Naar aanleiding van de cyberincidenten eind vorig jaar besliste de Vlaamse overheid om de cofinanciering van ict-veiligheidsaudits voor lokale besturen ook dit jaar verder te zetten. Het Agentschap Binnenlands Bestuur en Audit Vlaanderen slaan hiervoor de handen in elkaar. Concreet zullen drie privépartijen de audits uitvoeren: Deloitte, E&Y en Grant Thornton. Hun tarieven zijn bekend.
Met de verderzetting van het aanbod krijgen steden en gemeenten financiële ondersteuning om hun informatiebeveiliging te (laten) controleren en verbeteren. Steden en gemeenten kunnen een basisaudit bestellen, met of zonder een dag begeleiding. De Vlaamse overheid komt tussen in twee derde van de prijs van zo’n basisaudit.
De ict-veiligheidsaudits worden in de praktijk uitgevoerd door de drie auditfirma’s. De prijzen liggen vast, zo lezen we op de website van Audit Vlaanderen, net zoals de volgorde van de auditfirma’s bij wie besteld kan worden: Deloitte Consulting, Ernst & Young Special Business Services en vervolgens Grant Thornton.
Voor de basisaudit van Deloitte betaalt een openbaar bestuur 1.769 euro. Voor EY is dat 1.537 euro en voor Grant Thornton komt dat neer op 1.236 euro.
Daarbovenop kan je als stad of gemeente naar eigen keuze aanvullende audits bestellen. Voor die aanvullende audits betaalt de Vlaamse overheid de helft van de kostprijs terug.
Zwakheden
Tijdens zo’n basisaudit wordt het informatiesysteem getest op de belangrijkste zwakheden. Het gaat om interne intrusietesten van de active directory-omgeving en maximaal drie, in overleg te bepalen, systemen. Daarnaast ook externe intrusietesten van maximaal vijf extern bereikbare ip-adressen.
Het testen van het wachtwoordbeheer en het overkoepelend logisch toegangsbeheer (niveau active directory en maximaal twee kritische applicaties) zit ook bij de basisaudit. Hier wordt getest welke wachtwoordregels zijn ingesteld en welke accounts een wachtwoord hebben dat niet aan deze regels voldoet of eenvoudig kan worden achterhaald.
Verder wordt, op basis van de technische testen, met de it-verantwoordelijke(n) van het lokaal bestuur bekeken welke aanpassingen eventueel wenselijk zijn en hoe hij dat best concreet kan aanpakken. Ook de bedrijfscontinuïteitsplanning wordt onder de loep genomen.
William Visterin
