Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-29

van Lode Vereeck (Open Vld) d.d. 23 oktober 2014

aan de minister van Middenstand, Zelfstandigen, KMO's, Landbouw en Maatschappelijke Integratie

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

Chronologie

23/10/2014Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
27/11/2014Antwoord

Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36

Vraag nr. 6-29 d.d. 23 oktober 2014 : (Vraag gesteld in het Nederlands)

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Antwoord ontvangen op 27 november 2014 :

Federaal Agentschap voor de veiligheid van de voedselketen (FAVV)

1) In heel deze periode werd slechts één aanval op de digitale gegevens van het FAVV geregistreerd.

Deze is niet doorheen onze firewall geraakt en werd geïdentificeerd als komende vanuit China. Gegevens werden niet bemachtigd.

2) Voor het FAVV is het antwoord : neen.

a) Niet van toepassing.

b) Niet van toepassing.

c) Niet van toepassing.

d) Niet van toepassing.

e) Niet van toepassing.

f) Niet van toepassing.

g) Niet van toepassing.

3) Niet van toepassing.

4) Niet van toepassing. Deze vraag zou alleen mogen kunnen beantwoord worden via de Privacycomissie.

5) Een corporate firewall is geïnstalleerd bij het FAVV, waardoor alle lokale ICT infrastructuur beveiligd is tegen aanvallen via het netwerk.

Op elke portable computer, die kan opereren los van het centrale netwerk, is ook een firewall geïnstalleerd. Deze kan niet worden gewijzigd door de eindgebruiker. Op deze manier zijn ook portable computers beschermd tegen aanvallen via het netwerk.

Op elk toestel is een antivirus- en antispam programma geïnstalleerd. Deze kunnen niet worden gewijzigd door de eindgebruiker. Hierdoor worden courante technieken, gebruikt door hackers (zoals trojan horses, enz.), verhinderd.

Op mobiele toestellen worden paswoorden gebruikt. Ook indien deze toestellen niet het eigendom zijn van het FAVV, de toegang moet via een paswoord beperkt worden. In geval van accidenteel verlies van toestellen wordt op deze manier de toegang tot informatie verhinderd.

Internet monitoring is geïnstalleerd op proxy servers die scannen op surfgedrag naar ongewenste websites, en die de toegang hiertoe blokkeren. Dergelijke sites worden dikwijls gebruikt door hackers om toegang te krijgen tot de informatie die zich bevindt op de computer van de surfer.

Op dit ogenblik wordt een centraal RBAC tool (Role Based Access Control) geïmplementeerd dat toelaat om de logische toegang tot informatie (ook voor eigen personeel) te reduceren tot een « need to know basis ». De toegang tot informatie kan op die manier slechts worden verleend via een hiërarchische verantwoordelijke, die vertrouwd is met de informatienoden van zijn/haar personeel. Dit verhindert niet dat lekken kunnen ontstaan maar verhindert de toegang tot onnodige informatie en reduceert dus wel degelijk de kans op lekken.

Een externe audit met focus op informatie beveiliging werd aangevraagd.

Het is de bedoeling om een onafhankelijk advies te krijgen over mogelijke verbeteringspunten in onze aanpak over informatiebeveiliging, alvorens deze op te nemen in de scope van de projecten voor 2015.

Tot slot is er ook een fysieke beveiliging van de gebouwen en infrastructuur, met een 24/7 bewaking.

6) Grootteorde van kosten per relevante maatregelen van 2009 tot heden zijn de volgende :

firewalls ; proxy’s ; antivirus ; antispam : 350 000 euro ;

Role Based Access Control : 200 000 euro ;

– onafhankelijke Security Audits : 150 000 euro.

7) Ja. De evolutie van de technologie biedt steeds nieuwe mogelijkheden tot inbraak en daaruit volgende datalekken. De evaluatie en adequate implementatie van controlemaatregelen is bijgevolg een continu proces.

Volgende initiatieven zijn voorzien in de loop van 2015 :

– data encryptie op externe media, zal toelaten dat geen informatie kan worden ontvreemd uit verloren toestellen ;

– data encryptie op hard disks van portable toestellen, zal toelaten dat geen informatie kan worden ontvreemd uit verloren toestellen, zelfs niet nadat deze door een specialist zouden zijn ontmanteld ;

– Verder uitbouwen van een corporate informatiebeveiligings policy, helpt het verhogen van een algemeen bewustzijn en verantwoordelijkheidsgevoel.

Andere initiatieve zijn mogelijk volgens de resultaten van de Interne Audit.

Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA)

1) Geen enkele opgemerkt. Het CODA werkt alleen op LAN. De website van het CODA werd al gehackt, maar die bevat geen gevoelige gegevens.

2) tot 5) Niet van toepassing voor het CODA.

6) Het CODA heeft een bescherming via « Check Point Manager » wat het LAN betreft, BARRACUDA als anti-spam, Trends Micro als antivirus die dagelijks een scan van elke pc maakt. Tot nu toe gebruikt het CODA ZABBIX als monitoring systeem.

7) Ja.

Rijksinstituut voor de sociale verzekeringen der zelfstandige (RSVZ)

1) Er zijn ons geen gevallen bekend van aanvallen gericht op de digitale gegevens of database(s) van het RSVZ.

2) Het RSVZ is daar nog niet mee geconfronteerd geweest.

3) Niet van toepassing. Zie antwoord op vraag 2.

4) Niet van toepassing.

