BELGISCHE SENAAT
________
Zitting 2012-2013
________
13 december 2012
________
SENAAT Schriftelijke vraag nr. 5-7572

de Nele Lijnen (Open Vld)

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen
________
Overheidsdiensten - Cyberaanvallen - Computerbeveiliging - Beveiligingssoftware - Opleiding personeel
________
computercriminaliteit
gegevensbescherming
officiële statistiek
computervirus
Belnet
ministerie
________
13/12/2012Verzending vraag
25/9/2013Rappel
29/10/2013Rappel
3/12/2013Herkwalificatie
18/12/2013Antwoord
________
Ook gesteld aan : schriftelijke vraag 5-7566
Ook gesteld aan : schriftelijke vraag 5-7567
Ook gesteld aan : schriftelijke vraag 5-7568
Ook gesteld aan : schriftelijke vraag 5-7569
Ook gesteld aan : schriftelijke vraag 5-7570
Ook gesteld aan : schriftelijke vraag 5-7571
Ook gesteld aan : schriftelijke vraag 5-7573
Ook gesteld aan : schriftelijke vraag 5-7574
Ook gesteld aan : schriftelijke vraag 5-7575
Ook gesteld aan : schriftelijke vraag 5-7576
Ook gesteld aan : schriftelijke vraag 5-7577
Ook gesteld aan : schriftelijke vraag 5-7578
Ook gesteld aan : schriftelijke vraag 5-7579
Ook gesteld aan : schriftelijke vraag 5-7580
Ook gesteld aan : schriftelijke vraag 5-7581
Ook gesteld aan : schriftelijke vraag 5-7582
Ook gesteld aan : schriftelijke vraag 5-7583
Ook gesteld aan : schriftelijke vraag 5-7584
Geherkwalificeerd als : vraag om uitleg 5-4358
________
SENAAT Schriftelijke vraag nr. 5-7572 d.d. 13 december 2012 : (Vraag gesteld in het Nederlands)

Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

Antwoord ontvangen op 18 december 2013 :

1) Op alle Windows machines (zowel servers als werkstations/eindgebruikersconfiguraties) in het domein van de Federale Overheidsdienst (FOD) Volksgezondheid wordt automatisch een McAfee agent geïnstalleerd. Deze installeert McAfee VirusScan Enterprise 8.8 en SiteAdvisor Enterprise 3.5, en houdt deze up-to-date.

Het lokale netwerk wordt beschermd door een firewall die de netwerkconnecties reguleert van en naar het Internet. De toegang tot Internetwebsites wordt gefilterd door een proxy zodat toegang tot gekende ‘gevaarlijke’ sites worden geblokkeerd. Via SSLVPN worden slechts VPN-connecties toegelaten mits een op de PC aanwezige up-to-date actieve virusscanner.

Onze servers die publieke/externe services aanbieden (publieke website, mail, applicaties zoals portahealth en absenteisme, enz.) worden afgeschermd door een reverse proxy. 

2) Er is een permanente monitoring op de anti-virusscan: problemen worden voor de systeembeheerders zichtbaar gemaakt met alerts, de gedetecteerde bedreigingen worden behandeld: verwijderen van file, programma of cleanen met antivirus . Hierover zijn rapporten beschikbaar ( aantal virussen, aantal ongewenste programma’s, spyware aantal niet nader determineerbare issues die verwijderd worden etc.). Deze cijfers worden 3 maanden bewaard en nadien overschreven. 

De FOD Volksgezondheid beschik niet over andere cijfers i.v.m. hacking of cyberaanvallen enz. Er is geen IDS of IPS. Er zijn geen cijfers gekend in verband met cyberaanvallen. 

3) De FOD Volksgezondheid installeert McAfee VirusScan Enterprise 8.8 en SiteAdvisor Enterprise 3.5. Deze versie worden constant bijgewerkt. Er is een supportcontract waarop een beroep kan gedaan worden in geval van problemen.  De service omvat ook een alertfunctie die verwittigingen uitstuurt van zodra dreigingen ergens gekend zijn. Er zijn geen extra’s. 

Voor het netwerk is er voor de Firewall een Cisco ASA 5550, de proxy  BlueCoat ProxySG Model 810-5. De functie Reverse Proxy wordt opgenomen door F5 BIG-IP 3900 LTM en voor de connectie op het interne netwerk van buiten af (SSLVPN functie) wordt een Juniper Secure Access SA-4500 ingzet. Al deze apparatuur is afgedekt door onderhoudscontracten en de bijhorende abonnementen voor het up-to-date houden van de checklijsten. 

