wit stellen: België onderneemt ook actie. We zijn het eerste land waar de NIS2 richtlijn, die voor een meer cyberweerbare digitale samenleving moet zorgen, volledig werd omgezet in nationale wetgeving. In Nederland is het vandaag nog niet duidelijk wanneer die wet er zal zijn. Het is dus zeker niet zo dat Nederland een perfect parcours loopt en België niets doet.
Het Centrum voor Cybersecurity België (CCB) is ook duidelijk bezig met een inhaalbeweging, onder meer met de Cyberfundamentals (CyFun), een raamwerk dat alle bedrijven en overheden, ongeacht hun grootte, kunnen gebruiken. Het bewustzijn dat we een versnelling hoger moeten schakelen is aanwezig. De ontwikkeling van DNS-richtlijnen is daar een duidelijk voorbeeld van.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde naties.