SÉNAT Question écrite n° 6-26 - SENAAT Schriftelijke vraag nr. 6-26

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2014-2015

Zitting 2014-2015

________

23 octobre 2014

23 oktober 2014

________

Question écrite n° 6-26

Schriftelijke vraag nr. 6-26

de Lode Vereeck (Open Vld)

van Lode Vereeck (Open Vld)

à la ministre des Affaires sociales et de la Santé publique

aan de minister van Sociale Zaken en Volksgezondheid

________

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

________

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

________

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
4/2/2015	Rappel
11/2/2015	Antwoord

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
4/2/2015	Rappel
11/2/2015	Antwoord

________

Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36

________

Question n° 6-26 du 23 octobre 2014 : (Question posée en néerlandais)

Vraag nr. 6-26 d.d. 23 oktober 2014 : (Vraag gesteld in het Nederlands)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Réponse reçue le 11 février 2015 :

Antwoord ontvangen op 11 februari 2015 :

L'honorable membre trouvera ci-après la réponse à sa question.

En ce qui concerne le SPF Santé publique, Sécurité de la chaine alimentaire et Environnement.

Les incidents rapportés ici sont uniquement des incidents ayant comme conséquence directe une perte de confidentialité de données sensibles. Les incidents qui n’ont pas été rapportés au conseiller en sécurité ne sont pas connus.

Tous ces incidents ont résulté soit en une mise à disposition des données à des tiers non autorisés soit à une utilisation de ces données pour des finalités non compatibles avec le traitement dont elles ont été extraites. Le concept de fuite de donnés est donc interprété de façon large.

Très peu de ces incidents ont été « externalisés », c’est-à-dire connus du public ou menant à des actions en justice.

Q1 : Description des incidents enregistrés

N°	où	quand	quoi
1	SPF SP	02/2009	Des données de contact sont extraites de banques de données opérationnelles pour opérer un mailing de promotion à un concours auquel participe un membre du personnel du SPF.
2	SPF SP	11/2011	Installation illicite (différents PC portables non suffisamment sécurisés) de données médicales par un agent du SPF.
3	SPF SP	01/2013	Une liste de données de tous les agents du SPF est trouvée sur un site de partage de documents, la liste est référencé et accessible par Google.
4	SPF SP	04/2014	Une liste d’agents du SPF est communiquée à des personnes qui ne sont pas chargées de la gestion des RH.
5	SPF SP	07/2014	Un PC volé, contenant une banque de données reprenant des données personnelles professionnelles et privées de partenaires du SPF.

Remarque : Un incident de sécurité consistant en un vol de données rendu possible par un vol d’identité est pour l’instant en procédure judiciaire et couvert par le secret de l’instruction.

Q2 :

a) Moment et durée :

Tous les incidents, à l’exception du 3, sont ponctuels et n’impliquent pas de mise à disposition ou de possibilité d’accès pour une longue période de temps. Concernant l’incident 3, il est impossible de déterminer la durée d’exposition de ces données, elles ont été retirées du site dès que l’incident a été déclaré.

b) Nombre de personnes concernées : voir tableau.

c) Quelles données : voir tableau.

d) Raison : voir tableau.

N°	nombre	quoi	raison
1	5 000	Adresse mail.	Promotion / publicité pour la participation d’un membre du SPF à un concours.
2	+ 10 000	Données médicales (traitements et médications).	Assouplir la gestion et l’accès aux données utilisées par le service.
3	1 500	Identité, identifiants, fonctions et rôles, coordonnées.	Mise à disposition de la liste pour un sous-traitant, le fichier a été oublié (pas d’effacement après le transfert).
4	80	Identité et coordonnées privées, fonctions et rôles.	Communication aux entités fédérées des identités et contacts des personnes en mutation par régionalisation. Les mails ont été envoyés à une liste de distribution contenant des personnes non habilitées.
5	1 600	Identité et identifiant, employeurs, données privées dont le compte bancaire, domaines d’expertise et publications.	Les circonstances indiquent que seul le PC était la cible du vol. les données ne semblent pas avoir été exploitées.

e) Mesures prises en réaction :

– les incidents qui sont d’origine humaine interne ont mené à un avis du conseiller en sécurité ;

– systématiquement les bonnes pratiques sont rappelées aux personnes impliquées dans l’incident ;

– les copies des données sont supprimées, et les supports sont détruits ;

– dans un cas, le détenteur du moteur de recherche a été sommé d’effacer le référencement et les copies en cache ;

– les fuites graves sont signalées aux personnes intéressées en leur donnant des conseils pour éviter une aggravation de la situation ;

– des mesures organisationnelles sont évaluées et prises pour éviter que ce type d’incident survienne de nouveau.

f).Aucune plainte formelle, ni chez le conseiller en sécurité, ni à la CPVP, ni à la justice.

g).Aucune action en justice.

Q3 : Plaintes et procédures judiciaires :

Aucune plainte en justice.

Q4 : Nombre de fuites de données déclarées à la CPVP :

Cette question ne concerne pas le SPF.

Q5 : Mesures prises :

Mesures techniques :

– sécurisation du réseau (firewall, web-content filtering, …) ;

– sécurisation des systèmes (anti-virus, anti-spam, politiques techniques des stations de travail, …) ;

– sécurisation des accès (LDAP centralisé, gestion des rôles, …) ;

– inventaire des systèmes informatiques ;

– installations automatiques et centralisation des bug fixes ;

– sécurisation et surveillance des locaux sensibles ;

– système de publication des textes et informations concernant la gestion de la sécurité de l’information (pages intranet).

Mesures méthodologiques :

– gestion des changements ;

– gestion des versions de softwares ;

– gestion des incidents et servicedesk ICT.

Mesures organisationnelles :

– analyse du risque et audits internes ;

– procédure d’accueil des visiteurs ;

– démantèlement sécurisé du matériel et des supports d’information périmés ;

– charte de l’utilisateur ;

– plusieurs polices de sécurité ;

– comité de pilotage pour la gestion de la sécurité de l’information (organe d’avis du comité de direction).

Q6 : Coûts

Il n’y a pas de budget dédicacé à la sécurité de l’information, les coûts des mesures de sécurité sont reportés sur les budgets fonctionnels des donneurs d’ordre. il est dès lors quasi-impossible de fixer les montant de ces interventions. Nous pouvons estimer que le coût global de la sécurité du SPF est de l’ordre de 50 000 euros par an, tous sites et services confondus.

Q7 : Mesures supplémentaires envisageables :

– actions de sensibilisation de la haute hiérarchie ;

– mise en place de procédures de concertation technique / business / sécurité lors du développement de projets ;

– programmes de formation interne pour l’ensemble du personnel ;

– une équipe de gestion de la sécurité un peu plus étoffée ;

– mise en place d’un business continuity management comprenant un DRP ;

– acquisition d’un système IDS / IPS et révision de la stratégie de sécurité informatique ;

– mise en place d’un network access control ;

– mise en place d’un système de surveillance des flux de données externes ;

Mesures déjà prévues, en cours de réalisation :

– séminaire de sensibilisation pour les chefs de services ;

– campagne de sensibilisation pour l’ensemble du personnel ;

– procédure de gestion des incidents de sécurité et outil dédicacé d’enregistrement et de suivi des incidents ;

– nouvelles polices de sécurité concernant l’usage des moyens de communication.

En ce qui concerne le SPF Sécurité sociale :

1) De 2009 à ce jour, aucune attaque ciblant les bases de données du SPF n’a été constatée. Des attaques ont toutefois été constatées sur les sites Internet du SPF qui sont hébergés par Smals. Le nombre de ces attaques se limite à quelques-unes par an. Ces attaques n’ont pas réussi et n’ont pas occasionné de dommages.

2) À ce jour, le SPF Sécurité sociale n’ a été confronté à aucune fuite de données.

3) Pas d’application.

4) Pas d’application.

5) En ce qui concerne les attaques de l’extérieur, le SPF Sécurité sociale a toujours été proactif au sujet de la protection de son infrastructure IT. Ces dernières années, les mesures suivantes ont été prises pour améliorer la protection :

– la toute dernière version du pare-feu central a été installée ;

– le serveur e-mail a fait l’objet d’une migration vers Exchange 2010. Exchange 2010 comprend un mécanisme de régulation qui offre la protection contre les attaques DoS (denial of service). Le serveur e-mail a été en outre pourvu d’un logiciel antivirus supplémentaire ;

– un système a été mis au point pour que les dernières mises à jour (de protection) soient toujours installées automatiquement sur le parc d’ordinateurs ;

– en plus d’un logiciel antivirus, tous les PC sont équipés d’une pare-feu.

