|
|
Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
| 24/10/2014 | Verzending vraag (Einde van de antwoordtermijn: 27/11/2014) |
| 19/12/2014 | Antwoord |
Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.
De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.
Ik heb volgende vragen :
1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.
2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :
a) het tijdstip en de duur van het datalek ;
b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;
c) een omschrijving van de gelekte gegevens ;
d) de oorzaak van het datalek ;
e) de getroffen maatregelen ten gevolge van het datalek ;
f) het aantal klachten die desgevallend werden ingediend per datalek ;
g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.
3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?
4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?
5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?
6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.
7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?
1. A. Federale overheidsdienst (FOD) WASO
In 2012 heeft de dienst ICT het hoofd moeten bieden aan een aanval op de mailserver van de FOD WASO. Gedurende meerdere uren is spam-mail verspreid onder het mom van de officiële benaming van de FOD, waarna de server op een zwarte lijst kwam te staan en het versturen van mail onmogelijk was.
De dienst ICT heeft de identiteitsdiefstal ongedaan gemaakt. De gehackte emailaccount is tijdelijk gedeactiveerd en het paswoord van de betrokken gebruiker gewijzigd. De mailserver is vervolgens op een meer restrictieve manier geconfigureerd en er is contact genomen met de onderneming die de FOD op de zwarte lijst had geplaatst. Een verslag is opgesteld en overgemaakt, over de oorzaken van het incident en over de getroffen maatregelen om het te verhelpen en herhaling te vermijden. Als gevolg daarvan werken de systemen terug normaal.
B. FOD ECONOMIE
Het netwerk en de website van de FOD Economie worden beheerd door een externe provider en Fedict. De betreffende gegevens zijn bij hen opgevraagd, maar zijn tot op heden nog niet overgemaakt.
2. A. FOD WASO
a. Het incident met de mailserver heeft slechts enkele uren geduurd.
b. Alle medewerkers van de FOD WASO ondervonden moeilijkheden.
c. Het betrof het globaal adresboek (Exchange) van de FOD WASO.
d. Een gebruikersaccount met een te zwak paswoord werd gehackt.
e. De paswoord-policy is aangepast. Er is een verplichting om een « sterk » paswoord te gebruiken en dit elke zes maanden te veranderen. Aanbevelingen met betrekking tot het goed gebruik van het internet en e-mail zijn opgesteld en gecommuniceerd aan al de medewerkers. Het beveiligingsniveau van de mailserver is verhoogd. Het gebruik van de Fedict-VPN (virtueel particulier netwerk) is verplicht om zich van buitenaf te verbinden met het netwerk van de FOD (authenticatie via e-ID).
f. De FOD heeft geen klacht genoteerd als gevolg van dit incident.
g. Zonder voorwerp.
B. FOD ECONOMIE
a. Een geval van hacking is vastgesteld in de periode van 18 november 2013 tot 20 januari 2014.
b. Dit incident is beperkt gebleven tot een laptop.
c. Er is geen economische data gelekt, want het betrof de netwerkexploratie.
d. De desbetreffende laptop is geïnfecteerd door het downloaden van een met malware geïnfecteerde software die niet is gedetecteerd.
e. De laptop is in beslag genomen en een onderzoek is gevoerd naar eventuele andere infectiehaarden. Vanaf het moment dat de infectie duidelijk was, is samengewerkt met het Computer Emergency Response Team (CERT) en met de Federal Computer Crime Unit (FCCU). Bovendien is een klacht neergelegd bij het federaal parket.
f. Het bovenvermeld hacking-incident is de enige ontvangen klacht.
g. Het onderzoek van de FCCU loopt momenteel.
3. A. FOD WASO
Zonder voorwerp, zie 2. f.
B. FOD ECONOMIE
Zie 2. e tot 2. g.
4. A. FOD WASO
Geen weet van klachten neergelegd via het CPBL online formulier.
B. FOD ECONOMIE
Niet van toepassing.
5. A. FOD WASO
Zie 2. e.
B. FOD ECONOMIE
Genomen maatregelen: het controleren van de internettrafiek, de samenwerking met het CERT, versterkende maatregelen inzake antivirus en firewall, sensibiliseringssessies (« awareness ») inzake cybersecurity voor eindgebruikers.
6. A. FOD WASO
Van 2009 tot 2014 McAfee : 24 500 euro, 24 500 euro, 29 600 euro, 23 300 euro en 22 000 euro. In 2009 en 2010 Websense : 22 000 euro en 23 000 euro. Van 2009 tot 2014 Sophos : 14 000 euro, 23 500 euro, 22 600 euro en 20 500 euro.
B. FOD ECONOMIE
De jaarlijkse kosten kunnen als volgt worden opgesplitst:
|
Leverancier |
Product |
Kost ( euro) |
|
Belgacom/Telindus |
Internet Access Street |
215 000 |
|
Secutec |
Antivirus laptop & werkstation (McAfee) |
19 224 |
|
Data Unit NV |
Antivirus servers (Kaspersky) |
25 753 |
|
Data Unit NV |
Consultancy (Kaspersky) |
5 135 |
7. A. FOD WASO
De aankoop en installatie van een firewall « nieuwe generatie » wordt overwogen in functie van de budgettaire ruimte.
B. FOD ECONOMIE
Het is steeds opportuun bijkomende maatregelen te nemen ter preventie van datalekken, gezien de snelheid en complexiteit waarmee het cybersecurity landschap verandert.