CENTRUM VOOR CYBERSECURITY BELGIE Verslag infosessie bij BESTEK nr. S&L/DA/2018/033 25 april 2018, 10 uur FOD Kanselarij van de Eerste Minister Andries Bomans, communicatie Katrien Eggers, communicatie www.epia.org

DEELNEMERS INFOSESSIE 20something Absoluut Alter Solutions Benelux Bonka Circus Dallas Antwerp NV Deloite Gelotology Hungry Minds Mortierbrigade Shortcut Advertising The crew communication The Oval Office Vias Institute VO Communication/ VO Citizen Wunderman

Europese aanbesteding: lancering 10/4 BESTEK nr Europese aanbesteding: lancering 10/4 BESTEK nr. S&L/DA/2018/033 OPENBARE PROCEDURE VOOR AANNEMING VAN DIENSTEN VOOR de uitwerking van een strategie en de creatieve ontwikkeling en uitwerking van een awareness campagne over cyberveiligheid voor een periode van 3 jaar (2018-2020) voor het Centre for Cybersecurity Belgium (CCB)

De ultieme datum voor de indiening van de offertes: 17/05/2018, 14u30 Procedure (1) De ultieme datum voor de indiening van de offertes: 17/05/2018, 14u30 Merk op: Europese procedure, geen BAFO Enkel regelmatige offertes worden geëvalueerd Uniform Europees aanbestedingsdocument (UEA) Met betrekking tot het deel IV van het UEA, wordt er gevraagd aan de ondernemers om precieze informatie op te geven bij het invullen van de secties A tot D. Voor het UEA, consulteer de site https://ec.europa.eu/tools/espd/filter?lang=nl

4.1.2. Kwalitatieve selectie Procedure (2) – Erratum FR 4.1.2. Kwalitatieve selectie Selectiecriteria betreffende de economische en financiële draagkracht (artikel 67 van het koninklijk besluit van 18 april 2017 inzake de plaatsing van overheidsopdrachten in de klassieke sectoren) De inschrijver een minimale jaarlijkse omzet gerealiseerd hebben met betrekking tot het activiteitendomein die het voorwerp vormt van de opdracht voor elk van de laatste drie beschikbare boekjaren die minstens gelijk is aan: 200.000EUR/jaar

De opdracht (1): Procedure met Europese bekendmaking Strategie en de creatieve ontwikkeling en uitwerking van een awareness campagne over cyberveiligheid Voor 3 jaar (2018 -2020)

De opdracht (2): het uitwerken van een coherente communicatiestrategie over drie jaar het jaarlijks uitwerken van gepaste campagnematerialen en de ontwikkeling van creatieve communicatieacties als ondersteuning van de jaarlijkse European Cyber Security Month (ECWS) in oktober het continu onderhouden van de bestaande communicatiekanalen in functie van de communicatiestrategie en de jaarlijkse campagne en het ondersteunen van ad hoc initiatieven

1. Het uitwerken van een coherente communicatiestrategie over drie jaar de uitwerking van een communicatiestrategie rond cyber awareness bij alle ICT gebruikers; met als doelstelling dat alle ICT gebruikers continu toegang hebben tot voldoende, actuele en correcte informatie over het veilig gebruik van het internet; rekening houdend met de jaarlijkse European Cyber Security Month in oktober; in de strategie is een voorstel opgenomen voor de besteding van een online en offline mediabudget (dit budget wordt buiten deze opdracht besteed, maar aan de opdrachtnemer wordt gevraagd een voorstel voor besteding te formuleren in functie van de ontwikkelde materialen. Het mediabudget wordt jaarlijks voorgesteld en bedraagt +/- 600.000 €); deze strategie bevat ook een voorstel van methode voor gedragsverandering; een continue evaluatie (minstens om de 6 maanden). => De inschrijver bezorgt een coherente communicatiestrategie en verantwoordt deze keuze