Pour ses connexions TCP/IP externes à la sécurité sociale, le SPF utilise l’Extranet de la Sécurité sociale. Ce implique, entre autres, que l’infrastructure du SPF n’est pas directement exposée à d’éventuelles cyberattaques.

Toutefois, concernant des fuites de données depuis l’intérieur, les utilisateurs sont sensibilisés à une manipulation prudente des données sensibles et confidentielles.

6) Coûts de maintenance du pare-feu : 13 370 euros par an.

Coûts de maintenance du logiciel antivirus : 15 030 euros par an.

Coûts de maintenance de la protection VPN pour le télétravail : 12 279 euros par an.

Coûts de maintenance de la protection de l’accès à Internet : 30 525 euros par an.

Coûts de maintenance de la protection du système de messagerie électronique : 6 912 euros par an.

Concernant le contrôle de la sécurité, le SPF utilise les outils standard qui sont contenus dans les logiciels de sécurité mêmes. Il n’investit pas dans des logiciels de contrôle de sécurité supplémentaires. Cette année cependant, durant quelques semaines, un « Checkpoint Next Generation SmartEvent Software Blade » a été installé pour l’exécution d’un « CheckPoint 3D Audit ». Ceci n’a pas permis de déceler des problèmes au niveau de la sécurité.

7) La protection d’une infrastructure IT est un processus continu qui implique la nécessité d’une évaluation permanente des mesures existantes et de l’examen de l’opportunité de nouvelles mesures complémentaires.

En ce qui concerne les institutions publiques de sécurité sociale placées sous ma tutelle :

Office de contrôle des mutualités et des unions nationales de mutualités (OCM)

1.) Pendant le période de 2009 jusqu’à ce jour il n’y pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’OCM.

2.) L'Office de contrôle n'a jamais connu de fuite de données.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) Les mesures suivantes sont actuellement prises : firewall (hardware et software), traffic control, traffic filtering, detection de tentative d'intrusion, blocage Web, blocage Spam, contôle d'application, anti-virus, anti-spyware, anti DoS, contrôle des paquets IP fragmentés ou malformés, protection contre les menaces combinées, blocage de sources statistiques et dynamiques (black lists, …).

6.) En 2009, 2010 et 2011, aucun montant n'a été investi dans la protection cybercriminelle de l'Office de contrôle. Les montants investis dans la protection cybercriminelle de l'Office de contrôle en 2012, 2013 et 2014 sont les suivants : 1 064,06 euros en 2012, 5 118,66 euro en 2013 et 750,50 euros en 2014. Ces investissements concernaient l'ensemble des mesures reprises au point 5 ci-avant.

7.) Non. Les mesures déjà prises sont suffisantes.

Office de sécurité sociale d’outre-mer (OSSOM)

1.) Pendant le période de 2009 jusqu’à ce jour il n’y a pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’OSSOM.

2.) Pendant la période de 2009 jusqu’à ce jour, il n’y a pas eu de fuites de données à l'OSSOM.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) L’OSSOM fait partie de l’Extranet de la Sécurité sociale. L’Extranet prend des mesures afin de prévenir les fuites de données.

L’OSSOM a également pris des mesures afin de prévenir des fuites de données : l’utilisation de la version la plus récente du logiciel anti-virus, l’utilisation des versions les plus récentes des logiciels système et d’applications.

6.) Pendant le période de 2009 jusqu’à ce jour un montant de 59 500 euros a été prévu annuellement en vue de prévenir les fuites de données, les violations et les cyber-attaques dont :

– 3 500 euros pour des logiciels anti-virus ;

– 56 000 euro pour des logiciels système et d’applications.

7.) Des mesures supplémentaires ne sont pas nécessaires dans le cas de l'OSSOM parce que les mesures de sécurité existantes pour prévenir les fuites de données sont efficaces. Si des mesures supplémentaires étaient nécessaires il y a lieu de tenir compte des contraintes budgétaires.

Agence fédérale pour les allocations familiales (FAMIFED)

Parce-que l'Extranet de la Sécurité sociale est géré par la Banque-carrefour de la Sécurité sociale, FAMIFED reprend globalement la réponse fournie par la BCSS, mais avec les spécificités propres à FAMIFED.

1.) La Banque-carrefour de la Sécurité sociale a, ces dernières années, certes, été la victime de cyberattaques, dans un nombre très limité de cas. Cependant, les attaques ont toujours été contrées rapidement et efficacement et n'ont jamais eu de grave impact pour le fonctionnement du réseau de la Sécurité sociale.

2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Par conséquent, aucune action juridique à cet égard n'a été entreprise.

4.) Pas d’application.

5.) La Banque-carrefour de la sSécurité sociale prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la Sécurité sociale qu’elle gère.

Il y a lieu de faire une distinction entre le LAN de FAMIFED (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la Sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services: « architecture SOA »).

Pour la protection du réseau local et des systèmes informatiques, FAMIFED a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises.

La Banque-carrefour de la Sécurité sociale gère un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) est l’Extranet de la Sécurité sociale.

Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'Internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la Sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la Sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.

L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la Sécurité sociale et le backbone, d'une part, et entre le backbone et l'Internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malveillants.

L'Extranet de la Sécurité sociale est équipé d'un système IDS / IPS (Intrusion Detection / Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et de corriger les incidents de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.

L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque-carrefour de la Sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires, dont FAMIFED. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la Sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le comité sectoriel de la Sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la Sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la Sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.

L’approche commune du secteur de la Sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la Sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.

Bien qu'il ne soit pas possible d'exclure complètement les attaques, la Banque-carrefour de la Sécurité sociale a mis en place un certain nombre de mesures en respectant les « best practices » en la matière afin de minimiser les risques évalués et de maximiser la protection (voir supra). La Banque-carrefour de la Sécurité sociale réévalue régulièrement les risques et mesures afin de garantir un haut niveau de protection.

6.) Les frais annuels pour la prévention des violations de la sécurité sont intégrés aux frais de projets et d’exploitation des systèmes du réseau de la Sécurité sociale et ne peuvent pas être individualisés. En ce qui concerne plus particulièrement les fuites d’informations, des mesures ont été prises pour que les logiciels soient développés de telle manière que les risques au niveau applicatif (comme une SQL injection) soient limités autant que possible. Les efforts consentis sur ce plan sont entièrement intégrés dans les coûts de l’écriture de logiciels.

7.) Vu ce qui précède, des mesures supplémentaires ne paraissent pas nécessaires.

Fonds des accidents du travail (FAT)

1.) Le FAT n’a pas connaissance d’attaques dirigées vers ses données numériques ou ses bases de données numériques.

2.) Période de 2009 à aujourd’hui : aucune donnée n’a été perdue ou volée.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) Les dispositions réglementaires régissant le fonctionnement de la Banque-carrefour de la Sécurité sociale et sa sécurité de l’information, en particulier.

6.) Aucun budget propre aux intrusions spécifiées n’est prévu.

7.) Vu la réponse au point 2 de la question, des mesures supplémentaires ne paraissent pas nécessaires.

Fonds des maladies professionnelles (FMP)

1.) Aucune trace d'attaque externe ciblée contre nous n'a jamais été observée ni portée à notre connaissance.

2. et 3.) Une malversation interne a pu être détecté et prouvée, notamment sur base des traces conservées. Il ne s’agissait pas à proprement parler d’une attaque informatique mais bien d’un usage abusif et inapproprié de droits. Outre les poursuite pénales et administratives envers l’auteur des faits, une révision interne des droits en a suivi pour limiter ce type d’abus; une attention toute particulière est désormais de mise au niveau de la gestion des accès aux données et aux applications. Jusqu’à ce jour, nous n’avons pas décelé d’attaque externe réussie. Nous disposons de traces et chiffres statistiques au niveau des systèmes de protection du réseau (firewall, proxy – dont Sandbox –, antivirus).

4.) Pas d’application.

5.) Le réseau local du FMP est protégé par un firewall et un proxy ; il n’est connecté au monde extérieur qu’à travers l’Extranet de la Sécurité sociale. L'accès à l’Internet est géré sur base d’un proxy permettant l’application de politiques coordonnées en la matière; les accès à caractère inacceptable ou présentant des risques avérés et connus sont interdits, ceux à caractère professionnel sont ouverts, les autres sont acceptés conditionnellement. Actuellement, seules des connexions issues de l’extérieur sont autorisées via la solution VPN proposée par l’Extranet de la Sécurité sociale ; une politique de sécurité commune analyse les risques présentés par les moyens mobiles et propose les attitudes à tenir. Derrière les protections offertes par l’Extranet, les dispositifs en place au FMP sont efficaces et sont tenus à jour. Nous veillons à ce que chaque PC de notre environnement bénéficie d’une protection adéquate. Chaque participant au réseau, dont le FMP, est tenu de mettre en œuvre des mesures en accord avec les normes minimales de sécurité et notamment de protéger son réseau, de détecter et d’informer les autres acteurs des anomalies qu’il constaterait. Si une attaque devait survenir, elle sera contenue autant que possible à l'aide des moyens préventifs mis en place. Le service chargé de la sécurité au FMP, à la BCSS et à la Smals, seront informés et sollicités pour fournir collaboration et conseils.

