Bewustzijn over cyberveiligheid blijft te laag: resultaten na ICT-veiligheidsaudits bij 144 lokale besturen

Uit het globaal rapport van Audit Vlaanderen over ICT-veiligheidsaudits met cofinanciering blijkt dat lokale besturen nog onvoldoende beschermd zijn tegen cyberaanvallen. Het rapport is eind oktober gepubliceerd na ICT-veiligheidsaudits in 144 lokale besturen, in de periode 2020-2022. De vaststellingen van het rapport sluiten aan bij de vraag van VVSG naar een algemene strategie over cyberveiligheid en het standpunt over de NIS2-richtlijnen.
 

Wat zijn de vaststellingen?

Het bewustzijn over cyberveiligheid blijft te laag en risicomanagement moet hoger op de agenda. Enkele zinvolle beheersmaatregelen, zoals het tijdig updaten van ICT-systemen of invoeren van multi-factor authenticatie, kunnen snel een verschil maken. De ICT-risico’s moeten beter in kaart gebracht worden. Lokale besturen met een degelijke aanpak van organisatiebeheersing scoren op dat vlak beter.

Ten tweede zijn de ICT-systemen van lokale besturen nog te weinig beschermd. De deelnemende lokale besturen werden echter voor de eerste keer getest en de resultaten zijn op basis van deze testen. Enkele lokale besturen deden nadien aanpassingen en een tweede test. Het aantal kwetsbaarheden daalde aanzienlijk na de wijzigingen.

Medewerkers van lokale besturen gebruiken nog steeds te zwakke wachtwoorden. Het invoeren van een sterk wachtwoordbeleid biedt hier een antwoord op. Niet alleen de wachtwoorden van medewerkers zijn niet sterk genoeg, ook die van de administratoraccounts blijken te zwak.  

Tenslotte had 80% van de geteste lokale besturen nog geen bedrijfscontinuïteitsplan (bcp). In dat plan worden maatregelen opgenomen om de kritieke dienstverlening tijdens en na een crisis te blijven aanbieden.

Hoe cyberveiligheid verhogen?

De conclusies uit dit rapport sluiten aan bij de resultaten van het traject Ethisch hacken. De VVSG erkent de moeilijkheden van lokale besturen maar merkt ook op dat verscheidene lokale besturen de voorbije jaren belangrijke stappen gezet hebben om hun cyberveiligheid te verhogen. Een collectieve en gedragen aanpak zal echter nog meer in gang zetten. We benadrukken de vraag naar een duidelijke strategie van de Vlaamse overheid over cyberveiligheid en het uitwerken van een concreet ondersteuningsaanbod. We blijven hiervoor ijveren en verwoordden onze bedenkingen eerder in een standpunt over de NIS2-richtlijnen.

Ondertussen vragen we aan alle lokale besturen om actie te ondernemen en zich beter te beschermen. Om hen daarbij te helpen, reiken we een Cybersecurity toolkit aan en verhogen we bewustmaking met webinars over noodzakelijke thema’s. De toolkit bevat sjablonen, handleidingen of toepassingen om onmiddellijk te implementeren.

Je vindt er onder andere de richtlijnen om aan organisatiebeheersing te doen of een bedrijfscontinuïteitsplan op te stellen. Op 7 november kan je een webinar volgen waarin je leert hoe een hacker te werk gaat. Met enkele eenvoudige aanpassingen wapen je je beter tegen mogelijke cyberaanvallen en vermijd je downtime wanneer het toch gebeurt.