|
|
Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
| 23/10/2014 | Verzending vraag (Einde van de antwoordtermijn: 27/11/2014) |
| 4/2/2015 | Rappel |
| 11/2/2015 | Antwoord |
Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.
De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.
Ik heb volgende vragen :
1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.
2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :
a) het tijdstip en de duur van het datalek ;
b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;
c) een omschrijving van de gelekte gegevens ;
d) de oorzaak van het datalek ;
e) de getroffen maatregelen ten gevolge van het datalek ;
f) het aantal klachten die desgevallend werden ingediend per datalek ;
g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.
3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?
4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?
5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?
6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.
7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?
Het geachte lid vindt hieronder het antwoord op zijn vragen.
Inzake de federale overheidsdienst (FOD) Volksgezondheid, Veiligheid van de voedselketen en Leefmilieu.
De hierna vermelde incidenten zijn enkel incidenten met als rechtstreeks gevolg een verlies aan vertrouwelijkheid van gevoelige gegevens. Incidenten die niet worden gemeld aan de Veiligheidsadviseur zijn niet gekend.
Al deze incidenten hebben ofwel geresulteerd in het ter beschikking stellen van gegevens aan niet gemachtigde derden, ofwel in een gebruik van deze gegevens voor doeleinden die niet compatibel zijn met de verwerking waaraan ze werden ontleend. Het concept datalek wordt dus in ruime zin geïnterpreteerd.
Zeer weinig incidenten werden « geëxternaliseerd », met ander woorden kenbaar gemaakt aan het publiek of geleid tot gerechtelijke stappen.
Vraag 1: Omschrijving van de geregistreerde incidenten
|
Nr. |
Waar |
Wanneer |
Wat |
|
1 |
FOD VVVL |
02/2009 |
Contactgegevens worden ontleend aan operationele databases voor een promotiemailing voor een wedstrijd waaraan een personeelslid van de FOD deelneemt. |
|
2 |
FOD VVVL |
11/2011 |
Ongeoorloofde installatie (verschillende niet voldoende beveiligde laptops) van medische gegevens door een ambtenaar van de FOD. |
|
3 |
FOD VVVL |
01/2013 |
Een lijst met gegevens van alle medewerkers van de FOD wordt aangetroffen op een website waar documenten worden gedeeld, de lijst is gereferentieerd en toegankelijk via Google. |
|
4 |
FOD VVVL |
04/2014 |
Een lijst van medewerkers van de FOD wordt bezorgd aan personen die niet belast zijn met het HR-beheer. |
|
5 |
FOD VVVL |
07/2014 |
Een PC werd gestolen, die een database bevatte met daarin persoonlijke professionele en privégegevens van partners van de FOD |
Opmerking : over een veiligheidsincident waarbij gegevens werden gestolen door een identiteitsdiefstal loopt momenteel een gerechtelijke procedure die gedekt wordt door het geheim van het onderzoek.
Vraag 2 :
a) Tijdstip en duur :
Alle incidenten, met uitzondering van 3, zijn doelgericht en impliceren geen terbeschikkingstelling of toegangsmogelijkheid gedurende een lange periode. Wat incident 3 betreft, is het onmogelijk om de termijn gedurende dewelke deze gegevens beschikbaar waren te bepalen, ze werden van de website gehaald van zodra het incident werd gemeld.
b) Aantal betrokken personen : zie tabel.
c) Welke gegevens : zie tabel.
d) Reden : zie tabel.
|
Nr. |
Aantal |
Wat |
Reden |
|
1 |
5 000 |
Mailadres. |
Promotie / reclame voor de deelname van een lid van de FOD aan een wedstrijd. |
|
2 |
+ 10 000 |
Medische gegevens (behandelingen en medicatie). |
Versoepelen van het beheer van en de toegang tot de gegevens gebruikt door de dienst. |
|
3 |
1 500 |
Identiteit, logins, functies en taken, contactgegevens. |
Terbeschikkingstelling van de lijst aan een onderaannemer, het bestand werd vergeten (niet gewist). |
|
4 |
80 |
Identiteit en persoonlijke contactgegevens, functies en taken. |
Mededeling aan de deelstaten van de identiteit en de contactgegevens van de personen in mutatie door regionalisering. De mails werden verstuurd naar een mailinglijst waarop niet gemachtigde personen voorkwamen. |
|
5 |
1600 |
Identiteit en login, werkgevers, privégegevens waaronder de bankrekening, expertisedomeinen en publicaties. |
De omstandigheden wijzen erop dat enkel de PC het doel was van de diefstal. Er lijkt geen gebruik te zijn gemaakt van de gegevens. |
e) Getroffen maatregelen :
– interne incidenten hebben geleid tot een advies van de Veiligheidsadviseur ;
– systematisch worden de personen die betrokken zijn bij het incident herinnerd aan de goede praktijken ;
– de kopies van de gegevens worden gewist en de dragers zo nodig vernietigd ;
– in één geval werd de eigenaar van de zoekmotor gesommeerd om de referentiëring en de « cache copies » te wissen ;
– ernstige lekken worden gemeld aan de betrokken personen waarbij tips worden gegeven om een verergering van de situatie te voorkomen ;
– organisatorische maatregelen worden geëvalueerd en toegepast om te vermijden dat een dergelijk incident zich opnieuw zou voordoen.
