Globaal rapport - thema-audit IT-beveiliging

Voorpagina globaal rapport thema-audit IT-beveiliging Vlaamse overheid
Klik op de afbeelding om het globaal rapport te openen.
Globaal rapport

Dit globaal rapport bevat de belangrijkste overkoepelende vaststellingen uit de thema-audit IT-beveiliging bij de Vlaamse overheid.

Met deze thema-audit ging Audit Vlaanderen na:

  • in welke mate de belangrijkste beheersmaatregelen aanwezig zijn om de gewenste IT-beveiliging en IT-continuïteit te kunnen garanderen opdat de burger voldoende kan vertrouwen op (de werking van de kernprocessen van) de Vlaamse overheid;
  • of de betrokken entiteiten en de Vlaamse administratie daarop overkoepelend voldoende zicht op hebben.
Aanpak

In 2021 evalueerde Audit Vlaanderen de IT-beveiliging bij verschillende types van entiteiten. Daarbij kwamen zowel entiteiten aan bod die gebruik maken van reguliere ICT-systemen, als entiteiten die voor specifieke kernprocessen beroep doen op industriële controlesystemen (ICS). Audit Vlaanderen ging ook de IT-beveiliging op het niveau van de gemeenschappelijke ICT-dienstverlening (GID) na. Vele entiteiten doen voor de uitvoering van hun kernprocessen en hun ICT-ondersteuning immers in mindere of meerdere mate beroep op het aanbod van deze gemeenschappelijke ICT-dienstverlening.

Deze auditopdracht had zowel oog voor de organisatorische als de technische IT-beveiligingskwetsbaarheden. Voor de uitvoering van de technische testen schakelde Audit Vlaanderen externen met gespecialiseerde kennis in.

Audit Vlaanderen formuleerde overkoepelende aanbevelingen om de gewenste IT-beveiliging en IT-continuïteit binnen de Vlaamse overheid beter te kunnen garanderen.

Vaststellingen

Uit deze thema-audit blijkt dat de Vlaamse overheid zich bewust is van het belang van IT-beveiliging, maar dat ze die beveiliging onvoldoende gestructureerd, consistent en kwalitatief aanpakt. Daardoor:

  • heeft de Vlaamse overheid onvoldoende zicht op de risico’s die ze met betrekking tot IT-beveiliging en IT-continuïteit loopt;
  • worden keuzes gemaakt die afwijken van de vooropgestelde minimale maatregelen zonder dat transparant is waarom;
  • is de Vlaamse overheid nauwelijks voorbereid om snel en adequaat te kunnen reageren bij grootschalige IT-veiligheidsincidenten.

De Vlaamse overheid nam niettemin al goede initiatieven en kan op relatief korte termijn significante stappen vooruit zetten. Zo is bij de geauditeerde kernprocessen meermaals vastgesteld dat de technologie waarin de Vlaamse overheid investeert het potentieel bezit om een betere IT-beveiliging te garanderen. De ingezette leveranciers van ICT-diensten zijn veelal ook in staat beter beveiligde diensten te leveren wanneer dat uitdrukkelijk wordt gevraagd. Bovendien ligt momenteel een strategie voor informatieveiligheid voor die potentieel de basis kan vormen voor een sterke vooruitgang op het vlak van IT-beveiliging bij de Vlaamse overheid. De transitieprojecten in het kader van de nieuwe ICT-raamovereenkomsten 2022 en de relanceprojecten omtrent “Cybersecurity en uitrol SIEM” en “Ondersteuning Digitale Transformatie” bieden opportuniteiten om die strategie verder te concretiseren en in te vullen. De volledige realisatie van de strategie voor informatieveiligheid vereist wel een volgehouden inspanning op langere termijn.