Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-23

van Lode Vereeck (Open Vld) d.d. 23 oktober 2014

aan de vice-eersteminister en minister van Buitenlandse Zaken en Europese Zaken, belast met Beliris en Federale Culturele Instellingen

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

Chronologie

23/10/2014Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
4/2/2015Rappel
9/2/2015Antwoord

Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36

Vraag nr. 6-23 d.d. 23 oktober 2014 : (Vraag gesteld in het Nederlands)

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Antwoord ontvangen op 9 februari 2015 :

1) Het is niet mogelijk elke niet geslaagde aanval te detecteren (zie vorige antwoorden).

Geslaagde of gedeeltelijk geslaagde aanvallen werden opgemerkt bij incidenten waarvoor klacht werd ingediend. Zolang het onderzoek loopt kunnen we geen gegevens uit de dossiers meedelen.

2) a), b), c), d), e) : Zie antwoord op vraag 1.

f) Tweemaal werd klacht ingediend.

g) Onderzoek is lopende.

3)Zie antwoord op vraag 2) f).

4) Zie de betreffende politieke verantwoordelijke.

5) Verschillende standaard en niet-standaardmaatregelen. Het opsommen van een aantal van die maatregelen zou de succeskans van aanvallen verhogen.

6) Het verschil tussen gewone en veiligheidsinvesteringen is niet altijd duidelijk te maken, er wordt met veiligheid rekening gehouden bij diverse investeringen. Voor verbeteringen en aanpassingen voorzien we voor 2015 een kost van ongeveer twee miljoen euro. Dat is exclusief standaardvoorzieningen zoals firewalls (DMZ) en virusscanner. Eveneens exclusief zijn zaken zoals het organiseren van alternatieven omdat de internettoegang niet meer volledig kan opengezet worden. Ook wordt hier geen rekening gehouden met de inzet van eigen personeel.

Vanaf 2012 werd driekwart tot een volledig fulltime-equivalent ingezet voor specifieke monitoring, hoewel niet constant. Op extern advies en na het herbekijken van de situatie in de loop van dit jaar zal een CSOC ingericht worden met als specifiek doel het netwerk te monitoren en te reageren op aanwijzingen van dit type van infectie. Deze CSOC zal in een eerste fase twee a drie fulltime-equivalent nodig hebben om verdere problemen tijdig op te sporen. Het gaat over gespecialiseerde personen.

7) Ja, het zal noodzakelijk zijn verdere maatregelen te blijven nemen en alert te blijven. Technieken die door enkele organisaties gebruikt werden zullen ruimer bekend worden en overgenomen worden door meerdere groepen. Nieuwe technieken zullen opkomen, nieuwe producten en manieren om ze te gebruiken zullen in zwang komen. Er zijn geen maatregelen die alles oplossen.

Op technisch vlak worden nieuwe producten aangeboden.

Op organisatorisch en structureel vlak zullen verbeteringen noodzakelijk zijn. Er kan een verdere impact zijn op het gebruiksgemak.