f) Geen enkele formele klacht, noch bij de veiligheidsadviseur, noch bij de CBPL, noch bij Justitie.
g) Geen juridische stappen.
Vraag 3 : Klachten en gerechtelijke procedures :
Geen gerechtelijke klachten.
Vraag 4 : Aantal datalekken aangegeven bij de CBPL :
Deze vraag geldt niet voor de FOD.
Vraag 5 : Genomen maatregelen :
Technieken :
– beveiliging van het netwerk (firewall, web-content filtering, …) ;
– beveiliging van de systemen (antivirus, anti-spam, technische policies van de werkstations, …) ;
– beveiliging van de toegangen (gecentraliseerde LDAP, rollenbeheer, …) ;
– inventaris van de informaticasystemen ;
– automatische installatie en centralisatie van « bug fixes » ;
– beveiliging en bewaking van de gevoelige lokalen ;
– systeem voor het publiceren van teksten en informatie in verband met het informatieveiligheidsbeheer (intranetpagina’s).
Methodes :
– change management ;
– beheer van de softwareversies ;
– incidentenbeheer en servicedesk ICT ;
Organisatorisch :
– risicoanalyse en interne audits ;
– onthaalprocedure voor bezoekers ;
– beveiligde ontmanteling van het verouderd materiaal en de verouderde informatiedragers ;
– handvest van de gebruiker ;
– verschillende veiligheidspolicies ;
– stuurcomité voor het informatieveiligheidsbeheer (adviesorgaan van het directiecomité).
Vraag 6 : Kosten :
Er is geen budget voorzien voor de informatieveiligheid, de kosten van de veiligheidsmaatregelen worden afgewenteld naar de functionele budgetten van de opdrachtgevers. Het is dan ook quasi onmogelijk om de bedragen van deze interventies te bepalen. De globale kostprijs voor de beveiliging van de FOD kan geraamd worden op 50 000 euro per jaar, voor alle websites en diensten samen.
Vraag 7 : Mogelijke extra maatregelen :
– sensibilisatieacties voor de hoge hiërarchie ;
– invoeren van procedures voor overleg (technisch / business / veiligheid) bij het uitwerken van projecten ;
– interne opleidingsprogramma’s voor alle medewerkers ;
– een uitgebreider team voor het veiligheidsbeheer ;
– invoering van een business continuity management inclusief een DRP ;
– aanschaf van een IDS/IPS systeem en herziening van de informaticaveiligheidsstrategie ;
– invoering van een network access control ;
– invoering van een toezichtsysteem voor de externe gegevensstromen ;
Reeds gepland of aan de gang :
– sensibilisatieseminarie voor de diensthoofden ;
– sensibilisatiecampagne voor alle medewerkers ;
– procedure voor het beheer van veiligheidsincidenten en instrument voor het registreren en opvolgen van incidenten ;
– nieuwe veiligheidspolicies in verband met het gebruik van de communicatiemiddelen.
Inzake de FOD Sociale Zekerheid:
1) Er zijn in de periode 2009 tot heden geen aanvallen vastgesteld op de databases van de FOD. Er werden wel aanvallen vastgesteld op de websites van de FOD, welke gehost zijn bij SMALS. Hun aantal beperkt zich tot enkele keren per jaar. De aanvallen waren niet succesvol en hebben geen schade aangericht.
2) De FOD Sociale Zekerheid heeft tot nu niet te maken gehad met een datalek.
3) Niet van toepassing.
4) Niet van toepassing.
5) Wat betreft aanvallen van buitenaf, is de FOD Sociale Zekerheid steeds proactief bezig met de beveiliging van haar IT-infrastructuur. De laatste jaren hebben we volgende maatregelen genomen om ons beter te beschermen :
– de centrale firewall werd geüpdatet naar de recentste versie ;
– de mail server werd gemigreerd naar Microsoft Exchange 2010. Exchange 2010 bevat een « throtteling » mechanisme dat bescherming biedt tegen DoS aanvallen (denial of service). De mail server werd bovendien voorzien van extra antivirus software ;
– een systeem werd opgezet om steeds de laatste (beveiligings-)updates automatisch te installeren op het PC-park ;
– naast een anti-virus software zijn alle PC’s uitgerust met een firewall.