6.) Coûts :certains chiffres portant sur des contrats pluriannuels ont été répartis de manière à présenter une vision annuelle des coûts. Les montants en euro présentés sont limités à ceux correspondant aux mesures relatives à la question et ne prennent pas en compte les frais liés au personnel.

Mesures	2009	2010	2011	2012	2013
Logiciels d'audit et traçage DB	1 125	1 125	1 125	1 125	0
Logiciels de contrôle des accès logiques	11 800	12 500	13 000	13 000	13 550
Pare-feu	1 699	1 699	1 978	1 978	11 736
Proxy	6 868	6 868	6 868	6 868	15 111
Antivirus	3 402	3 402	3 402	3 402	3 610
Total	24 894	25 594	26 373	25 248	44 007

7.) Les mesures spécifiques en place sont actuellement suffisantes, elles doivent toutefois être tenues à un niveau adéquat et le cas échéant évoluer en fonction des risques, des nouveaux besoins et des progrès technologiques. Les polices de sécurité élaborées au sein du réseau de la Sécurité sociale constituent une référence privilégiée pour notre stratégie en matière de sécurité IT.

Caisse de secours et de prévoyance en faveur des marins (CSPM)

1) La Caisse de secours et de prévoyance en faveur des marins (CSPM) n’a pas connaissance d’attaques dirigées vers ses données numériques ou ses bases de données numériques.

2) La CSPM n’a pas été confrontée avec des fuites de données.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4) La CSPM n’a pas connaissance de notifications de fuites de données au moyen du formulaire en ligne disponible sur le site Internet de la Commission de la protection de la vie privée.

5) La CSPM est tenue de respecter les dispositions de sécurité imposées par le Comité sectoriel de la Sécurité sociale. Dans le cadre du respect de ces dispositions, la CSPM est assistée par un conseiller en sécurité de Smals. Le respect des dispositions est contrôlé annuellement par le Comité sectoriel de la Sécurité sociale.

	2009	2010	2011	2012	2013
Pare-feu	1 263,70 euros	1 263,70 euros	1 263,69 euros	2 194,45 euros	1 263,69 euros
Conseiller en sécurité de SMALS	1 404,00 euros	1 645,05 euros	1 106,38 euros	352,03 euros	2 239,98 euros
Consultant ICT externe	1 258,40 euros	1 258,40 euros	1 258,40 euros	1 258,40 euros	1 258,40 euros
Total	3 926,10 euros	4 167,15 euros	3 628,47 euros	3 804,88 euros	4 762,07 euros

7) La CSPM est une toute petite IPSS compétente pour la sécurité sociale des marins. Vu le risque limité auquel elle est exposée, la CSPM estime que le respect des dispositions de sécurité imposées par le Comité sectoriel de la Sécurité sociale offre un niveau de sécurité suffisant.

Caisse auxiliaire d'assurance maladie-invalidité (CAAMI)

1.) La CAAMI n'a pas constaté d'attaques directes spécifiquement dirigée au niveau de l’institution mais il y a bien eu des tentatives d’attaques plus générales.

Au niveau de l’Extranet la Caisse auxiliaire a une première ligne de défense au niveau de la Société de mécanographie pour l’application des lois sociales qui gère l’Intranet.

Étant donné l'augmentation de la complexité et de la sophistication des attaques à l'heure actuelle, des mesures supplémentaires au niveau des mesures de sécurité seraient effectivement utiles. Il se peut en effet que certaines attaques passent inaperçues. Cependant, la Caisse ne dispose pas actuellement des ressources nécessaires pour réaliser cela.

Nombre de tentatives recensées :

– années antérieures : non recensé ;

– 2013 : 600 ;

– 2014 : 820.

2.) La problématique des fuites de données est une problématique complexe qui nécessite des outils spécifiques et coûteux. La Caisse ne dispose pas actuellement des outils nécessaires à cet effet. Cependant, aucune fuite n’a été constatée ni signalée.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) La CAAMI fait partie de l’Extranet de la Sécurité sociale géré par la Banque-carrefour, qui s’occupe des mesures de prévention contre la fuite des données. Compte tenu de la réponse au point 2 de la question, la Caisse auxiliaire n’a elle-même pas encore pris de mesures supplémentaires.

6.) Le coût annuel pour l’Extranet de SMALS est de 6 000 euros par an.

Pour le coût en personnel, étant donné la petite taille de l’institution et la liaison via l’Extranet de SMALS, un suivi limité est assuré par son conseiller en sécurité informatique à raison de 10,00 % (0,1 EFT) via les outils pare-feu soit :

– antivirus (clamav) / antispam (spamassasin) au niveau de la réception des emails ;

– antivirus symantec au niveau des serveurs et workstations.

7.) Des mesures supplémentaires sont opportunes, mais il faut y associer les ressources (conséquentes) nécessaires. Il faut investir dans des logiciels dédiés, ainsi que dans la formation des personnes qui seront amenées à configurer, adapter et analyser les données de reporting associées. Cela implique aussi des mesures plus contraignantes et des adaptations éventuelles dans l’utilisation du matériel et des logiciels par les utilisateurs de la CAAMI.

Banque-carrefour de la Sécurité sociale et Plate-forme e-Health

2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Par conséquent, aucune action juridique à cet égard n'a été entreprise.

4.) Pas d’application.

5.) La Banque-carrefour de la Sécurité sociale prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la Sécurité sociale qu’elle gère.

Il y a lieu de faire une distinction entre le LAN de la Banque-carrefour de la Sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la Sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services : « architecture SOA »).

Pour la protection du réseau local et des systèmes informatiques, la Banque Carrefour de la sécurité sociale a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises.

La Banque-carrefour de la sécurité sociale gère donc un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) est l’Extranet de la sécurité sociale.

Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.

L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la sécurité sociale et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est ici qu'a lieu la gestion centrale des logiciels anti-malveillants.

L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et de corriger les incidents de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.

L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque Carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque Carrefour de la sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque Carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.

L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque Carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.

Bien qu'il ne soit pas possible d'exclure complètement les attaques, la Banque Carrefour de la sécurité sociale a mis en place un certain nombre de mesures en respectant les “best practices” en la matière afin de minimiser les risques évalués et de maximiser la protection (voir supra). La Banque Carrefour de la sécurité sociale réévalue régulièrement les risques et mesures afin de garantir un haut niveau de protection.

6.) Les frais annuels pour la prévention des violations de la sécurité sont intégrés aux frais de projets et d’exploitation des systèmes du réseau de la sécurité sociale et ne peuvent pas être individualisés. En ce qui concerne plus particulièrement les fuites d’informations, des mesures ont été prises pour que les logiciels soient développés de telle manière que les risques au niveau applicatif (comme une SQL injection) soient limités autant que possible. Les efforts consentis sur ce plan sont entièrement intégrés dans les coûts de l’écriture de logiciels.

7.) Vu ce qui précède, des mesures supplémentaires ne paraissent pas nécessaires.

Institut national d’assurance maladie-invalidité (INAMI)

1.) Pendant le période de 2009 jusqu’à ce jour il n’y pas eu d’attaques dirigées vers les serveurs numériques ou vers la banque de données de l’INAMI.

2) L’Institut national n’a pas été confrontée avec des fuites de données

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) A l'INAMI un projet d’amélioration continue de la sécurité de l'information est en court, basé sur la norme ISO 27001. La politique de sécurité de l'information est principalement basée sur un processus continu de gestion des risques qui conduit à des actions correctives, y compris de sécurité spécifique aux processus et systèmes, mais aussi à la sensibilisation des employés par groupes cibles spécifiques.

L’INAMI a construit sa sécurité sur tous les composants de son réseau. Tout d'abord, le réseau de l'INAMI est intégré dans l'extranet de la sécurité sociale, géré par la BCSS-Smals. L'extranet utilise un modèle de sécurité multicouche et protège les réseaux des IPSS par des pare-feu, des IPS (Intrusion Prevention System), DMZ, serveurs proxy, anti-malware, etc.