VB. MEDIA MIX 2017 www.epia.org

2. Het jaarlijks uitwerken van gepaste campagnematerialen en de ontwikkeling van creatieve communicatieacties als ondersteuning van de jaarlijkse European Cyber Security Month in oktober Het thema voor de campagne van 2018 is het ABC van Cyberveiligheid (zie ESCM). We willen alle internet gebruikers aanmoedigen om 2 basisregels op te volgen: voer updates uit zodra deze beschikbaar zijn en zorg voor een goede back-up van je gegevens. De campagne bevat ook telkens een luik naar jongeren (12-18 jaar); De campagne houdt de productie van campagnemateriaal in. Wij verwachten minstens: Een video (15 of 30 seconden voor televisie) Een radiospot Een campagnebeeld voor internet (voor eigen website en voor de websites van de partners) en als afdrukbare poster Als federale overheidsdienst kan het CCB gebruik maken van de Federal truck… We verwachten van de opdrachtnemer een voorstel voor het gebruik van deze truck; Minstens 2 bijkomende voorstellen in functie van de strategie, de doelgroep en eerdere evaluaties: bv. een game, een quiz, goodie (duurzaam en nuttig)… => De inschrijver bezorgt een strategie en creatief concept voor een campagne rond thema “ABC van Cyberveiligheid (zie ESCM)”. We willen alle internet gebruikers aanmoedigen om 2 basisregels op te volgen: voer updates uit zodra deze beschikbaar zijn en zorg voor een goede back-up van je gegevens en een voorstel voor pretest en enkele indicatoren voor pre- en postmeting.

Introduction Vb. visual campagne 2017 www.epia.org

Vb. Luik naar jongeren campagne 2017 www.epia.org

3. Het continu onderhouden van de bestaande communicatiekanalen in functie van de communicatiestrategie en de jaarlijkse campagne en het ondersteunen van ad hoc initiatieven www.safeonweb.be onderhouden net als de sociale media (YouTube, Facebook en Twitter) (campagnemateriaal toevoegen, suggesties voor nieuwe en te vernieuwen content); Als overkoepeld orgaan rond cybersecurity in België ondersteunt het CCB andere initiatieven zoals bv. Safer Internet Day; Het CCB wil tools en hulpmiddelen aanreiken om burgers aan te moedigen om samen met ons van het internet een veiligere plek te maken. Bv. het aanbieden van een e-mailadres om verdachte berichten naartoe te sturen verdacht@safeonweb.be => De inschrijver bezorgt een content strategie, creatieve voorstellen en een voorstel tot evaluatie voor safeonweb.be

Bestaande kanalen

Kwaliteit van de communicatiestrategie (20%) De gunningscriteria Kwaliteit van de communicatiestrategie (20%) Kwaliteit van de communicatieacties en materialen in functie van de jaarlijkse campagne (30%) Kwaliteit van de content strategie, creatieve voorstellen en een voorstel tot evaluatie voor safeonweb.be (10%) Prijs (40%)

het begrijpen van de problematiek en de aangevoerde antwoorden; Kwaliteit van de communicatiestrategie (20/100) het begrijpen van de problematiek en de aangevoerde antwoorden; het voorstellen van een methode voor gedragsverandering in functie van de gekozen thema’s; de uitwerking van een realistische planning van de acties met oog voor het evenwicht tussen de inzet voor jaarlijkse campagne in oktober en de inzet voor punctuele acties doorheen het jaar het voorstel van het mediaplan het voorstellen van een methode voor permanente evaluatie

de originaliteit van de communicatieacties; Kwaliteit van de communicatieacties en materialen in functie van de jaarlijkse campagne (30/100) de originaliteit van de communicatieacties; de kwaliteit van de voorgestelde materialen; de kwaliteit van een "call-to-action";

de originaliteit en kwaliteit van de voorstellen Kwaliteit van de content strategie, creatieve voorstellen en een voorstel tot evaluatie voor safeonweb.be (10/100) de originaliteit en kwaliteit van de voorstellen de kwaliteit van het voorstel tot evaluatie

