|
|
Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
| 23/10/2014 | Verzending vraag (Einde van de antwoordtermijn: 27/11/2014) |
| 27/11/2014 | Antwoord |
Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.
De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.
Ik heb volgende vragen :
1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.
2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :
a) het tijdstip en de duur van het datalek ;
b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;
c) een omschrijving van de gelekte gegevens ;
d) de oorzaak van het datalek ;
e) de getroffen maatregelen ten gevolge van het datalek ;
f) het aantal klachten die desgevallend werden ingediend per datalek ;
g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.
3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?
4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?
5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?
6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.
7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?
Het geachte lid wordt verzocht hierna het antwoord te willen vinden op de door hem gestelde vragen.
Voor wat Defensie betreft :
1. In 2009, 2010 en 2011 waren er geen aanvallen op de digitale gegevens of database(s) van Defensie. In de jaren 2012, 2013 en 2014 was er telkens één incident.
2. Enkel het incident in 2013 had een datalek tot gevolg :
a. Een blogger maakte op 3 januari 2014 om 12u00 via de pers melding van de toegankelijkheid, via Google, van documenten met persoonsgegevens afkomstig van de interne website Human Resources van de algemene directie van Defensie. De website werd offline gehaald om 19u00.
b. Het datalek trof een honderdtal personen.
c. De gelekte gegevens hadden betrekking op een interne telefoonlijst van de personeelsdienst van Defensie en op oude jaarboeken van burgerpersoneel niveau C uit 2005 waarin naam, voornaam, niveau, weddeschaal, taalrol, graad, anciënniteit, promotiedatum en geboortedatum van het personeel vermeld stonden.
d. Het datalek werd veroorzaakt door een vulnerability in de gebruikte web-technologie waarbij de authenticatie voorzieningen van de interne website omzeild konden worden en waardoor de hierboven vermelde documenten toegankelijk werden via de webbrowser Google.
e. De Privacycommissie werd op de hoogte gesteld van het incident. Intern Defensie werd een algemene communicatie verspreid waarin het incident, de onmiddellijke reactie en de toekomstige strengere beveiliging geduid werden. In dezelfde communicatie werd een contactpunt medegedeeld voor het beantwoorden van bijkomende vragen. Alvorens de website opnieuw online te plaatsen werd het authenticatie mechanisme verstrengd en werden penetratietesten uitgevoerd ter validatie.
f. Er werden geen klachten ingediend.
g. Niet van toepassing.
3. Gezien niet bewust getracht werd om informatie van Defensie te bekomen, werden er geen juridische stappen ondernomen.
4. Niet van toepassing.
5. Het is de voortdurende bezorgdheid van Defensie om zijn netwerken, toepassingen en gegevens op een optimale manier te beveiligen conform de « best practices » die in de security-wereld gangbaar zijn. In dit kader investeert Defensie dan ook continu in nieuwe technologieën en de ontwikkeling van de nodige richtlijnen, procedures en processen die de beveiliging van zijn resources ondersteunen.
6. Zoals hierboven toegelicht is het de continue bezorgdheid van Defensie om te investeren in een steeds betere en performantere beveiliging van de netwerken van Defensie. In deze algemene context is het zeer moeilijk om de gevraagde uitsplitsing te maken gezien de investeringen die in dit kader gedaan worden het gehele beveiligingsaspect bevorderen en moeilijk toe te wijzen zijn aan één specifiek domein. Het Nationaal Geografisch Instituut (NGI) heeft bijvoorbeeld een veiligheidsadviseur aangeworven.
7. Defensie streeft er voortdurend naar om de beveiliging van zijn netwerken, toepassingen en data zo up-to-date mogelijk te verzekeren. In dit kader wordt aldus, rekening houdend met de beschikbare budgettaire middelen en de interne prioriteiten, permanent geïnvesteerd in een optimalere beveiliging van deze resources. Bovendien worden nieuwe aanvalstechnieken en beveiligingstechnologieën die op de markt verschijnen door onze IT-specialisten van nabij opgevolgd teneinde tijdig te kunnen anticiperen op nieuwe bedreigingen.
Voor wat Ambtenarenzaken betreft :
1. OFO
Er zijn elke week intrusiepogingen op de infrastructuur. Die pogingen zijn niet specifiek noch uitgebreid van aard. Ze worden zonder moeite geblokkeerd door onze firewall. De loggegevens van onze firewall die de pogingen vermelden, worden per mail naar onze system administrator gestuurd. Die loggegevens worden slechts voor korte tijd bewaard.
P&O 51
Automatische systemen blokkeren de aanvallen en tot nu toe is er nog geen onderbreking geweest in de werking of geen verlies van gegevens vastgesteld.
SELOR ondervindt wekelijks intrusiepogingen op de IT-infrastructuur.