D’autre part, le réseau de l'INAMI est protégé d'une manière équivalente à celle de l'extranet par un modèle de sécurité multicouche (avec 2 niveaux de pare-feu, IPS, DMZ, serveurs proxy, anti-malware, etc.)

Les cyber-attaques sont détectées à 2 niveaux. Un Système de prévention des intrusions (IPS) est installé sur l’extranet et géré par Smals et les alertes concernant l’INAMI sont renvoyées à l’INAMI pour analyse. Nos propres systèmes IPS détectent également les alertes et bloquent dans un certain nombre de cas la communication.

Afin de répondre à des besoins de sécurité encore plus élevée l’INAMI implémente une nouvelle architecture réseau et ce, afin de se préparer aux nouvelles technologies et aux tendances comme BYOD et le Cloud. Ce modèle de sécurité est un modèle de «trusted zone» (zone de confiance) dans lequel toutes les communications entre les serveurs se font de point-à-point et protégées par un pare-feu. De plus, tous les serveurs "hardenés" (suppression des fonctionnalités qui ne sont pas nécessaires mais qui pourraient être utilisées par des pirates informatiques ou des logiciels malveillants).

La politique de sécurité ne repose pas seulement sur les investissements mais aussi sur des processus continus : l’analyse des risques, sensibilisation, communication, formation, audits. Ceci se traduit pas un certain nombre de FTE (Personnes à équivalent temps plein).

6.) L’Institut national peut difficilement établir un montant exact des investissements parce que les mesures de prévention contre les failles de sécurité, cyberattaques ou fuites des données ne se résument pas seulement en une installation des plates-formes et systèmes spécifiques. Il s’agit d’une approche globale qui couvre plus que les menaces venant de l’extérieur, mais fournit également une protection contre les virus, les menaces internes, etc.

Ainsi, le coût du projet SafeInfo (la certification ISO27001) est d’environ 1.200.000 €, étalé sur les années 2011-2012-2013, mais la portée de ceci est évidement plus large que la question parlementaire.

Une autre indication est la part du budget que l’INAMI consacre annuellement à son infrastructure informatique, soit 600.000 €.

Il n’y a pas eu d’investissement dans un logiciel spécifique pour le suivi de la sécurité mais les investissements ont bien été faits dans du matériel tel que des pare-feu hardware contenant des fonctionnalités d’IPS et des pare-feu software sur les (machines) hôtes avec des fonctionnalités d’IPS.

7.) Il y a d’autres mesures qui garantiraient un meilleur niveau de sécurité, comme par exemple un “Système de prévention des fuites de données” mais le présent contexte budgétaire ne rend pas cet investissement possible.

-Office national de sécurité sociale

1.) Les systèmes de l’Office national de sécurité sociale sont intégrés dans le réseau de la sécurité sociale tel que développé par la Banque-carrefour de la sécurité sociale. Les règles et normes de sécurité édictées pour ce réseau s’appliquent donc également à l’Office national de sécurité sociale. Ce réseau a, ces dernières années, certes, été la victime de cyberattaques, dans un nombre très limité de cas. Cependant, les attaques ont toujours été contrées rapidement et efficacement de sorte qu’il n’y a jamais eu de grave impact pour le fonctionnement du réseau de la sécurité sociale.

2. et 3.) Dans la mesure connue, les attaques précitées n'ont jamais donné lieu à des abus ou des fuites de données. Aucune action juridique n’a par conséquent été entreprise à ce propos.

4.) Pas d’application.

5.) La Banque Carrefour prend depuis très longtemps déjà les mesures utiles, en vue de se protéger soi-même ainsi que le réseau de la sécurité sociale qu’elle gère.

Il y a lieu de faire une distinction entre le réseau interne de l’Office national de sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques comme les serveurs de messagerie, de fichiers et d’impression) et les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la sécurité sociale (l’échange de données à caractère personnel intervient au moyen d’une architecture orientée services: “architecture SOA”).

Le réseau local et les systèmes informatiques sont sécurisés grâce à des solutions fournies par des entreprises spécialisées jouissant d’une excellente réputation. Ces entreprises assurent également la maintenance des solutions qu’elles offrent.

Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies, l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web ou mail quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès à des réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé au moyen d’une gestion granulaire des utilisateurs et des accès.

L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est chapeauté par un système de gestion et de contrôle censé détecter et corriger les incidents en matière de sécurité. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.

L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque-carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes minimales de sécurité doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la sécurité sociale. Le contrôle du respect des normes minimales de sécurité – par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée – est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales de sécurité, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales de sécurité sont adaptées en fonction des évolutions constatées.

L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS), de façon générale basé sur la série de normes internationales ISO 2700X.

Bien qu’il ne soit pas possible d’exclure complètement les attaques, la Banque-carrefour a pris une série de mesures ciblées garantissant une protection maximale (voir supra). Elle estime qu’elle est correctement protégée.

6.) Les coûts annuels liés à la prévention des infractions à la sécurité autres que ceux déclarés par la Banque Carrefour de la sécurité sociale ont été intégrés dans les dépenses de projet et d’exploitation des systèmes de l’Office national de sécurité sociale et ne peuvent pas être individualisés. Dans le cas spécifique des fuites de données, par exemple, des démarches ont été entreprises afin de développer les logiciels de manière à limiter autant que possible les risques au niveau de l’application (comme le risque d’une injection dite SQL). Les efforts dans ce domaine ont été entièrement intégrés dans les frais de conception logicielle.

7.) Eu égard à ce qui précède, il ne nous semble pas nécessaire de prendre des mesures complémentaires.

-Office national de sécurité sociale des administrations provinciales et locales

Avant propos :

L’ONSSAPL ne permet pas l’accès aux données à caractère privé en dehors de son réseau interne. Des mesures de protection sont établies, afin qu’aucun accès externe non-autorisé ne soit possible.

1.) Aucune trace d'attaque externe ciblée contre l’ONSSAPL n'a jamais été observée ni portée à la connaissance de l’Office national.

2.) Un système de traçage au niveau des accès aux données et des applications existe et est contrôlé. Jusqu’à présent, l’Office national n’a pas pu observer un usage abusif de ses données. L’ONSSAPL n’a jusqu’à ce jour, pas décelé d’attaque externe réussie.

3.) Sans objet eu égard à la réponse au point 2 de la question.

4.) Pas d’application.

5.) Le réseau local de l’ONSSAPL est protégé par des firewalls et un proxy. Il n’est accessible au monde extérieur qu’à travers l’Extranet de la Sécurité Sociale. L'accès à l’Internet est géré sur base d’un proxy. Des politiques spécifiques à l’accès à Internet sont établies, qui interdisent d’accéder à des sites ou données prohibés ou présentant des risques sérieux pour la sécurité de notre infrastructure informatique. Les accès aux applications professionnelles sont établies selon les normes minimales de sécurité de la Banque-carrefour de la sécurité sociale. D’autres accès utiles à des sites plus généraux sont acceptés selon décision de la hiérarchie.

Les connexions issues de l’extérieur sont obligatoirement établies au travers d’une connexion sécurisée VPN gérée par l’Extranet de la Sécurité Sociale, elle respecte la police de sécurité informatique établie par le sous-groupe de travail de sécurité informatique de la Sécurité Sociale, portant sur les moyens mobiles. De son côté, l’ONSSAPL gère au quotidien ses propres outils de protection informatique. Chaque accès individuel au réseau est ainsi protégé. L’ONSSAPL met à disposition des autres Institutions de la Sécurité Sociale des données sociales, au travers de l’Extranet. L’ONSSAPL établit une politique de sécurité qui respecte les normes minimales de sécurité de la Banque-carrefour de la sécurité sociale, afin de garantir leur intégrité et disponibilité. Il existe, au sein de l’ONSSAPL, le service chargé de la sécurité de l’information qui veille au bon déroulement des politiques de sécurité et à la bonne collaboration entre l’ONSSAPL, la BCSS et la Smals et ce, via une veille permanente au travers de différents moyens.

6.) Les frais annuels inhérents aux moyens mis en place pour la sécurité informatique (les violations de sécurité, les cyber-attaques et les violations de données) sont intégrés dans les différents frais d’étude, de développement et de production du système informatique et de son réseau. Il n’est donc pas possible d’isoler les coûts liés à la sécurité, des autres coûts informatiques liés aux frais d’étude, de développement et de production.

7.) L’ONSSAPL veille à respecter les normes minimales de sécurité de la BCSS. Les mesures spécifiques en matière de sécurité dont dispose l’ONSSAPL sont actuellement suffisantes.