Technische voorschriften: doelstellingen ZICHTBAARHEID EN HERKENNING CONTINUITEIT VAN INFORMATIEVERSTREKKING BEWUSTWORDING GEDRAGSVERANDERING

Technische voorschriften: boodschap Het internet is een geweldige plek maar… 5 basisregels om in acht te houden Gebruik een virusscanner Doe regelmatig updates Maak back-ups Gebruik sterke wachtwoorden Leer valse e-mails te herkennen Aangepaste boodschappen mogelijk Jaarlijks bij de campagne In functie van evoluties (IoT, …) Bij actuele dreigingen

Technische voorschriften: doelgroep Elke internetgebruiker Sommige acties naar specifieke doelgroepen Jongeren Senioren Risico-internetgebruikers

Technische voorschriften: tone of voice Positief informatief niet met het vingertje Begrijpelijk, toegankelijk, niet technisch de modale internetgebruiker moet de informatie begrijpen en de richtlijnen zonder problemen kunnen opvolgen Modern, herkenbaar en humoristisch we zijn niet vies van gamification, rolmodellen bij jongeren zoals rappers, dialoog op social media… Call-to-action: gedragsverandering, help ons van het internet een veiligere plek te maken Samen gaan we de strijd aan we willen de bevolking aanmoedigen om ons en elkaar te helpen in de strijd tegen cybercriminaliteit

Technische voorschriften: bijzondere vereisten In 4 talen Het is heel belangrijk dat de opdrachtnemer voldoende voeling heeft met de verschillende culturen die ons land rijk is (Vlaams, Waals, Brussels…) In huisstijl safeonweb.be Rekening houden met bestaande kanalen Genderneutraal, diversiteit, duurzaamheid… Cyberveiligheid van de eigen materialen Overdracht alle rechten Aankoop van online en offline mediaruimte is niet in de prijs inbegrepen +/- 600.000. Dit budget wordt jaarlijks bepaald en toegewezen.

Nice ideas: tools

Behaviour change https://www.marketingfacts.nl/berichten/werkt- klassieke-communicatie-niet-meer-nudging-helpt Op basis van een eerste schatting leverde het de Dienst Belastingen 18,7 miljoen euro op plus één miljoen besparingen op administratieve opvolgingskosten. In vergelijking met de vorige jaren steeg het percentage betalers met zeventien procent.

Inspiration and references FEDEX: escape room : https://securingthehuman.sans.org/blog/2017/05/08/the-fedex-escape-room- at-the-secawaresummit A lot of tools: https://www.dhs.gov/stopthinkconnect-toolkit PWC game of threats: https://www.pwc.com/us/en/financial-services/cybersec urity-privacy/game-of-threats.html Cyber Security Month 2018: https://cybersecuritymonth.eu/ https://cybersecuritymonth.eu/references/quiz-demonstration/welcome-to-the-network-and- information-security-quiz/ GOV Canada: https://www.getcybersafe.gc.ca/cnt/rsrcs/csam-tlkt-en.aspx

NEXT STEPS 17/05/2018, 14u30: Indiening offertes 29/05/2018: Demonstraties op uitnodiging Juli/augustus: kick-off meeting 1/10/2018 : lancering campagne 2018

Vragen en antwoorden

Vooraf gestelde vragen en antwoorden (25/04/2018) Vorig jaar was het thema van de campagne phishing, dat was duidelijk. Dit jaar hebben jullie twee andere basisregels. Is er een reden waarom juist die twee dit jaar? En waarom juist de combinatie van die twee regels? Het gekozen onderwerp kadert in het thema dat dit jaar gekozen werd door de EU, nl. Het ABC van Cyberhygiëne: updates uitvoeren en back-ups maken, is daar een belangrijk deel van. Dit thema is echter nog niet gepubliceerd op de website van ECSM. Updates uitvoeren is een preventieve actie om kwetsbaarheden te verhelpen. Back-ups zijn belangrijk wanneer je toch slachtoffer werd. Concreet: als je updates steeds uitvoert is de kans kleiner dat je slachtoffer wordt van bv. ransonware, maar als je toch getroffen bent kan je gegevens her installeren dank zij een back-up. Wordt er uit de longlist van kandidaten een shortlist gedistilleerd? Neen. Alle kandidaten die een regelmatige offerte indienen, die niet uitgesloten worden op basis van de uitsluitingsgronden en die voldoen aan de selectiecriteria worden op 29/5/2018 uitgenodigd om hun offerte te presenteren tijdens een demonstratie. Al deze kandidaten worden geëvalueerd aan de hand van dezelfde gunningscriteria.