Voor hun aan de Sociale Zekerheid externe TCP/IP-verbindingen, maakt de FOD gebruik van het Extranet van de Sociale Zekerheid. Dit houdt ondermeer in dat infrastructuur van de FOD niet rechtstreeks blootgesteld is aan mogelijke cyberaanvallen.
Echter wat betreft mogelijk datalekken van binnenuit, worden gebruikers gesensibiliseerd om bewust om te gaan met gevoelige en vertrouwelijke gegevens.
6) Maintenance kost firewall : 13 370 euro per jaar.
Maintenance kost antivirus software : 15 030 euro per jaar.
Maintenance kost VPN beveiliging telewerk : 12 279 euro per jaar.
Maintenance kost internet access beveiliging : 30 525 euro per jaar.
Maintenance kost e-mail beveiliging : 6 912 euro per jaar.
Wat security monitoring betreft, maakt de FOD gebruik van de standaard tools die in de beveiligingsproducten zelf vervat zitten. In bijkomende monitoring producten werd niet geïnvesteerd. Er werd dit jaar wel gedurende enkele weken een « Checkpoint Next Generation SmartEvent Software Blade » geplaatst voor het uitvoeren van een « CheckPoint 3D Audit ». Dit heeft geen security problemen aan het licht gebracht.
7) Beveiliging van IT-infrastructuur is een continu proces wat inhoudt dat permanent de bestaande maatregelen geëvalueerd dienen te worden en de opportuniteit van nieuwe bijkomende maatregelen onderzocht moet worden.
Wat betreft de openbare instellingen van sociale zekerheid die onder mijn bevoegdheid staan :
Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen
1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van de CDZ.
2.) De Controledienst heeft nooit een datalek gekend.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) Niet van toepassing.
5.) De volgende maatregelen worden op heden genomen : firewall (hardware en software), traffic control, traffic filtering, opsporing van inbraakpoging, Webblokering, Spamblokkering, toepassingscontrole, anti-virus, anti-spyware, anti DoS, controle van de gefragmenteerde of vervormde IP-pakketten, beveiliging tegen gecombineerde dreigingen, blokkering van statistische en dynamische bronnen (black lists, …).
6.) In 2009, 2010 en 2011, werd geen enkel bedrag geïnvesteerd in de cyberveiligheid van de Controledienst. De bedragen geïnvesteerd in de cyberveiligheid van de Controledienst in 2012, 2013 en 2014 zijn de volgende: 1 064,06 euro in 2012, 5 118,66 euro in 2013 en 750,50 euro in 2014. Deze investeringen hadden betrekking op het geheel aan maatregelen opgenomen in punt 5 hierboven.
7.) Neen. De reeds genomen maatregelen zijn voldoende.
Dienst voor de Overzeese Sociale Zekerheid
1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van de DOSZ.
2.) In de periode 2009 tot heden is er geen datalek geweest bij de DOSZ.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) Niet van toepassing.
5.) De DOSZ behoort tot het Extranet van de Sociale Zekerheid. Het Extranet neemt maatregelen ter preventie van datalekken.
De DOSZ zelf heeft ook maatregelen genomen ter voorkoming van datalekken zoals : het gebruik van de meest recente versie van de anti-virus software, het gebruik van de meest recente versies van de systeem- en toepassingssoftware.
6.) Voor de periode 2009 tot heden werd er jaarlijks een bedrag van 59 500 euro voorzien ter preventie van datalekken, beveiligingsinbreuken of cyberaanvallen, waarvan :
– 3 500 euro voor anti-virus software ;
– 56 000 euro voor systeem- en toepassingssoftware.
7.) Bijkomende maatregelen zijn in het geval van de DOSZ niet nodig omdat de bestaande veiligheidsmaatregelen ter voorkoming van datalekken reeds efficiënt zijn. Indien bijkomende maatregelen noodzakelijk zouden zijn dient rekening gehouden te worden met budgettaire beperkingen.
Federaal Agentschap voor de Kinderbijslag
Omdat het Extranet van de Sociale Zekerheid beheerd wordt door de Kruispuntbank van de Sociale Zekerheid neemt FAMIFED in het algeheel het antwoord van de KSZ over met toevoeging van specificaties eigen aan FAMIFED
1.) De Kruispuntbank van de Sociale Zekerheid is de voorbije jaren weliswaar een heel beperkt aantal keren het slachtoffer van cybercrimeaanvallen geworden maar de aanvallen werden steeds snel en efficiënt gecounterd en hebben nooit ernstige gevolgen voor de werking van het netwerk van de sociale zekerheid hebben.
