Stimuleren van ICT beveiligingsmaatregelen en investeringen MEMO Voor het concreet maken van de Belgische cyberstrategie en het investeren in en het stimuleren van ICT beveiligingsmaatregelen VASTSTELLINGEN Volgens de Barometer van de Informatiemaatschappij 2013 1 loopt de financiële schade die cybercriminaliteit veroorzaakt op tot drie miljard euro per jaar. Hacking- en sabotageacties laten een sterke stijging optekenen: zo werden in de eerste helft van 2012 maar liefst 2957 feiten gemeld, wat meer dan een verdubbeling is ten opzichte van heel 2011 (1120 feiten). Aangezien incidenten vrijwillig worden gemeld, is dit slechts het topje van de ijsberg en liggen de reële cijfers een stuk hoger. Ook internetfraude is aan een stevige opmars bezig: in de eerste zes maanden van 2012 werden ruim 5000 feiten gemeld. Gezien de vele gevaren moeten overheden en ondernemingen dan ook meer aandacht besteden aan informaticaveiligheid dan vroeger. Volgens een studie van The Cube die in samenwerking met Agoria in de tweede helft van 2013 werd uitgevoerd, hebben de politieke verantwoordelijken maar weinig belangstelling voor deze problematiek, tot ze zelf het slachtoffer worden van informaticacriminaliteit. DOELSTELLINGEN Voor de overheid is een heel belangrijke rol weggelegd, zowel om de informaticaveiligheid in België gecoördineerd aan te pakken als om overheden en ondernemingen ertoe aan te zetten te investeren in de noodzakelijke tools waarmee ze zich kunnen verdedigen tegen eventuele informatica-aanvallen. WAT AGORIA VRAAGT Agoria vraagt dat op Europees niveau een duidelijk standpunt wordt ingenomen in het kader van de richtlijn betreffende netwerk- en informatiebeveiliging. Over die richtlijn zou in de eerste helft van 2014 moeten worden gestemd. Op basis van deze Europese richtlijn zouden bepaalde marktdeelnemers die op zogenaamde ‘kritieke’ domeinen actief zijn, verplicht worden om incidenten inzake informaticaveiligheid te melden aan een officiële instantie. Die maatregel is heel terecht als het gaat om daadwerkelijk kritieke activiteiten (transport, energie ..). Het gevaar schuilt echter in de ruime interpretatie van de term ‘kritiek’. Bijgevolg vraagt Agoria: 1. dat de term ‘kritiek’ in de Europese richtlijn duidelijk wordt gedefinieerd zodat de ondernemingen over een helder kader kunnen beschikken. In de richtlijn moet dan ook een exhaustieve lijst van die kritieke activiteiten worden opgenomen. 1 http://economie.fgov.be/nl/modules/publications/statistiques/arbeidsmarkt_levensomstandigheden/baromet er_van_de_informatiemaatschappij_2013.jsp, pagina 44-45 Fabrikanten van software en informaticamateriaal mogen echter niet op die lijst voorkomen aangezien ze niet aansprakelijk kunnen worden gesteld voor het feit dat derden hun producten verkeerd gebruiken. 2. dat in de richtlijn rekening wordt gehouden met het evenredigheidsbeginsel opdat aan de ondernemingen geen buitensporige eisen en administratieve formaliteiten zouden worden opgelegd. 3. dat – opdat de bestaande regels goed zouden worden begrepen – in de richtlijn expliciet wordt bepaald welke regelgeving (kritieke infrastructuur, telecomwet, privacywet ...) op welke sectoren/marktdeelnemers van toepassing is. Zoals het er nu voor staat, is de richtlijn een wetgevende interventie met een uiterst onduidelijk toepassingsgebied. 4. dat de lidstaten in de richtlijn worden verplicht om een coherente en heldere structuur te creëren waar ondernemingen incidenten kunnen melden. Sinds de elektronische inbraak bij de kanselarij heeft de regering besloten om tien miljoen euro uit te trekken ter bestrijding van cybercriminaliteit. Dit bedrag ligt echter ver onder de inspanningen die in andere Europese landen worden geleverd (bijv. twintig miljoen euro in Noorwegen). Agoria vraagt de kanselarij, die verantwoordelijk is voor de informaticaveiligheid, om de strategie die ze eind 2012 heeft uitgewerkt concreet vorm te geven. De oprichting van het Centrum voor Cybersecurity België (CCB), waarmee een belangrijke eerste stap wordt gezet in de bestrijding van cybercriminaliteit, en het optrekken van de budgetten van de verschillende instanties die zullen worden gecoördineerd (CERT.be, FCCU, Fedict, VSSE, BIPT, Defensie, NVO, ADCC, Belac) zijn op zich echter onvoldoende. Daarom vraagt Agoria aan het CCB: 1. om vóór de verkiezingen 2014 een gestructureerde aanpak op Belgisch niveau voor te leggen gekoppeld aan een meerjarenplan met als doel ons land snel te voorzien van een coherente en internationaal erkende structuur in zijn aanpak van cybercriminaliteit. 2. om een voldoende groot budget uit te trekken voor bewustmakingscampagnes, zowel gericht op de burger als op de bedrijfswereld. 3. om de rol van de gecoördineerde instanties duidelijk te definiëren en de beschikbare resources optimaal aan te wenden. Een belangrijke opdracht is om de ondernemingen te begeleiden bij het verbeteren van hun informatica-architectuur en bij de invoering van processen en procedures om in te grijpen bij informaticaaanvallen. 4. om nauw samen te werken met de privésector met als doel het noodzakelijke vertrouwen voor de uitwisseling van gevoelige informatie te scheppen. Overreglementering zou daarbij contraproductief werken. 5. om een duidelijke visie te bepalen m.b.t. de rol van het CCB en/of de componenten die het Centrum coördineert in internationale betrekkingen. Ter ondersteuning van een ruimer beleid inzake informaticaveiligheid vraagt Agoria de autoriteiten ook: 1. om investeringen in informaticaveiligheid te stimuleren d.m.v. subsidies of een aangepaste fiscaliteit. 2. om in het lager en middelbaar onderwijs informaticalessen op te nemen waarin ruim aandacht wordt besteed aan informaticaveiligheid en om doorgedreven opleidingen in het hoger onderwijs te ondersteunen. 3. om in bestekken van de verschillende bevoegdheidsniveaus systematisch een hoog niveau van informaticaveiligheid te eisen (“Lead by example”). 4. om programma’s voor technologische innovatie te ondersteunen waarbij de principes van ‘privacy by design’ en ‘security by design’ worden geïntegreerd. 5. om onderzoek en ontwikkeling op federaal en regionaal niveau te ondersteunen door het thema informatie- en informaticaveiligheid systematisch centraal te stellen in de debatten met de gemeenschappen in het land. Ons land telt op dit domein onderzoekers die wereldwijde erkenning genieten en kan – met de steun van de politieke wereld – een voorbeeldrol vervullen in de Europese Unie.