5) De maatregelen tegen datalekken kaderen in de algehele veiligheidspolitiek welke toegepast wordt door het RSVZ, in overeenstemming met de veiligheidsnormen van de KSZ. Dit omvat tal van maatregelen zoals het afschermen van gevoelige informatie, logging van het gebruik van gegevens, fysieke bescherming van de servers, sensibiliseren van de gebruikers, enz.

6) Uitgaven voor het uitvoeren van aanpassingen ter verbetering van de beveiliging van de bedrijfsspecifieke toepassingen :

– 2009 : 153 876 euro ;

– 2010 : 28 527 euro ;

– 2011 : nihil ;

– 2012 : 243 562 euro ;

– 2013 : 839 651 euro ;

– 2014 : 388 094 euro.

Uitgaven voor beveiligingsinfrastructuur :

– 2009 : 240 151 euro ;

– 2010 : 6 553 euro ;

– 2011 : 191 624 euro ;

– 2012 : 55 646 euro ;

– 2013 : 27 092 euro ;

– 2014 : 46 392 euro.

Het RSVZ is verbonden is met het internet via het extranet van de sociale zekerheid en heeft bijgevolg geen nood aan eigen software voor security monitoring. Er wordt hiervoor beroep gedaan op de uitgebreide voorzieningen van het extranet van de sociale zekerheid.

7) Onze veiligheidssystemen worden op regelmatige basis geüpgraded. Verder wordt er in het kader van de begroting 2015 nagegaan of er middelen beschikbaar kunnen gemaakt worden voor een vulnerability assesment, alsook voor een algemene veiligheidsaudit.

Federale overheidsdienst (FOD) Economie–DG KMO

Zie het antwoord van de vice-eerste minister en minister van Werk, Economie en Consumenten op de vraag nr. 6-20.

DG Zelfstandigen

Zie het antwoord van de minister van Sociale Zaken en Volksgezondheid op de vraag nr. 6-26.

Programmatische federale overheidsdienst Maatschappelijke Integratie (POD MI)

1) Sinds 2009 heeft de POD Maatschappelijke Integratie niet te maken gehad met geslaagde aanvallen op zijn databases en in het bijzonder de databases met persoonsgegevens.

2) Sinds 2009 heeft de POD Maatschappelijke Integratie niet te maken gehad met een datalek.

3) Aangezien de POD Maatschappelijke Integratie geen slachtoffer is geweest van een bewezen datalek, zijn er geen gerechtelijke stappen ondernomen.

4) De vraag is niet relevant voor de POD Maatschappelijke Integratie.

5) De POD Maatschappelijke Integratie heeft zijn ganse informaticanetwerk naar twee referentiepartners inzake IT geoutsourcet :

– de Shared Services van de Kanselarij voor zijn ganse bureautica – het betreft IT-diensten en -netwerken, gaande van mails tot ruimtes voor het delen van bestanden, en beschermingsdiensten, zoals antivirus, antispam en anti-inbraaksysteem ; en

– Smals voor zijn applicaties en diensten inzake sociale zekerheid, zijn bevoorrecht activiteitsdomein: deze laatste applicaties staan op de portaalsite van de sociale zekerheid en genieten daardoor beschermingsmaatregelen voor de ganse portaalsite, met een sterke identificatie en log van alle transacties.

De POD MI steunt dus voor zijn IT-beveiliging op zijn twee partners, Shared Services en Smals. Zij beheren de twee netwerken waarvan de POD MI gebruik maakt, en verzorgen en versterken voortdurend de IT-beveiliging van zijn systemen en databases door voortdurend verbeteringen aan te brengen.

De POD MI maakt overigens niet op regelmatige basis gebruik van Cloud, behalve van het federale documentatieplatform beConnected, dat door de federale overheidsdienst Informatie- en Communicatie Technologie (FEDICT) en zijn operator Smals wordt beveiligd.

Telewerkers kunnen zich enkel op het interne netwerk van de POD Maatschappelijke Integratie inloggen door middel van VPN-systemen die worden verschaft door de beheerders van zijn platformen : VPN FEDICT (voor de Shared Services) en VPN SMALS voor de toegang tot het extranet van de Sociale Zekerheid, waarbij gebruik wordt gemaakt van een sterke identificatie (elektronische identiteitskaart).

De website ten slotte wordt gehost door een onderaannemer, en geniet de beveiliging die laatstgenoemde heeft geïnstalleerd met de onderaannemer die de website technisch beheert.

Vanuit algemener oogpunt, wat het menselijk toezicht betreft, leeft de POD MI de KSZ-beveiligingsregels voor het beschermen en gebruiken van de persoonsgegevens na, en ziet hij toe op de naleving ervan.

6) De investerings- en onderhoudskosten voor de tools om de beveiliging van de gegevens van de POD MI te waarborgen zijn inbegrepen in de onderhouds- en beheerskosten voor de netwerken waarvoor de POD MI zijn partners Shared Services en Smals betaalt. Er kan dus geen exact cijfer voor de maatregelen inzake de beveiliging van de IT-systemen worden gegeven. De POD MI betaalt enkel de directe kosten voor het gebruik van antivirussoftware : de kosten ervan zijn inbegrepen in de kosten van zijn Microsoftlicenties.

De POD MI is zich bijzonder bewust van het belang hiervan en volgt het probleem van de IT-beveiliging op de voet, in het bijzonder de risico’s op een datalek, gelet op de aard van zijn opdrachten waarbij persoonsgegevens van particulieren worden gebruikt. De POD MI heeft beslist zijn gehoste website te migreren.