Deze pogingen zijn nog nooit specifiek, noch uitgebreid van aard geweest.
Deze pogingen worden door het intrusion detection and prevention systems (IDPS) gedetecteerd en gelogd.
De firewall blokkeert deze aanvallen.
2. OFO
Bij het OFO werd er nooit een datalek vastgesteld.
P&O 51
Er werd geen enkel verlies van gegevens (server en / of applicatie) vastgesteld tijdens die periode.
Bij SELOR is er nooit een datalek via intrusie gedetecteerd.
3. OFO
Niet van toepassing (zie vraag 2).
P&O 51
Niet van toepassing.
SELOR
Nooit
4. OFO
Niet van toepassing (zie vraag 2).
P&O 51
Niet van toepassing.
SELOR
Geen enkele.
5. OFO
Het OFO ziet erop toe dat het over een aangepaste infrastructuur en geüpdatete hard- en softwareoplossingen beschikt en goede praktijken toepast.
P&O 51
Het schema van de infrastructuur toont dubbele firewalls, die in verschillende modellen (Operating System) functioneren.
Naast die beveiligingselementen is de infrastructuur uitgerust met een antivirus (op de firewalls, servers en werkstations), webfilter en scanner voor toepassingshandtekeningen.
Om te trachten de beveiliging van de gegevens te verbeteren, worden de medewerkers gesensibiliseerd. Ze worden geïnformeerd over de risico’s en gevraagd om zo voorzichtig mogelijk te zijn bij het overzetten van gegevens en/of het inloggen op het netwerk.
Bovendien wordt er permanent geïnvesteerd in de beveiliging, zodat de gegevens optimaal beschermd zijn.
SELOR
Vandaag zijn volgende maatregelen van toepassing bij SELOR om intrusie te vermijden :
a. intensieve implementatie van VLAN’s op de firewalls zorgt voor de afscherming van onze virtuele netwerken en omgevingen ;
b. het complete netwerk wordt gemonitord met het oog op verdachte netwerk traffic via protocol activiteit analyse door ons network-based intrusion prevention system NIPS ;
c. servers en persoonlijke devices zijn uitgerust met een antivirus en malware protection toepassing ;
d. voor het in productie brengen van nieuwe toepassingen of aanpassingen op bestaande toepassingen wordt telkens een security assessment uitgevoerd.
6. OFO
In afwezigheid van onze enige system administrator kunnen we die vraag maar gedeeltelijk beantwoorden :
|
|
Aankoop |
Onderhoud |
|
Firewall |
|
|
|
Reverse Proxy |
|
|
|
Antivirus |
|
2 500 euro / jaar |
P&O 51
Het toegekende budget ziet er als volgt uit :
2009 :
Firewall + VPN : 35 777,12 euro.
Antivirus : 3 634,60 euro.
Audit : 11 797,50 euro.
2010 :
Firewall + VPN : 41 502.39 euro.
Antivirus : 3 634,60 euro.
Audit : 4 840,00 euro.
2011 :
Firewall + VPN : 19 822.82 euro.
Antivirus : 10 198,73 euro.
Audit : 20 799,90 euro.
2012 :
Firewall + VPN : 7 691,55 euro.
Audit : 1 331,00 euro.
2013 :
Firewall + VPN : 32 479,59 euro.
2014 :
Firewall + VPN : 19 022.48 euro.
Antivirus : 6 146,80 euro.
SELOR :
De rechtstreekse, jaarlijkse hardware kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken zijn :
|
|
Aankoop |
Onderhoud |
|
Firewalls |
16 000 |
12 000 |
|
10 % kost loadbalancer |
2 000 |
1 200 |
|
VPN (via FEDICT) |
0 |
0 |
|
Antivirus & malware toepassing |
4 200 |
0 |
De rechtstreekse operationele personeelskost om dit systeem te monitoren en up-to-date te houden wordt geschat op een kwart voltijds equivalent.
De onrechtstreekse kost of de meerkost dat iedere IT-infrastructuur change eist door de complexiteitsverhoging dat bovenstaande met zich meebrengt, kan oplopen van 10 % tot 30 % van het te implementeren project.
De geschatte kost hiervan is veel moeilijker exact te bepalen, maar loopt bij SELOR de laatste vijf jaar op tot ongeveer 100 000 euro per jaar.
7. OFO en P&O 51
Men overweegt momenteel geen andere preventiemaatregel.
SELOR
In 2015 start SELOR met het implementeren van een nieuwe netwerkstructuur om de complexiteit van het netwerk fel te verminderen en tegelijkertijd de risico’s van beveiligingsinbreuken, cyberaanvallen of datalekken nog verder te optimaliseren.
Dit project wordt in samenwerking met FEDICT uitgevoerd. Zo geniet SELOR van de FEDICT expertise en hopen we bovendien naar een kostenoptimale oplossing te blijven evolueren.