2.en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.
4.) Niet van toepassing.
5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.
Een onderscheid dient te worden gemaakt tussen het LAN van FAMIFED (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).
Voor de beveiliging van het lokale netwerk en de informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld.
De Kruispuntbank van de Sociale Zekerheid beheert een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.
Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies, de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web of mail op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector ook een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid is beveiligd met een granulair gebruikers- en toegangsbeheer.
De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt het centrale beheer van anti-malware software plaats.
Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System) en er is een overkoepelend management- en monitoringsysteem voorzien om de veiligheidsincidenten te detecteren en te corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.
De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners, waaronder FAMIFED. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.
De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS), algemeen gebaseerd op de ISO 2700X-reeks internationale normen.
Hoewel aanvallen nooit volledig uit te sluiten zijn, heeft de Kruispuntbank van de Sociale Zekerheid een aantal maatregelen ingevoerd, met respect voor de “best practices” dienaangaande, om de geëvalueerde risico’s te minimaliseren en de beveiliging te maximaliseren (zie hoger). De Kruispuntbank van de Sociale Zekerheid herevalueert regelmatig de risico’s en de maatregelen om een hoog beveiligingsniveau te garanderen.
6.) De jaarlijkse kosten voor de preventie van beveiligingsinbreuken zijn geïntegreerd in de project- en exploitatiekosten van de systemen van het netwerk van de sociale zekerheid en kunnen niet geïndividualiseerd worden. Specifiek in verband met datalekken werden bijvoorbeeld stappen ondernomen om programmatuur zodanig te ontwikkelen dat risico’s op toepassingsniveau (zoals een SQL-injection) maximaal beperkt worden. De inspanningen op dit vlak zijn volledig geïntegreerd in de kosten van het schrijven van software.
7.) Gelet op het voorgaande lijken bijkomende maatregelen niet noodzakelijk.
-Fonds voor Arbeidsongevallen
1.) 1.) Het FAO heeft geen kennis van aanvallen gericht op haar digitale gegevens of databases
2.) Tussen 2009 en nu is geen enkel gegeven verloren gegaan of gestolen.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot de punt 2 van de vraag.
4.) Niet van toepassing.
5.) De reglementaire bepalingen over de werking van de Kruispuntbank van de Sociale Zekerheid en de informatieveiligheid in het bijzonder.
6.) Er werd geen budget vastgelegd ter preventie van beveiligingsinbreuken.
7.) Gelet op het antwoord op punt 2 van de vraag lijken bijkomende maatregelen niet noodzakelijk.
-Fonds voor de Beroepsziekten
1.) Geen enkel spoor van een externe aanval gericht tegen het FBZ werd ooit vastgesteld noch aan het Fonds meegedeeld.
2. en 3.) Een interne malversatie kon worden gedetecteerd en bewezen, voornamelijk op basis van bewaarde sporen. Het ging eigenlijk niet om een informatica-aanval maar om een verkeerd gebruik en onaangepaste rechten. Naast de strafrechtelijke en administratieve vervolging van de dader, is er een interne herziening van de rechten gevolgd om dit soort misbruik te beperken; een bijzondere aandacht is voortaan geboden op het vlak van het toegangsbeheer tot de gegevens en de toepassingen. Tot nu toe heeft het Fonds geen geslaagde externe aanval ontdekt. Het FAO beschikt over sporen en statistische cijfers op het vlak van de beschermingssystemen van het netwerk (firewall, proxy - waaronder sandbox -, antivirus).
4.) Niet van toepassing.
5.) Het lokale netwerk van het FBZ is beschermd door een firewall en een proxy; het is slechts verbonden met de buitenwereld via het Extranet van de Sociale Zekerheid. De toegang tot Internet wordt beheerd op basis van een proxy die de toepassing van een gecoördineerd beleid ter zake mogelijk maakt; de toegangen die onaanvaardbaar zijn of die bewezen en gekende risico's inhouden zijn verboden, die van professionele aard zijn open en de andere worden onder voorwaarden aanvaard. Momenteel worden alleen verbindingen van buitenaf toegelaten via de VPN-oplossing via het extranet van de sociale zekerheid; een gemeenschappelijk veiligheidsbeleid analyseert de risico's van mobiele apparaten en stelt na te leven handelwijzen voor. Achter de bescherming die door het extranet wordt geboden, zijn de door het FBZ geïnstalleerde systemen efficiënt en worden ze up to date gehouden. We zien erop toe dat elke pc in onze omgeving een aangepaste bescherming heeft. Elke deelnemer in het netwerk, waaronder het FBZ, dient maatregelen te nemen in overeenstemming met de minimale veiligheidsnormen om zijn netwerk te beveiligen, om anomalieën te detecteren en om de andere actoren te informeren over die die hij zou vaststellen. Indien zich een aanval zou voordoen, zal deze zo veel mogelijk worden tegengehouden met behulp van preventieve middelen die zijn opgesteld. De diensten belast met de veiligheid bij het FBZ, bij de KSZ en bij Smals worden ingelicht en gevraagd om hun medewerking en advies te verlenen.