Vooraf gestelde vragen en antwoorden (25/04/2018) Is er een vooropgesteld creatie- en respectievelijk productiebudget? Er is een budget voorzien. De procedure laat niet toe dat we dit budget aan de kandidaten meedelen. Is het voldoende als het creatievoorstel in 1 taal wordt voorgesteld? De offerte en bijlages bij het offerteformulier worden opgesteld in het Nederlands of het Frans. Kan de awareness campagne worden uitgebreid met andere topics/pijnpunten? Het thema van de campagne wordt door het CCB bepaald. Het CCB werkt daarvoor samen met de Cyber Security Coalition. De opdrachtnemer staat in voor de ontwikkeling van alle campagnematerialen. In de loop van de opdracht (3 jaar) zullen verschillende thema’s aan bod komen. Het is telkens het CCB dat de inhoud meedeelt aan de opdrachtnemer.

Vooraf gestelde vragen en antwoorden (25/04/2018) Hoe kan de huisstijlgids van safeonweb worden verkregen? Er bestaat geen grafisch charter voor safeonweb. We hebben enkel het logo ter beschikking in verschillende formaten. We voegen deze logo’s bij dit verslag. De huisstijlelementen zijn aanwezig op de website Safeonweb.be We gaan er vanuit dat er reeds een mediabureau verantwoordelijk is voor de mediabestedingen. Kunnen we de mediaplannen van de afgelopen jaren inkijken en krijgen we inzage in de lessen die hieruit werden getrokken? Zie volgende slides (32 tot 36)

Enkele resultaten campagne 2017: bereik advertising Facebook | Instagram Adv. Reach 1.000.000 Cinema Reach 830.000 Television Reach + 6.000.000 Ongeveer 2 miljoen internetgebruikers herkennen de campagne.

Enkele resultaten campagne 2017: algemene herkenning Internetgebruiker bewust maken van het bestaan van phishing/ hammeçonage (fr)? Er is een duidelijk verschil in herkenning van de termen ‘phishing’ en ‘hammeçonage’ voor en na de campagne. (11% meer mensen, of bijna 1mio meer individuen hebben van phishing gehoord) 6% meer mensen weten ook wat deze termen betekenen Heb je al gehoord van phishing (nl/fr)? Heb je al gehoord van hammeçonnage (fr)?

Algemene bevindingen over mediabesteding na 3 campagnes (2015-2016-2017) De jaarlijkse campagne wekt veel aandacht tijdens de campagnemaand oktober, maar daarna zakt de aandacht weg. We willen de inspanningen naar het grote publiek beter spreiden over het hele jaar. We besteden een aanzienlijk budget aan media (+/- 450.000 in 2017), voornamelijk televisie, en we kunnen tevreden zijn over de zichtbaarheid die de campagne kreeg. Toch vragen we ons af of een dergelijk budget niet creatiever en efficiënter online of via radio kan ingezet worden. Mediabudget kan/mag ook ingezet worden om trendsetters of influencers te betalen.