Toutefois, bien que maintenues à niveau pour faire face à notre réalité quotidienne, elles risquent de devoir évoluer très rapidement en fonction de nouveaux risques qui sont actuellement inconnus, mais également en fonction des nouvelles technologies et des nouveaux moyens médiatiques. Il est donc indispensable de poursuivre notre politique de formation ainsi que d’investir encore et toujours dans la politique de sécurité de l’ONSSAPL, mais surtout encourager s’il le fallait encore, notre politique commune de sécurité établie au sein du réseau de la Sécurité Sociale et plus spécifiquement au travers des normes minimales de sécurité de la BCSS.

Het geachte lid vindt hieronder het antwoord op zijn vragen.

Inzake de federale overheidsdienst (FOD) Volksgezondheid, Veiligheid van de voedselketen en Leefmilieu.

De hierna vermelde incidenten zijn enkel incidenten met als rechtstreeks gevolg een verlies aan vertrouwelijkheid van gevoelige gegevens. Incidenten die niet worden gemeld aan de Veiligheidsadviseur zijn niet gekend.

Al deze incidenten hebben ofwel geresulteerd in het ter beschikking stellen van gegevens aan niet gemachtigde derden, ofwel in een gebruik van deze gegevens voor doeleinden die niet compatibel zijn met de verwerking waaraan ze werden ontleend. Het concept datalek wordt dus in ruime zin geïnterpreteerd.

Zeer weinig incidenten werden « geëxternaliseerd », met ander woorden kenbaar gemaakt aan het publiek of geleid tot gerechtelijke stappen.

Vraag 1: Omschrijving van de geregistreerde incidenten

Nr.	Waar	Wanneer	Wat
1	FOD VVVL	02/2009	Contactgegevens worden ontleend aan operationele databases voor een promotiemailing voor een wedstrijd waaraan een personeelslid van de FOD deelneemt.
2	FOD VVVL	11/2011	Ongeoorloofde installatie (verschillende niet voldoende beveiligde laptops) van medische gegevens door een ambtenaar van de FOD.
3	FOD VVVL	01/2013	Een lijst met gegevens van alle medewerkers van de FOD wordt aangetroffen op een website waar documenten worden gedeeld, de lijst is gereferentieerd en toegankelijk via Google.
4	FOD VVVL	04/2014	Een lijst van medewerkers van de FOD wordt bezorgd aan personen die niet belast zijn met het HR-beheer.
5	FOD VVVL	07/2014	Een PC werd gestolen, die een database bevatte met daarin persoonlijke professionele en privégegevens van partners van de FOD

Opmerking : over een veiligheidsincident waarbij gegevens werden gestolen door een identiteitsdiefstal loopt momenteel een gerechtelijke procedure die gedekt wordt door het geheim van het onderzoek.

Vraag 2 :

a) Tijdstip en duur :

Alle incidenten, met uitzondering van 3, zijn doelgericht en impliceren geen terbeschikkingstelling of toegangsmogelijkheid gedurende een lange periode. Wat incident 3 betreft, is het onmogelijk om de termijn gedurende dewelke deze gegevens beschikbaar waren te bepalen, ze werden van de website gehaald van zodra het incident werd gemeld.

b) Aantal betrokken personen : zie tabel.

c) Welke gegevens : zie tabel.

d) Reden : zie tabel.

Nr.	Aantal	Wat	Reden
1	5 000	Mailadres.	Promotie / reclame voor de deelname van een lid van de FOD aan een wedstrijd.
2	+ 10 000	Medische gegevens (behandelingen en medicatie).	Versoepelen van het beheer van en de toegang tot de gegevens gebruikt door de dienst.
3	1 500	Identiteit, logins, functies en taken, contactgegevens.	Terbeschikkingstelling van de lijst aan een onderaannemer, het bestand werd vergeten (niet gewist).
4	80	Identiteit en persoonlijke contactgegevens, functies en taken.	Mededeling aan de deelstaten van de identiteit en de contactgegevens van de personen in mutatie door regionalisering. De mails werden verstuurd naar een mailinglijst waarop niet gemachtigde personen voorkwamen.
5	1600	Identiteit en login, werkgevers, privégegevens waaronder de bankrekening, expertisedomeinen en publicaties.	De omstandigheden wijzen erop dat enkel de PC het doel was van de diefstal. Er lijkt geen gebruik te zijn gemaakt van de gegevens.

e) Getroffen maatregelen :

– interne incidenten hebben geleid tot een advies van de Veiligheidsadviseur ;

– systematisch worden de personen die betrokken zijn bij het incident herinnerd aan de goede praktijken ;

– de kopies van de gegevens worden gewist en de dragers zo nodig vernietigd ;

– in één geval werd de eigenaar van de zoekmotor gesommeerd om de referentiëring en de « cache copies » te wissen ;

– ernstige lekken worden gemeld aan de betrokken personen waarbij tips worden gegeven om een verergering van de situatie te voorkomen ;

– organisatorische maatregelen worden geëvalueerd en toegepast om te vermijden dat een dergelijk incident zich opnieuw zou voordoen.

f) Geen enkele formele klacht, noch bij de veiligheidsadviseur, noch bij de CBPL, noch bij Justitie.

g) Geen juridische stappen.

Vraag 3 : Klachten en gerechtelijke procedures :

Geen gerechtelijke klachten.

Vraag 4 : Aantal datalekken aangegeven bij de CBPL :

Deze vraag geldt niet voor de FOD.

Vraag 5 : Genomen maatregelen :

Technieken :

– beveiliging van het netwerk (firewall, web-content filtering, …) ;

– beveiliging van de systemen (antivirus, anti-spam, technische policies van de werkstations, …) ;

– beveiliging van de toegangen (gecentraliseerde LDAP, rollenbeheer, …) ;

– inventaris van de informaticasystemen ;

– automatische installatie en centralisatie van « bug fixes » ;

– beveiliging en bewaking van de gevoelige lokalen ;

– systeem voor het publiceren van teksten en informatie in verband met het informatieveiligheidsbeheer (intranetpagina’s).

Methodes :

– change management ;

– beheer van de softwareversies ;

– incidentenbeheer en servicedesk ICT ;

Organisatorisch :

– risicoanalyse en interne audits ;

– onthaalprocedure voor bezoekers ;

– beveiligde ontmanteling van het verouderd materiaal en de verouderde informatiedragers ;

– handvest van de gebruiker ;

– verschillende veiligheidspolicies ;

– stuurcomité voor het informatieveiligheidsbeheer (adviesorgaan van het directiecomité).

Vraag 6 : Kosten :

Er is geen budget voorzien voor de informatieveiligheid, de kosten van de veiligheidsmaatregelen worden afgewenteld naar de functionele budgetten van de opdrachtgevers. Het is dan ook quasi onmogelijk om de bedragen van deze interventies te bepalen. De globale kostprijs voor de beveiliging van de FOD kan geraamd worden op 50 000 euro per jaar, voor alle websites en diensten samen.

Vraag 7 : Mogelijke extra maatregelen :

– sensibilisatieacties voor de hoge hiërarchie ;

– invoeren van procedures voor overleg (technisch / business / veiligheid) bij het uitwerken van projecten ;

– interne opleidingsprogramma’s voor alle medewerkers ;

– een uitgebreider team voor het veiligheidsbeheer ;

– invoering van een business continuity management inclusief een DRP ;

– aanschaf van een IDS/IPS systeem en herziening van de informaticaveiligheidsstrategie ;

– invoering van een network access control ;

– invoering van een toezichtsysteem voor de externe gegevensstromen ;

Reeds gepland of aan de gang :

– sensibilisatieseminarie voor de diensthoofden ;

– sensibilisatiecampagne voor alle medewerkers ;

– procedure voor het beheer van veiligheidsincidenten en instrument voor het registreren en opvolgen van incidenten ;

– nieuwe veiligheidspolicies in verband met het gebruik van de communicatiemiddelen.

Inzake de FOD Sociale Zekerheid:

1) Er zijn in de periode 2009 tot heden geen aanvallen vastgesteld op de databases van de FOD. Er werden wel aanvallen vastgesteld op de websites van de FOD, welke gehost zijn bij SMALS. Hun aantal beperkt zich tot enkele keren per jaar. De aanvallen waren niet succesvol en hebben geen schade aangericht.

2) De FOD Sociale Zekerheid heeft tot nu niet te maken gehad met een datalek.

3) Niet van toepassing.

4) Niet van toepassing.