6.) Kosten; bepaalde cijfers m.b.t. de meerjarige contracten werden uitgesplitst om een jaarlijks overzicht van de kosten weer te geven. De vermelde bedragen zijn beperkt tot de kosten die overeenstemmen met de maatregelen m.b.t. de vraag en houden geen rekening met de kosten die verband houden met het personeel.
|
Maatregelen / Mesures |
2009 |
2010 |
2011 |
2012 |
2013 |
|
Software voor audit en DB-tracing Logiciels d'audit et traçage DB |
1125 |
1125 |
1125 |
1125 |
0 |
|
Software voor logische toegangscontrole Logiciels de contrôle des accès logiques |
11800 |
12500 |
13000 |
13000 |
13550 |
|
Firewall Pare-feu |
1699 |
1699 |
1978 |
1978 |
11736 |
|
Proxy |
6868 |
6868 |
6868 |
6868 |
15111 |
|
Antivirus |
3402 |
3402 |
3402 |
3402 |
3610 |
|
Totaal / Total |
24894 |
25594 |
26373 |
25248 |
44007 |
7.) De specifieke maatregelen die momenteel zijn ingevoerd zijn voldoende, ze moeten echter op een juist peil worden gehouden en eventueel evolueren in functie van de risico's, de nieuwe behoeften en de technologische vooruitgang. Het beveiligingsbeleid uitgewerkt binnen het netwerk van de Sociale Zekerheid is een belangrijke referentie voor onze strategie op het gebied van IT-beveiliging.
-Hulp- en Voorzorgskas voor Zeevarenden
1.) De Hulp-en Voorzorgskas voor Zeevarenden heeft geen kennis van aanvallen gericht op haar digitale gegevens of databases
2.) De HVKZ heeft niet te maken gehad met datalekken.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) De HVKZ heeft geen kennis van meldingen van gegevenslekken via het online-formulier op de website van de privacycommissie.
5.) De HVKZ is gebonden aan veiligheidsvoorschriften opgelegd door het sectoraal comité van de sociale zekerheid. Bij het naleven van deze veiligheidsvoorschriften wordt de HVKZ bijgestaan door een veiligheidsconsulent van Smals. De naleving van de voorschriften wordt jaarlijks nagekeken door het sectoraal comité van de sociale zekerheid.
6.)
|
|
2009 |
2010 |
2011 |
2012 |
2013 |
|
Firewall Pare-feu |
€ 1.263,70 |
€ 1.263,70 |
€ 1.263,69 |
€ 2.194,45 |
€ 1.263,69 |
|
Veiligheidsconsulent SMALS Conseiller en sécurité de SMALS |
€ 1.404,00 |
€ 1.645,05 |
€ 1.106,38 |
€ 352,03 |
€ 2.239,98 |
|
Externe ICT-consultant Consultant ICT externe |
€ 1.258,40 |
€ 1.258,40 |
€ 1.258,40 |
€ 1.258,40 |
€ 1.258,40 |
|
Totaal / Total |
€ 3.926,10 |
€ 4.167,15 |
€ 3.628,47 |
€ 3.804,88 |
€ 4.762,07 |
7.) De HVKZ is een zeer kleine OISZ, bevoegd voor de sociale zekerheid van de Zeevarenden. Gelet op het beperkte risico oordeelt de HVKZ dat het voldoen aan de veiligheidsvoorschriften opgelegd door het sectoraal comité van de sociale zekerheid een voldoende veiligheidsniveau biedt.
-Hulpkas voor ziekte- en invaliditeitsverzekering
1. De HZIV heeft geen directe aanvallen vastgesteld tegen de instelling, wel meer algemene pogingen. De Hulpkas beschikt over een eerste defensielijn voor het extranet via de Maatschappij voor Mecanografie voor de toepassing van de sociale wetten die het intranet beheert.
Gelet op de toenemende complexiteit en geavanceerdheid van de huidige aanvallen, zouden bijkomende maatregelen inzake veiligheid nuttig zijn. Een aantal aanvallen zouden namelijk onopgemerkt kunnen blijven. De instelling beschikt thans echter niet over de nodige middelen om dit uit te voeren.
Aantal vastgestelde algemene pogingen:
Vorige jaren: Niet gemeten
2013 : 600
2014 : 820
2.) De problematiek rond datalekken is zeer complex en vereist specifieke en dure tools. De HZIV beschikt thans niet over dergelijke tools. Er werd echter nog geen enkele lek vastgesteld of gemeld.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) Niet van toepassing.