Vragen gesteld op de infosessie Moet er bij de delivrables ook een tweetalige versie voor Brussel voorzien worden? Neen. In Brussel worden de NL en FR versies van de delivrables gebruikt Informatie over de federal truck Wij hebben de federal truck gereserveerd gedurende 11 dagen in de loop van de maand oktober +/- 1.200€/dag (incl. BTW) – huur, 8 werkuren van de bestuurder en verzekering Ook de inkleding van de bus is voor rekening van de opdrachtnemer, net als de kost 1 hostess gedurende 11 dagen Na evaluatie kunnen we beslissen om de bus in de toekomst of bij de campagnes van 2019 of 2020 opnieuw in te zetten Meer informatie over de federal truck in de presentatie als bijlage http://chancellerie.belgium.be/nl/content/federal-truck-0

Vragen over selectiecriterium technische en beroepsbekwaamheid Vragen gesteld op de infosessie Vragen over selectiecriterium technische en beroepsbekwaamheid De informatie in het bestek is duidelijk op dit punt “De realisatie van minstens twee gelijkaardige sensibiliseringscampagnes voor verschillende organisaties en dit tijdens de drie laatste jaren. De inschrijver moet minstens twee gelijkaardige sensibiliseringscampagnes opsommen die tijdens de voorbije drie jaar (2015, 2016, 2017) in het Nederlands en in het Frans voor een overheidsorganisaties en/of non-profitorganisaties werden gevoerd. Eén van die campagnes moet over verschillende jaren ontwikkeld zijn.” Er kan discussie zijn over de het feit of de campagne 2-talig moeten zijn. Onze campagne is 4-talig en we wensen dat de opdrachtnemer kan aantonen minstens 2 2-talige campagnes gevoerd te hebben. Erratum: De pro memorie bij het offerteformulier bevat een fout (daar is sprake van 3 gelijkaardige campagnes, dit wordt aangepast)

Vragen gesteld op de infosessie Vragen over overdracht van auteursrechten De informatie in het bestek is duidelijk op dit punt, zie bijlage 3 overeenkomst voor de overdracht van auteursrechten Wat verstaan wij onder risico- internetgebruikers Grote of kleine internetgebruikers die geen gevaar zien in het gebruik van het internet en die zich weinig beveiligen (bv. gebruiken zwakke paswoorden, voeren geen updates uit, openen verdachte bijlage’s enz…) Kan de architectuur van de website www.safeonweb.be herbekeken worden De website kreeg een grondige opknapbeurt in 2017. Kleine aanpassingen zijn mogelijk, maar het is niet de bedoeling om de volledige architectuur van de website te herzien in 2018-2020. Welk merk wordt in de campagne naar voorgeschoven? CCB of Safeonweb? Safeonweb De campagne wordt gelanceerd als gemeenschappelijk initiatief van het CCB en de Cyber Security Coalition, maar het is het merk Safeonweb dat naar voor geschoven wordt. Is drukwerk opgenomen in het budget voor de opdrachtnemer? A priori willen wij drukwerk beperken. Als er toch besloten wordt om drukwerk te voorzien dan is de kost daarvoor ten laste van de opdrachtnemer.

Meer informatie: Katrien Eggers (N) 02 501 05 93, Katrien.eggers@cert.be Phédra Clouner (F) 02 501 05 62, phedra.clouner@ccb.belgium.be

Centrum voor Cybersecurity België (CCB) Het Centrum voor Cybersecurity België (CCB) is het nationale centrum voor cyberveiligheid in België. Het CCB stelt tot doel het superviseren, het coördineren en het waken over de toepassing van de Belgische strategie betreffende cyberveiligheid. Door het optimaliseren van de informatie-uitwisseling zullen de bevolking, de bedrijven, de overheid en de vitale sectoren zich gepast kunnen beschermen. Als nationale autoriteit heeft het CCB onder meer de opdracht gebruikers van informatie- en communicatiesystemen te informeren en sensibiliseren. www.epia.org

Cyber Security Coalition Belgium De “Cyber Security Coalition” brengt securityspecialisten uit overheidsorganisaties, bedrijven en academia samen met het oog op een efficiëntere verdediging van de overheid, het bedrijfsleven en de burgers tegen cybermisdaad in België. De Coalition rekent hiervoor op de uitwisseling van ervaringen tussen de leden, evenals publicaties met adviezen voor bedrijven en bewustwordingscampagnes naar het grote publiek. www.epia.org