5) Wat betreft aanvallen van buitenaf, is de FOD Sociale Zekerheid steeds proactief bezig met de beveiliging van haar IT-infrastructuur. De laatste jaren hebben we volgende maatregelen genomen om ons beter te beschermen :

– de centrale firewall werd geüpdatet naar de recentste versie ;

– de mail server werd gemigreerd naar Microsoft Exchange 2010. Exchange 2010 bevat een « throtteling » mechanisme dat bescherming biedt tegen DoS aanvallen (denial of service). De mail server werd bovendien voorzien van extra antivirus software ;

– een systeem werd opgezet om steeds de laatste (beveiligings-)updates automatisch te installeren op het PC-park ;

– naast een anti-virus software zijn alle PC’s uitgerust met een firewall.

Voor hun aan de Sociale Zekerheid externe TCP/IP-verbindingen, maakt de FOD gebruik van het Extranet van de Sociale Zekerheid. Dit houdt ondermeer in dat infrastructuur van de FOD niet rechtstreeks blootgesteld is aan mogelijke cyberaanvallen.

Echter wat betreft mogelijk datalekken van binnenuit, worden gebruikers gesensibiliseerd om bewust om te gaan met gevoelige en vertrouwelijke gegevens.

6) Maintenance kost firewall : 13 370 euro per jaar.

Maintenance kost antivirus software : 15 030 euro per jaar.

Maintenance kost VPN beveiliging telewerk : 12 279 euro per jaar.

Maintenance kost internet access beveiliging : 30 525 euro per jaar.

Maintenance kost e-mail beveiliging : 6 912 euro per jaar.

Wat security monitoring betreft, maakt de FOD gebruik van de standaard tools die in de beveiligingsproducten zelf vervat zitten. In bijkomende monitoring producten werd niet geïnvesteerd. Er werd dit jaar wel gedurende enkele weken een « Checkpoint Next Generation SmartEvent Software Blade » geplaatst voor het uitvoeren van een « CheckPoint 3D Audit ». Dit heeft geen security problemen aan het licht gebracht.

7) Beveiliging van IT-infrastructuur is een continu proces wat inhoudt dat permanent de bestaande maatregelen geëvalueerd dienen te worden en de opportuniteit van nieuwe bijkomende maatregelen onderzocht moet worden.

Wat betreft de openbare instellingen van sociale zekerheid die onder mijn bevoegdheid staan :

Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen

1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van de CDZ.

2.) De Controledienst heeft nooit een datalek gekend.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) Niet van toepassing.

5.) De volgende maatregelen worden op heden genomen : firewall (hardware en software), traffic control, traffic filtering, opsporing van inbraakpoging, Webblokering, Spamblokkering, toepassingscontrole, anti-virus, anti-spyware, anti DoS, controle van de gefragmenteerde of vervormde IP-pakketten, beveiliging tegen gecombineerde dreigingen, blokkering van statistische en dynamische bronnen (black lists, …).

6.) In 2009, 2010 en 2011, werd geen enkel bedrag geïnvesteerd in de cyberveiligheid van de Controledienst. De bedragen geïnvesteerd in de cyberveiligheid van de Controledienst in 2012, 2013 en 2014 zijn de volgende: 1 064,06 euro in 2012, 5 118,66 euro in 2013 en 750,50 euro in 2014. Deze investeringen hadden betrekking op het geheel aan maatregelen opgenomen in punt 5 hierboven.

7.) Neen. De reeds genomen maatregelen zijn voldoende.

Dienst voor de Overzeese Sociale Zekerheid

1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van de DOSZ.

2.) In de periode 2009 tot heden is er geen datalek geweest bij de DOSZ.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) Niet van toepassing.

5.) De DOSZ behoort tot het Extranet van de Sociale Zekerheid. Het Extranet neemt maatregelen ter preventie van datalekken.

De DOSZ zelf heeft ook maatregelen genomen ter voorkoming van datalekken zoals : het gebruik van de meest recente versie van de anti-virus software, het gebruik van de meest recente versies van de systeem- en toepassingssoftware.

6.) Voor de periode 2009 tot heden werd er jaarlijks een bedrag van 59 500 euro voorzien ter preventie van datalekken, beveiligingsinbreuken of cyberaanvallen, waarvan :

– 3 500 euro voor anti-virus software ;

– 56 000 euro voor systeem- en toepassingssoftware.

7.) Bijkomende maatregelen zijn in het geval van de DOSZ niet nodig omdat de bestaande veiligheidsmaatregelen ter voorkoming van datalekken reeds efficiënt zijn. Indien bijkomende maatregelen noodzakelijk zouden zijn dient rekening gehouden te worden met budgettaire beperkingen.

Federaal Agentschap voor de Kinderbijslag

Omdat het Extranet van de Sociale Zekerheid beheerd wordt door de Kruispuntbank van de Sociale Zekerheid neemt FAMIFED in het algeheel het antwoord van de KSZ over met toevoeging van specificaties eigen aan FAMIFED

1.) De Kruispuntbank van de Sociale Zekerheid is de voorbije jaren weliswaar een heel beperkt aantal keren het slachtoffer van cybercrimeaanvallen geworden maar de aanvallen werden steeds snel en efficiënt gecounterd en hebben nooit ernstige gevolgen voor de werking van het netwerk van de sociale zekerheid hebben.

2.en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.

4.) Niet van toepassing.

5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.

Een onderscheid dient te worden gemaakt tussen het LAN van FAMIFED (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).

Voor de beveiliging van het lokale netwerk en de informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld.

De Kruispuntbank van de Sociale Zekerheid beheert een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.

Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies, de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web of mail op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector ook een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid is beveiligd met een granulair gebruikers- en toegangsbeheer.

De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt het centrale beheer van anti-malware software plaats.

Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System) en er is een overkoepelend management- en monitoringsysteem voorzien om de veiligheidsincidenten te detecteren en te corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.

De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners, waaronder FAMIFED. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.

De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS), algemeen gebaseerd op de ISO 2700X-reeks internationale normen.

Hoewel aanvallen nooit volledig uit te sluiten zijn, heeft de Kruispuntbank van de Sociale Zekerheid een aantal maatregelen ingevoerd, met respect voor de “best practices” dienaangaande, om de geëvalueerde risico’s te minimaliseren en de beveiliging te maximaliseren (zie hoger). De Kruispuntbank van de Sociale Zekerheid herevalueert regelmatig de risico’s en de maatregelen om een hoog beveiligingsniveau te garanderen.

6.) De jaarlijkse kosten voor de preventie van beveiligingsinbreuken zijn geïntegreerd in de project- en exploitatiekosten van de systemen van het netwerk van de sociale zekerheid en kunnen niet geïndividualiseerd worden. Specifiek in verband met datalekken werden bijvoorbeeld stappen ondernomen om programmatuur zodanig te ontwikkelen dat risico’s op toepassingsniveau (zoals een SQL-injection) maximaal beperkt worden. De inspanningen op dit vlak zijn volledig geïntegreerd in de kosten van het schrijven van software.

7.) Gelet op het voorgaande lijken bijkomende maatregelen niet noodzakelijk.

-Fonds voor Arbeidsongevallen

1.) 1.) Het FAO heeft geen kennis van aanvallen gericht op haar digitale gegevens of databases

2.) Tussen 2009 en nu is geen enkel gegeven verloren gegaan of gestolen.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot de punt 2 van de vraag.

4.) Niet van toepassing.

5.) De reglementaire bepalingen over de werking van de Kruispuntbank van de Sociale Zekerheid en de informatieveiligheid in het bijzonder.

6.) Er werd geen budget vastgelegd ter preventie van beveiligingsinbreuken.

7.) Gelet op het antwoord op punt 2 van de vraag lijken bijkomende maatregelen niet noodzakelijk.

-Fonds voor de Beroepsziekten

1.) Geen enkel spoor van een externe aanval gericht tegen het FBZ werd ooit vastgesteld noch aan het Fonds meegedeeld.

2. en 3.) Een interne malversatie kon worden gedetecteerd en bewezen, voornamelijk op basis van bewaarde sporen. Het ging eigenlijk niet om een informatica-aanval maar om een verkeerd gebruik en onaangepaste rechten. Naast de strafrechtelijke en administratieve vervolging van de dader, is er een interne herziening van de rechten gevolgd om dit soort misbruik te beperken; een bijzondere aandacht is voortaan geboden op het vlak van het toegangsbeheer tot de gegevens en de toepassingen. Tot nu toe heeft het Fonds geen geslaagde externe aanval ontdekt. Het FAO beschikt over sporen en statistische cijfers op het vlak van de beschermingssystemen van het netwerk (firewall, proxy - waaronder sandbox -, antivirus).

4.) Niet van toepassing.