5.) De HZIV behoort tot het Extranet van de Sociale Zekerheid dat beheerd wordt door de Kruispuntbank, deze zorgt voor de maatregelen ter preventie van datalekken. Gezien het antwoord op punt 2 van de vraag heeft de Hulpkas nog geen extra maatregelen genomen.
6.) De jaarlijkse kostprijs voor het Extranet SMALS bedraagt 6 000 euro per jaar
Wat de personeelskosten betreft, is de opvolging door de informaticaveiligheidsadviseur van de Hulpkas beperkt tot 10,00 % (0,1 VTE) omwille van de kleine omvang van de instelling en de link via het extranet van SMALS. Er wordt gebruik gemaakt van de volgende tools als firewall:
antivirus (clamaw) / antispam (spamassasin) voor de ontvangst van mails
antivirus symantec voor de servers en workstations
7.) Bijkomende maatregelen kunnen nuttig zijn, maar daarvoor zijn (veel) bijkomende middelen nodig. Er moet geïnvesteerd worden in passende software, en de opleiding van personen die de bijhorende reportinggegevens moeten configureren, aanpassen en analyseren. Dit veronderstelt ook dwingende maatregelen en een eventuele aanpassing in het gebruik van de hard- en software door de gebruikers van de HZIV.
-Kruispuntbank van de Sociale Zekerheid +eHealth-platform
1.) De Kruispuntbank van de Sociale Zekerheid is de voorbije jaren weliswaar een heel beperkt aantal keren het slachtoffer van cybercrimeaanvallen geworden maar de aanvallen werden steeds snel en efficiënt gecounterd en hebben nooit ernstige gevolgen voor de werking van het netwerk van de sociale zekerheid gehad.
2.en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.
4.) Niet van toepassing.
5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.
Een onderscheid dient te worden gemaakt tussen het LAN van de Kruispuntbank van de Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).
Voor de beveiliging van het lokale netwerk en de informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld.
De Kruispuntbank van de Sociale Zekerheid beheert aldus een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.
Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies, de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web of mail op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector ook een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid is beveiligd met een granulair gebruikers- en toegangsbeheer.
De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt het centrale beheer van anti-malware software plaats.
Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System) en er is een overkoepelend management- en monitoringsysteem voorzien om de veiligheidsincidenten te detecteren en te corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.
De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.
De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS), algemeen gebaseerd op de ISO 2700X-reeks internationale normen.
Hoewel aanvallen nooit volledig uit te sluiten zijn, heeft de Kruispuntbank van de Sociale Zekerheid een aantal maatregelen ingevoerd, met respect voor de “best practices” dienaangaande, om de geëvalueerde risico’s te minimaliseren en de beveiliging te maximaliseren (zie hoger). De Kruispuntbank van de Sociale Zekerheid herevalueert regelmatig de risico’s en de maatregelen om een hoog beveiligingsniveau te garanderen.
6.) De jaarlijkse kosten voor de preventie van beveiligingsinbreuken zijn geïntegreerd in de project- en exploitatiekosten van de systemen van het netwerk van de sociale zekerheid en kunnen niet geïndividualiseerd worden. Specifiek in verband met datalekken werden bijvoorbeeld stappen ondernomen om programmatuur zodanig te ontwikkelen dat risico’s op toepassingsniveau (zoals een SQL-injection) maximaal beperkt worden. De inspanningen op dit vlak zijn volledig geïntegreerd in de kosten van het schrijven van software
7.) Gelet op het voorgaande lijken bijkomende maatregelen niet noodzakelijk.
-Rijksinstituut voor Ziekte- en Invaliditeitsverzekering
1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van het RIZIV.
2.) Het Rijksinstituut heeft niet te maken gehad met datalekken.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) Niet van toepassing.
5.) In het RIZIV loopt een project dat de voortdurende verbetering van informatieveiligheid bestendigt, gebaseerd op de ISO norm 27001. Het RIZIV heeft in 2014 dit certificaat behaald. Het informatieveiligheidsbeleid is hoofdzakelijk gebaseerd op een continu proces voor risicobeheersing dat aanleiding geeft tot verbeteringsacties waaronder concrete beveiligingsmaatregelen voor processen en systemen, maar ook bewustmaking van de medewerkers per specifieke doelgroep.
Op alle componenten van het netwerk is beveiliging ingebouwd. Enerzijds is ons netwerk geïntegreerd in het extranet van de Sociale Zekerheid, beheerd door KSZ-Smals. Het extranet gebruikt een gelaagd security model en schermt de netwerken van de ISZ af via firewalls, IPS (Intrusion Prevention System), DMZ, proxy servers, anti-malware, etc.
