| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2014-2015 | Zitting 2014-2015 | ||||||||
| ________ | ________ | ||||||||
| 3 novembre 2014 | 3 november 2014 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 6-32 | Schriftelijke vraag nr. 6-32 | ||||||||
de Lode Vereeck (Open Vld) |
van Lode Vereeck (Open Vld) |
||||||||
à la ministre de la Mobilité, chargée de Belgocontrol et de la Société nationale des chemins de fer belges |
aan de minister van Mobiliteit, belast met Belgocontrol en de Nationale Maatschappij der Belgische spoorwegen |
||||||||
| ________ | ________ | ||||||||
| Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures | Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen | ||||||||
| ________ | ________ | ||||||||
| protection des données piratage informatique criminalité informatique Autorité de protection des données ministère organisme de recherche établissement d'utilité publique |
gegevensbescherming computerpiraterij computercriminaliteit Gegevensbeschermingsautoriteit ministerie onderzoeksorganisme instelling van openbaar nut |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Ook gesteld aan : schriftelijke vraag 6-19 Ook gesteld aan : schriftelijke vraag 6-20 Ook gesteld aan : schriftelijke vraag 6-21 Ook gesteld aan : schriftelijke vraag 6-22 Ook gesteld aan : schriftelijke vraag 6-23 Ook gesteld aan : schriftelijke vraag 6-24 Ook gesteld aan : schriftelijke vraag 6-25 Ook gesteld aan : schriftelijke vraag 6-26 Ook gesteld aan : schriftelijke vraag 6-27 Ook gesteld aan : schriftelijke vraag 6-28 Ook gesteld aan : schriftelijke vraag 6-29 Ook gesteld aan : schriftelijke vraag 6-30 Ook gesteld aan : schriftelijke vraag 6-31 Ook gesteld aan : schriftelijke vraag 6-33 Ook gesteld aan : schriftelijke vraag 6-34 Ook gesteld aan : schriftelijke vraag 6-35 Ook gesteld aan : schriftelijke vraag 6-36 |
Ook gesteld aan : schriftelijke vraag 6-19 Ook gesteld aan : schriftelijke vraag 6-20 Ook gesteld aan : schriftelijke vraag 6-21 Ook gesteld aan : schriftelijke vraag 6-22 Ook gesteld aan : schriftelijke vraag 6-23 Ook gesteld aan : schriftelijke vraag 6-24 Ook gesteld aan : schriftelijke vraag 6-25 Ook gesteld aan : schriftelijke vraag 6-26 Ook gesteld aan : schriftelijke vraag 6-27 Ook gesteld aan : schriftelijke vraag 6-28 Ook gesteld aan : schriftelijke vraag 6-29 Ook gesteld aan : schriftelijke vraag 6-30 Ook gesteld aan : schriftelijke vraag 6-31 Ook gesteld aan : schriftelijke vraag 6-33 Ook gesteld aan : schriftelijke vraag 6-34 Ook gesteld aan : schriftelijke vraag 6-35 Ook gesteld aan : schriftelijke vraag 6-36 |
||||||||
| ________ | ________ | ||||||||
| Question n° 6-32 du 3 novembre 2014 : (Question posée en néerlandais) | Vraag nr. 6-32 d.d. 3 november 2014 : (Vraag gesteld in het Nederlands) | ||||||||
Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB. La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification. Je souhaite poser les questions suivantes : 1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public. 2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants : a) le moment auquel la fuite de données s'est produite et sa durée ; b) l'ampleur de la fuite de données (sur combien de personnes elle a porté) c) une description des données concernées ; d) la cause de la fuite de données ; e) les mesures prises à la suite de la fuite de données ; f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ; g) la suite qui a été réservée aux plaintes visées à la sous-question 2f. 3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ? 4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ? 5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ? 6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité. 7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ? |
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS. De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht. Ik heb volgende vragen : 1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht. 2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen : a) het tijdstip en de duur van het datalek ; b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ; c) een omschrijving van de gelekte gegevens ; d) de oorzaak van het datalek ; e) de getroffen maatregelen ten gevolge van het datalek ; f) het aantal klachten die desgevallend werden ingediend per datalek ; g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f. 3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ? 4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ? 5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ? 6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring. 7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ? |
||||||||
| Réponse reçue le 4 décembre 2014 : | Antwoord ontvangen op 4 december 2014 : | ||||||||
1) Il n’a pas eu de détection d’attaque de ce genre. Les actions automatiques de nos scanneurs de virus qui détectent quotidiennement plusieurs virus, malwares et spywares ne sont pas considérées comme des attaques ciblées. 2) Non. 3) Non. 4) Non. 5) Nos mesures sont prises en se basant sur l’approche de l’ISO 27002. Cet ensemble de mesures a pour but de garantir la sécurité de l’information. En supplément, nous essayons de détecter les agissements déviants sur le réseau de manière à déceler des attaques éventuellement non encore identifiées. 6) Coûts pour l’achat et l’entretien de firewalls et de firewalls d’application Web : Annuellement 25 000 à 30 000 euros. Une fois tous les quatre ans une dépense unique de 90 000 à 100 000 euros est prévue pour le renouvellement de ce matériel. Les coûts du logiciel endpoint protection s’élèvent à : 15 987,13 euros annuellement. 7) Oui. Mesures : sensibiliser encore plus le personnel pour qu’il fasse preuve d’attention et de vigilance vu que les attaques ayant le plus de succès sont celles induites par l’inattention des collaborateurs qui permet à des logiciels nuisibles de s’introduire dans le réseau. Ceci ne peut se limiter à une action unique. Périodicité : dépendante du budget disponible. |
1) Er zijn geen aanvallen in dit verband vastgesteld. De automatische acties van onze virusscanners die dagelijks verschillende virussen, malware en spyware’s onderscheppen beschouw ik niet als gerichte aanvallen. 2) Neen. 3) Neen. 4) Neen. 5) Onze maatregelen zijn gebaseerd op de ISO 27002 aanpak .Dit pakket van maatregelen heeft tot doel de veiligheid van informatie te verzekeren. Daarnaast proberen we afwijkende gedragingen in het netwerk te detecteren om eventuele nog niet geïdentificeerde aanvallen op te sporen. 6) Kosten voor aankoop en onderhoud van Firewalls, webapplication firewalls : Jaarlijks 25 000 a 30 000 euro. Eenmaal om de vier jaar komt er 90 000 a 100 000 euro bij voor de vernieuwing van deze toestellen. SW kosten voor endpoint protection : jaarlijks 15 987,13 euro. 7) Ja. Maatregelen : Nog meer aandacht of awareness bijbrengen bij het personeel aangezien de meeste succesvolle aanvallen gebeuren via de onoplettendheid van de medewerkers waardoor schadelijke SW het netwerk kan binnendringen .Dit mag niet beperkt blijven tot een eenmalige actie. Tijdpad : afhankelijk van het beschikbare budget. |