4) Toepassingen die verhoogde security-eisen hebben zoals REACH beschikken over geëncrypteerde verbindingen voor de uitwisseling van data, de data worden ook geëncrypteerd op de eindgebruikersconfiguraties. 

5) Het personeel is alert voor deze problematiek. De problemen dienen gemeld te worden aan de Security Officer via interne communicaties. ICT beschikt niet over cijfers i.v.m. meldingen of klachten. 

De FOD Sociale Zekerheid: 

1. a)  Ja,

b) Ja. 

2. Ja. (geen virussen, geen spyware, geen hackers). 

3. De FOD Sociale Zekerheid gebruikt professionele “Enterprise” versies van beveiligings-hard en -software, zodat men kan stellen dat er extra informaticabeveiliging is. 

4.         De FOD Sociale Zekerheid is aangesloten op het Extranet van de Sociale Zekerheid. De uitwisseling van vertrouwelijke data met andere organisaties van de Sociale Zekerheid gebeurt via dit apart, beveiligd netwerk. Alle gegevens worden wel uitgewisseld via een zelfde beveiligde, ontdubbelde centrale verbinding naar het Extranet. 

5. a) Het IT-personeel, verantwoordelijk voor de informatieveiligheid wordt specifiek opgeleid om te gaan met deze bedreigingen. Eindgebruikers worden geïnformeerd  over mogelijke bedreigingen.

b)  Ja, aan de centrale helpdesk.

c)  Ja, geen meldingen i.v.m. virussen, spyware of hackers. 

Wat betreft de openbare instellingen van sociale zekerheid die onder mijn bevoegdheid staan: 

Rijksinstituut voor Ziekte- en Invaliditeitsverzekering 

1.) Het RIZIV heeft beveiliging ingebouwd op alle componenten van het netwerk.

Enerzijds is het netwerk van het RIZIV geïntegreerd in het extranet van de Sociale Zekerheid, beheerd door KSZ-Smals. Het extranet gebruikt een gelaagd security model en schermt de netwerken van de ISZ af via firewalls, IPS (Intrusion Prevention System), DMZ, proxy servers, anti-malware, enz.  

Anderzijds is het netwerk van het RIZIV op een gelijkwaardige wijze afgeschermd van het extranet door een gelaagd security model (gebruik van 2 niveaus van firewalls, IPS, DMZ, proxy servers, anti-malware, etc.). De anti-malware van het RIZIV en van het extranet zijn van twee verschillende vendors.  

De toegang tot Internet is enkel mogelijk via het extranet dewelke op zijn beurt beroep doet op FedMan voor Internettoegang.  

Het RIZIV is vandaag een nieuwe netwerkarchitectuur aan het implementeren die een nog hogere beveiliging moet bieden en het RIZIV moet klaar maken voor nieuwe technologieën en trends zoals BYOD en Cloud. Dit beveiligingsmodel is een “trusted zone” model waarbij alle communicatie tussen de servers punt-tot-punt wordt beveiligd via firewall. Bovendien worden alle servers “gehardened” (verwijderen van functionaliteit die niet nodig is maar eventueel wel misbruikt zou kunnen worden door hackers of malware). 

Op de PC’s en laptops zijn tal van beveiligingsfeatures geïnstalleerd zoals: anti-malware, een software firewall, anti-diefstalbeveiliging, toegangsbeveiliging op niveau van BIOS, harde schijf en besturingsysteem, beveiliging tegen aansluiten van extern USB geheugen, versleuteling van informatie op de harde schijf, machine- en gebruikerscertificaat, en Active Directory Group policies.  

2.) Meldingen van de anti-malware software (virussen, spyware, enz.) worden centraal opgevolgd, en deze informatie komt bij de veiligheidsconsulent terecht. Het RIZIV gaat voor een maximale preventieve benadering op het vlak van security. Zo hebben we een spectaculaire daling van het aantal ontdekte virussen vastgesteld, na het installeren van software die het aansluiten van persoonlijke USB-media blokkeert.

Cyberaanvallen worden op 2 niveaus opgespoord en gedetecteerd. Intrusion Prevention Systemen (IPS) op het extranet worden beheerd door de Smals en alerts m.b.t. het RIZIV worden doorgestuurd naar het RIZIV voor onderzoek. Onze eigen IPS systemen detecteren eveneens alerts en blokkeren in een aantal gevallen de communicatie. We hebben geen cijfers van cyberaanvallen omdat al onze alerts tot nu toe “vals positieven” waren (alerts die na analyse geen kwaadwillige oorzaak blijken te hebben). 