5.) Het lokale netwerk van het FBZ is beschermd door een firewall en een proxy; het is slechts verbonden met de buitenwereld via het Extranet van de Sociale Zekerheid. De toegang tot Internet wordt beheerd op basis van een proxy die de toepassing van een gecoördineerd beleid ter zake mogelijk maakt; de toegangen die onaanvaardbaar zijn of die bewezen en gekende risico's inhouden zijn verboden, die van professionele aard zijn open en de andere worden onder voorwaarden aanvaard. Momenteel worden alleen verbindingen van buitenaf toegelaten via de VPN-oplossing via het extranet van de sociale zekerheid; een gemeenschappelijk veiligheidsbeleid analyseert de risico's van mobiele apparaten en stelt na te leven handelwijzen voor. Achter de bescherming die door het extranet wordt geboden, zijn de door het FBZ geïnstalleerde systemen efficiënt en worden ze up to date gehouden. We zien erop toe dat elke pc in onze omgeving een aangepaste bescherming heeft. Elke deelnemer in het netwerk, waaronder het FBZ, dient maatregelen te nemen in overeenstemming met de minimale veiligheidsnormen om zijn netwerk te beveiligen, om anomalieën te detecteren en om de andere actoren te informeren over die die hij zou vaststellen. Indien zich een aanval zou voordoen, zal deze zo veel mogelijk worden tegengehouden met behulp van preventieve middelen die zijn opgesteld. De diensten belast met de veiligheid bij het FBZ, bij de KSZ en bij Smals worden ingelicht en gevraagd om hun medewerking en advies te verlenen.

6.) Kosten; bepaalde cijfers m.b.t. de meerjarige contracten werden uitgesplitst om een jaarlijks overzicht van de kosten weer te geven. De vermelde bedragen zijn beperkt tot de kosten die overeenstemmen met de maatregelen m.b.t. de vraag en houden geen rekening met de kosten die verband houden met het personeel.

Maatregelen / Mesures	2009	2010	2011	2012	2013
Software voor audit en DB-tracing Logiciels d'audit et traçage DB	1125	1125	1125	1125	0
Software voor logische toegangscontrole Logiciels de contrôle des accès logiques	11800	12500	13000	13000	13550
Firewall Pare-feu	1699	1699	1978	1978	11736
Proxy	6868	6868	6868	6868	15111
Antivirus	3402	3402	3402	3402	3610
Totaal / Total	24894	25594	26373	25248	44007

7.) De specifieke maatregelen die momenteel zijn ingevoerd zijn voldoende, ze moeten echter op een juist peil worden gehouden en eventueel evolueren in functie van de risico's, de nieuwe behoeften en de technologische vooruitgang. Het beveiligingsbeleid uitgewerkt binnen het netwerk van de Sociale Zekerheid is een belangrijke referentie voor onze strategie op het gebied van IT-beveiliging.

-Hulp- en Voorzorgskas voor Zeevarenden

1.) De Hulp-en Voorzorgskas voor Zeevarenden heeft geen kennis van aanvallen gericht op haar digitale gegevens of databases

2.) De HVKZ heeft niet te maken gehad met datalekken.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) De HVKZ heeft geen kennis van meldingen van gegevenslekken via het online-formulier op de website van de privacycommissie.

5.) De HVKZ is gebonden aan veiligheidsvoorschriften opgelegd door het sectoraal comité van de sociale zekerheid. Bij het naleven van deze veiligheidsvoorschriften wordt de HVKZ bijgestaan door een veiligheidsconsulent van Smals. De naleving van de voorschriften wordt jaarlijks nagekeken door het sectoraal comité van de sociale zekerheid.

6.)

	2009	2010	2011	2012	2013
Firewall Pare-feu	€ 1.263,70	€ 1.263,70	€ 1.263,69	€ 2.194,45	€ 1.263,69
Veiligheidsconsulent SMALS Conseiller en sécurité de SMALS	€ 1.404,00	€ 1.645,05	€ 1.106,38	€ 352,03	€ 2.239,98
Externe ICT-consultant Consultant ICT externe	€ 1.258,40	€ 1.258,40	€ 1.258,40	€ 1.258,40	€ 1.258,40
Totaal / Total	€ 3.926,10	€ 4.167,15	€ 3.628,47	€ 3.804,88	€ 4.762,07

7.) De HVKZ is een zeer kleine OISZ, bevoegd voor de sociale zekerheid van de Zeevarenden. Gelet op het beperkte risico oordeelt de HVKZ dat het voldoen aan de veiligheidsvoorschriften opgelegd door het sectoraal comité van de sociale zekerheid een voldoende veiligheidsniveau biedt.

-Hulpkas voor ziekte- en invaliditeitsverzekering

1. De HZIV heeft geen directe aanvallen vastgesteld tegen de instelling, wel meer algemene pogingen. De Hulpkas beschikt over een eerste defensielijn voor het extranet via de Maatschappij voor Mecanografie voor de toepassing van de sociale wetten die het intranet beheert.

Gelet op de toenemende complexiteit en geavanceerdheid van de huidige aanvallen, zouden bijkomende maatregelen inzake veiligheid nuttig zijn. Een aantal aanvallen zouden namelijk onopgemerkt kunnen blijven. De instelling beschikt thans echter niet over de nodige middelen om dit uit te voeren.

Aantal vastgestelde algemene pogingen:

Vorige jaren: Niet gemeten
2013 : 600
2014 : 820

2.) De problematiek rond datalekken is zeer complex en vereist specifieke en dure tools. De HZIV beschikt thans niet over dergelijke tools. Er werd echter nog geen enkele lek vastgesteld of gemeld.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) Niet van toepassing.

5.) De HZIV behoort tot het Extranet van de Sociale Zekerheid dat beheerd wordt door de Kruispuntbank, deze zorgt voor de maatregelen ter preventie van datalekken. Gezien het antwoord op punt 2 van de vraag heeft de Hulpkas nog geen extra maatregelen genomen.

6.) De jaarlijkse kostprijs voor het Extranet SMALS bedraagt 6 000 euro per jaar

Wat de personeelskosten betreft, is de opvolging door de informaticaveiligheidsadviseur van de Hulpkas beperkt tot 10,00 % (0,1 VTE) omwille van de kleine omvang van de instelling en de link via het extranet van SMALS. Er wordt gebruik gemaakt van de volgende tools als firewall:

antivirus (clamaw) / antispam (spamassasin) voor de ontvangst van mails
antivirus symantec voor de servers en workstations

7.) Bijkomende maatregelen kunnen nuttig zijn, maar daarvoor zijn (veel) bijkomende middelen nodig. Er moet geïnvesteerd worden in passende software, en de opleiding van personen die de bijhorende reportinggegevens moeten configureren, aanpassen en analyseren. Dit veronderstelt ook dwingende maatregelen en een eventuele aanpassing in het gebruik van de hard- en software door de gebruikers van de HZIV.

-Kruispuntbank van de Sociale Zekerheid +eHealth-platform

2.en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.

4.) Niet van toepassing.

5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.

Een onderscheid dient te worden gemaakt tussen het LAN van de Kruispuntbank van de Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).

De Kruispuntbank van de Sociale Zekerheid beheert aldus een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.

De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.

7.) Gelet op het voorgaande lijken bijkomende maatregelen niet noodzakelijk.

-Rijksinstituut voor Ziekte- en Invaliditeitsverzekering

1.) Er werden in de periode 2009 tot heden geen aanvallen gericht op de digitale servers of de database van het RIZIV.

2.) Het Rijksinstituut heeft niet te maken gehad met datalekken.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) Niet van toepassing.

5.) In het RIZIV loopt een project dat de voortdurende verbetering van informatieveiligheid bestendigt, gebaseerd op de ISO norm 27001. Het RIZIV heeft in 2014 dit certificaat behaald. Het informatieveiligheidsbeleid is hoofdzakelijk gebaseerd op een continu proces voor risicobeheersing dat aanleiding geeft tot verbeteringsacties waaronder concrete beveiligingsmaatregelen voor processen en systemen, maar ook bewustmaking van de medewerkers per specifieke doelgroep.

Op alle componenten van het netwerk is beveiliging ingebouwd. Enerzijds is ons netwerk geïntegreerd in het extranet van de Sociale Zekerheid, beheerd door KSZ-Smals. Het extranet gebruikt een gelaagd security model en schermt de netwerken van de ISZ af via firewalls, IPS (Intrusion Prevention System), DMZ, proxy servers, anti-malware, etc.

Anderzijds is het netwerk van het RIZIV op een gelijkwaardige wijze afgeschermd van het extranet door een gelaagd security model (gebruik van 2 niveaus van firewalls, IPS, DMZ, proxy servers, anti-malware, etc.).