Anderzijds is het netwerk van het RIZIV op een gelijkwaardige wijze afgeschermd van het extranet door een gelaagd security model (gebruik van 2 niveaus van firewalls, IPS, DMZ, proxy servers, anti-malware, etc.).
Cyberaanvallen worden op 2 niveaus opgespoord en gedetecteerd. Intrusion Prevention Systemen (IPS) op het extranet worden beheerd door de Smals en alerts m.b.t. het RIZIV worden doorgestuurd naar het RIZIV voor onderzoek. Onze eigen IPS systemen detecteren eveneens alerts en blokkeren in een aantal gevallen de communicatie.
Het RIZIV heeft een nieuwe netwerkarchitectuur uitgebouwd, die een nog hogere beveiliging moet bieden en het RIZIV moet klaar maken voor nieuwe technologieën en trends zoals BYOD en Cloud. Dit beveiligingsmodel is een “trusted zone” model waarbij alle communicatie tussen de servers punt-tot-punt wordt beveiligd via firewall. Bovendien worden alle servers “gehardened” (verwijderen van functionaliteit die niet nodig is maar eventueel wel misbruikt zou kunnen worden door hackers of malware).
Het veiligheidsbeleid is niet enkel gesteund op investeringen maar ook op continue processen: risicoanalyses, communicatie, awareness, opleidingen, audits. Dit vertaalt zich in een aantal toegewezen FTE’s
6.) Het Rijksinstituut kan daar moeilijk een exact bedrag op plakken omdat maatregelen ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken, deel uitmaken van een globale security aanpak waarbij het installeren van specifieke platformen en systemen meer afdekt dan enkel bedreigingen die van buitenaf komen, maar ook bescherming biedt tegen virussen, interne dreigingen, etc.
Zo bedroeg de kostprijs voor het SafeInfo projecten (het ISO27001 certificaat) ongeveer 1.200.000 €, gespreid over 2011-2012-2013, maar de scope hiervan is uiteraard veel ruimer dan de parlementaire vraag.
Een andere indicatie is het totale infrastructuurbudget van het RIZIV dat ca. 600.000 € per jaar bedraagt.
Er zijn geen investeringen gebeurd in specifieke software voor security monitoring. Wel werd er geïnvesteerd in hardware firewalls met IPS functionaliteit en host-based software firewalls met IPS functionaliteit.
Het veiligheidsbeleid is niet enkel gesteund op investeringen maar ook op continue processen: risicoanalyses, communicatie, awareness, opleidingen, audits. Dit vertaalt zich in een aantal toegewezen FTE’s
7.) Er zijn bijkomende maatregelen mogelijk die nog een beter beveiligingsniveau garanderen, zoals bvb. een “data leakage prevention system”, doch de huidige budgettaire context maakt dergelijke projecten momenteel niet realiseerbaar
-Rijksdienst voor Sociale Zekerheid
1.) De systemen van de Rijksdienst voor Sociale Zekerheid zijn geïntegreerd in het netwerk van de sociale zekerheid zoals uitgebouwd door de Kruispuntbank van de Sociale Zekerheid. Wat geldt voor dit netwerk geldt ook voor de Rijksdienst voor Sociale Zekerheid. Dit netwerk werd de voorbije jaren weliswaar een heel beperkt aantal keren het slachtoffer van cybercrimeaanvallen maar heeft de aanvallen steeds snel en efficiënt kunnen counteren waardoor er nooit ernstige gevolgen voor de werking van het netwerk van de sociale zekerheid hebben plaats gehad.
2. en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.
4.) Niet van toepassing.
5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.
Een onderscheid dient te worden gemaakt tussen het interne netwerk van de Rijksdienst voor Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).
Voor de beveiliging van het lokale netwerk en de informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld.
De Kruispuntbank van de Sociale Zekerheid beheert aldus een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.
Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies, de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web of mail op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector ook een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid is beveiligd met een granulair gebruikers- en toegangsbeheer.
De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt het centrale beheer van anti-malware software plaats.
Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System) en er is een overkoepelend management- en monitoringsysteem voorzien om de veiligheidsincidenten te detecteren en te corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.
De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.
De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS), algemeen gebaseerd op de ISO 2700X-reeks internationale normen.
Hoewel aanvallen nooit volledig uit te sluiten zijn, zorgt de Kruispuntbank van de Sociale Zekerheid met een aantal gerichte maatregelen voor een maximale beveiliging (zie hoger). Zij is van oordeel op een degelijke wijze beveiligd te zijn.