Cyberaanvallen worden op 2 niveaus opgespoord en gedetecteerd. Intrusion Prevention Systemen (IPS) op het extranet worden beheerd door de Smals en alerts m.b.t. het RIZIV worden doorgestuurd naar het RIZIV voor onderzoek. Onze eigen IPS systemen detecteren eveneens alerts en blokkeren in een aantal gevallen de communicatie.

Het RIZIV heeft een nieuwe netwerkarchitectuur uitgebouwd, die een nog hogere beveiliging moet bieden en het RIZIV moet klaar maken voor nieuwe technologieën en trends zoals BYOD en Cloud. Dit beveiligingsmodel is een “trusted zone” model waarbij alle communicatie tussen de servers punt-tot-punt wordt beveiligd via firewall. Bovendien worden alle servers “gehardened” (verwijderen van functionaliteit die niet nodig is maar eventueel wel misbruikt zou kunnen worden door hackers of malware).

Het veiligheidsbeleid is niet enkel gesteund op investeringen maar ook op continue processen: risicoanalyses, communicatie, awareness, opleidingen, audits. Dit vertaalt zich in een aantal toegewezen FTE’s

6.) Het Rijksinstituut kan daar moeilijk een exact bedrag op plakken omdat maatregelen ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken, deel uitmaken van een globale security aanpak waarbij het installeren van specifieke platformen en systemen meer afdekt dan enkel bedreigingen die van buitenaf komen, maar ook bescherming biedt tegen virussen, interne dreigingen, etc.

Zo bedroeg de kostprijs voor het SafeInfo projecten (het ISO27001 certificaat) ongeveer 1.200.000 €, gespreid over 2011-2012-2013, maar de scope hiervan is uiteraard veel ruimer dan de parlementaire vraag.

Een andere indicatie is het totale infrastructuurbudget van het RIZIV dat ca. 600.000 € per jaar bedraagt.

Er zijn geen investeringen gebeurd in specifieke software voor security monitoring. Wel werd er geïnvesteerd in hardware firewalls met IPS functionaliteit en host-based software firewalls met IPS functionaliteit.

7.) Er zijn bijkomende maatregelen mogelijk die nog een beter beveiligingsniveau garanderen, zoals bvb. een “data leakage prevention system”, doch de huidige budgettaire context maakt dergelijke projecten momenteel niet realiseerbaar

-Rijksdienst voor Sociale Zekerheid

1.) De systemen van de Rijksdienst voor Sociale Zekerheid zijn geïntegreerd in het netwerk van de sociale zekerheid zoals uitgebouwd door de Kruispuntbank van de Sociale Zekerheid. Wat geldt voor dit netwerk geldt ook voor de Rijksdienst voor Sociale Zekerheid. Dit netwerk werd de voorbije jaren weliswaar een heel beperkt aantal keren het slachtoffer van cybercrimeaanvallen maar heeft de aanvallen steeds snel en efficiënt kunnen counteren waardoor er nooit ernstige gevolgen voor de werking van het netwerk van de sociale zekerheid hebben plaats gehad.

2. en 3.) Voor zover geweten, gingen de voormelde aanvallen nooit gepaard met misbruiken of lekken van gegevens. Er werden derhalve ook geen juridische acties dienaangaande ondernomen.

4.) Niet van toepassing.

5.) De Kruispuntbank van de Sociale Zekerheid neemt sinds jaar en dag de nodige maatregelen ter beveiliging van zichzelf en het door haar beheerde netwerk van de sociale zekerheid.

Een onderscheid dient te worden gemaakt tussen het interne netwerk van de Rijksdienst voor Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, zoals de mailservers, de fileservers en de printservers) en de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (de uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur: “SOA architecture”).

De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen worden aangepast in functie van de vastgestelde evoluties.

Hoewel aanvallen nooit volledig uit te sluiten zijn, zorgt de Kruispuntbank van de Sociale Zekerheid met een aantal gerichte maatregelen voor een maximale beveiliging (zie hoger). Zij is van oordeel op een degelijke wijze beveiligd te zijn.

6.) De jaarlijkse kosten voor de preventie van beveiligingsinbreuken, andere dan de kosten gemeld door de Kruispuntbank van de Sociale Zekerheid, zijn geïntegreerd in de project- en exploitatiekosten van de systemen van de Rijksdienst voor Sociale Zekerheid en kunnen niet geïndividualiseerd worden. Specifiek in verband met datalekken werden bijvoorbeeld stappen ondernomen om programmatuur te ontwikkelen op zo’n wijze dat risico’s op toepassingsniveau in dit verband (vb. een zogenaamde SQL-injection) maximaal beperkt worden. De inspanningen op dit vlak zijn volledig geïntegreerd in de kosten van het schrijven van software.

7.) Gelet op het voorgaande lijken bijkomende maatregelen niet nodig.

-Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten

Woord vooraf:

Buiten het interne netwerk van de RSZPPO is het niet mogelijk om toegang te verkrijgen tot privé-gegevens. Er werden beschermingsmaatregelen ingesteld zodat het niet mogelijk is om een niet-geautoriseerde externe toegang te verkrijgen.

1.) Er werd geen enkel spoor van een externe aanval tegen de RSZPPO vastgesteld of aan de Rijksdienst gemeld.

2.) Er bestaat een traceringssysteem op het niveau van de toegangen tot de gegevens en van de toepassingen. Dit systeem wordt gecontroleerd. Tot op heden heeft De Rijksdienst nog geen misbruik van onze gegevens kunnen vaststellen. De RSZPPOj heeft tot op heden nog geen geslaagde externe aanval kunnen opsporen.

3.) Zonder voorwerp ingevolge het antwoord met betrekking tot punt 2 van de vraag.

4.) Niet van toepassing.

5.) Het lokale netwerk van de RSZPPO is beveiligd door firewalls en een proxy. Het netwerk is enkel toegankelijk voor de buitenwereld via het Extranet van de Sociale Zekerheid. De toegang tot het internet wordt beheerd op basis van een proxy. Er wordt een specifiek beleid gevoerd wat betreft de toegang tot het internet, waarbij de toegang wordt geblokkeerd tot sites of gegevens die verboden zijn of die een ernstig risico vormen voor de veiligheid van onze informaticainfrastructuur. De toegangen tot professionele toepassingen beantwoorden aan de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid. Andere nuttige toegangen tot meer algemene websites worden toegelaten op basis van een beslissing van de hiërarchie.

Verbindingen van buitenaf worden verplicht tot stand gebracht via een beveiligde VPN-verbinding die wordt beheerd door het Extranet van de Sociale Zekerheid. Deze beveiligde verbinding kadert in de informatieveiligheidspolis die werd opgesteld door de subwerkgroep voor informatieveiligheid van de Sociale Zekerheid over mobiele middelen. De RSZPPO beheert op zijn beurt op dagelijkse basis zijn eigen informatieveiligheidstools. Op deze wijze wordt iedere individuele toegang tot het netwerk beschermd. De RSZPPO stelt aan de andere socialezekerheidsinstellingen sociale gegevens ter beschikking via het Extranet. De RSZPPO voert een veiligheidsbeleid dat beantwoordt aan de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid teneinde de integriteit en de beschikbaarheid van de gegevens te garanderen. Binnen de RSZPPO bestaat er bovendien een dienst die belast is met de informatieveiligheid en die waakt over het goede verloop van het veiligheidsbeleid en de goede samenwerking tussen de RSZPPO, de KSZ en de Smals via een permanente waakzaamheid aan de hand van verschillende middelen.

6.) De jaarlijkse kosten die inherent zijn aan de middelen voor informatieveiligheid (schending van de veiligheid, cyberaanvallen en schending van gegevens) zitten vervat in de verschillende kosten m.b.t. studies, de ontwikkeling en de productie van het informaticasysteem en het netwerk. Het is dus onmogelijk om de kosten m.b.t. veiligheid te onderscheiden van de andere informaticakosten m.b.t. studies, ontwikkeling en productie.

7.) De RSZPPO waakt over de naleving van de minimumnormen van de KSZ. De specifieke maatregelen inzake veiligheid waarover de RSZPPO beschikt, zijn momenteel voldoende.

Hoewel deze maatregelen op punt worden gehouden om het hoofd te kunnen bieden aan onze dagelijkse realiteit, dreigen zij zeer snel te zullen moeten evolueren in functie van nieuwe risico’s die momenteel nog onbekend zijn, maar ook in functie van nieuwe technologieën en nieuwe mediakanalen. Het is dus noodzakelijk om ons opleidingsbeleid verder te zetten en verder te investeren in het veiligheidsbeleid van de RSZPPO, maar vooral ook om ons gemeenschappelijk veiligheidsbeleid binnen het socialezekerheidsnetwerk verder uit te werken, meer bepaald via de minimale veiligheidsnormen van de KSZ.