6.) De jaarlijkse kosten voor de preventie van beveiligingsinbreuken, andere dan de kosten gemeld door de Kruispuntbank van de Sociale Zekerheid, zijn geïntegreerd in de project- en exploitatiekosten van de systemen van de Rijksdienst voor Sociale Zekerheid en kunnen niet geïndividualiseerd worden. Specifiek in verband met datalekken werden bijvoorbeeld stappen ondernomen om programmatuur te ontwikkelen op zo’n wijze dat risico’s op toepassingsniveau in dit verband (vb. een zogenaamde SQL-injection) maximaal beperkt worden. De inspanningen op dit vlak zijn volledig geïntegreerd in de kosten van het schrijven van software.
7.) Gelet op het voorgaande lijken bijkomende maatregelen niet nodig.
-Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten
Woord vooraf:
Buiten het interne netwerk van de RSZPPO is het niet mogelijk om toegang te verkrijgen tot privé-gegevens. Er werden beschermingsmaatregelen ingesteld zodat het niet mogelijk is om een niet-geautoriseerde externe toegang te verkrijgen.
1.) Er werd geen enkel spoor van een externe aanval tegen de RSZPPO vastgesteld of aan de Rijksdienst gemeld.
2.) Er bestaat een traceringssysteem op het niveau van de toegangen tot de gegevens en van de toepassingen. Dit systeem wordt gecontroleerd. Tot op heden heeft De Rijksdienst nog geen misbruik van onze gegevens kunnen vaststellen. De RSZPPOj heeft tot op heden nog geen geslaagde externe aanval kunnen opsporen.
3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.
4.) Niet van toepassing.
5.) Het lokale netwerk van de RSZPPO is beveiligd door firewalls en een proxy. Het netwerk is enkel toegankelijk voor de buitenwereld via het Extranet van de Sociale Zekerheid. De toegang tot het internet wordt beheerd op basis van een proxy. Er wordt een specifiek beleid gevoerd wat betreft de toegang tot het internet, waarbij de toegang wordt geblokkeerd tot sites of gegevens die verboden zijn of die een ernstig risico vormen voor de veiligheid van onze informaticainfrastructuur. De toegangen tot professionele toepassingen beantwoorden aan de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid. Andere nuttige toegangen tot meer algemene websites worden toegelaten op basis van een beslissing van de hiërarchie.
Verbindingen van buitenaf worden verplicht tot stand gebracht via een beveiligde VPN-verbinding die wordt beheerd door het Extranet van de Sociale Zekerheid. Deze beveiligde verbinding kadert in de informatieveiligheidspolis die werd opgesteld door de subwerkgroep voor informatieveiligheid van de Sociale Zekerheid over mobiele middelen. De RSZPPO beheert op zijn beurt op dagelijkse basis zijn eigen informatieveiligheidstools. Op deze wijze wordt iedere individuele toegang tot het netwerk beschermd. De RSZPPO stelt aan de andere socialezekerheidsinstellingen sociale gegevens ter beschikking via het Extranet. De RSZPPO voert een veiligheidsbeleid dat beantwoordt aan de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid teneinde de integriteit en de beschikbaarheid van de gegevens te garanderen. Binnen de RSZPPO bestaat er bovendien een dienst die belast is met de informatieveiligheid en die waakt over het goede verloop van het veiligheidsbeleid en de goede samenwerking tussen de RSZPPO, de KSZ en de Smals via een permanente waakzaamheid aan de hand van verschillende middelen.
6.) De jaarlijkse kosten die inherent zijn aan de middelen voor informatieveiligheid (schending van de veiligheid, cyberaanvallen en schending van gegevens) zitten vervat in de verschillende kosten m.b.t. studies, de ontwikkeling en de productie van het informaticasysteem en het netwerk. Het is dus onmogelijk om de kosten m.b.t. veiligheid te onderscheiden van de andere informaticakosten m.b.t. studies, ontwikkeling en productie.
7.) De RSZPPO waakt over de naleving van de minimumnormen van de KSZ. De specifieke maatregelen inzake veiligheid waarover de RSZPPO beschikt, zijn momenteel voldoende.
Hoewel deze maatregelen op punt worden gehouden om het hoofd te kunnen bieden aan onze dagelijkse realiteit, dreigen zij zeer snel te zullen moeten evolueren in functie van nieuwe risico’s die momenteel nog onbekend zijn, maar ook in functie van nieuwe technologieën en nieuwe mediakanalen. Het is dus noodzakelijk om ons opleidingsbeleid verder te zetten en verder te investeren in het veiligheidsbeleid van de RSZPPO, maar vooral ook om ons gemeenschappelijk veiligheidsbeleid binnen het socialezekerheidsnetwerk verder uit te werken, meer bepaald via de minimale veiligheidsnormen van de KSZ.