We zijn in het verleden reeds een aantal malen op de hoogte gebracht door de beheerders van het extranet van het circuleren van gevaarlijke nieuwe virussen of van pogingen tot cyberaanval op het netwerk van de sociale zekerheid. Afhankelijk van de waarschuwing wordt een gepaste actie ondernomen (bvb. extra controle op logfiles IPS, waarschuwing naar eindgebruikers, enz.). 

3.) Het RIZIV gebruikt “Enterprise” versies van securityproducten. De antivirussoftware en de personal firewall komt van een vendor die ook software maakt voor particulieren.

Daarnaast zijn er veel beveiligingsmaatregelen die enkel in een professionele context worden gebruikt zoals de specifieke netwerkarchitectuur met firewalling, hardening, punt-tot-punt beveiliging, de IPS systemen, en op niveau van de PC’s een beveiliging tegen het aansluiten van USB geheugen, versleuteling van informatie op de harde schijf, machine- en gebruikers-certificaten, Active Directory Group policies om de impact vector op de systemen te verkleinen, enz. 

Alle beveiligingsmaatregelen en verbeteracties worden beheerd via een continu proces voor risicobeheersing gebaseerd op de ISO 27001 norm (zie antwoord op punt 5 van de vraag). 

4.) Uitwisseling tussen ISZ gebeurt via het extranet van de sociale zekerheid, uitwisseling met andere federale instanties gebeurt via FedMan, en uitwisseling met externe partners gebeurt via het Internet.

Het uitwisselen van persoonsgegevens is strikt gereglementeerd door de KSZ en gebeurt via web services op het extranet. e-Health wordt gebruikt voor uitwisseling met partners in de sector van de gezondheidszorg. Voor uitwisseling van gegevens tussen het RIZIV en de landsbonden (mutualiteiten) wordt Carenet gebruikt, een beveiligde en versleutelde communicatie over het Internet. Daarnaast worden voor uitwisselingen van vertrouwelijke gegevens over externe netwerken beveiligde technieken zoals SSL, SFTP en VPN gebruikt. 

Uitwisseling via USB-media is enkel toegelaten op door het RIZIV verstrekte memory sticks met hardwareversleuteling, zodat er bij verlies of diefstal geen gegevens in verkeerde handen kunnen vallen. 

In het RIZIV wordt de uitwisseling van gegevens vastgelegd in richtlijnen in het kader van het SafeInfo project, dat een continu proces voor verbetering van informatieveiligheid uitbouwt, gebaseerd op de norm ISO 27001. 

5.) In het RIZIV loopt een project dat de voortdurende verbetering van informatieveiligheid bestendigt, gebaseerd op de ISO norm 27001. De organisatie hiervan berust bij de informatieveiligheidsconsulent die per dienst ondersteund wordt door een coördinator voor informatieveiligheid. Deze personen komen minstens maandelijks samen in een werkgroep die zorgt voor het operationaliseren van de nodige basisprocessen ter opvolging en verbetering van informatieveiligheid en die hierover rapporteren naar de directie. 

Het informatieveiligheidsbeleid is hoofdzakelijk gebaseerd op een continu proces voor risicobeheersing dat aanleiding geeft tot verbeteringsacties waaronder concrete beveiligingsmaatregelen voor processen en systemen, maar ook bewustmaking van de medewerkers per specifieke doelgroep. Medewerkers die rechtstreeks te maken hebben met het verbeteren en organiseren van de beveiliging krijgen daarvoor gerichte opleidingen. 

Het beleid wordt ondersteund door een aantal veiligheidsrichtlijnen die aan alle medewerkers gecommuniceerd worden. Vaststellingen van afwijkingen ten opzichte van deze richtlijnen kunnen door de medewerkers gerapporteerd worden naar een centrale servicedesk, waarop een incidenten beheerproces in werking treedt. Er worden een vijftal incidenten per maand door medewerkers geregistreerd.  

Rijksdienst voor Sociale Zekerheid  

De Rijksdienst voor Sociale Zekerheid sluit zich aan bij het antwoord dat in deze wordt gegeven door de Kruispuntbank voor de Sociale Zekerheid. 

De Rijksdienst werkt immers via de netwerken die door de Kruispuntbank ter beschikking zijn gesteld en werkt bijgevolg volgens dezelfde regels en veiligheidsnormen. 

Hulpkas voor ziekte- en invaliditeitsverzekering 

1.) Alle computers zijn beschermd (antivirus, proxy filtering, enz.) 

2.) Het aantal geregistreerde incidenten bedraagt min of meer 40 per maand. 

3.) De HZIV gebruikt zowel oplossingen beschikbaar voor particulieren als oplossingen voor professionals (symantec antivirus, iptables firewall, enz.). 

4.) De uitwisselingen gebeuren via aparte beveiligde netwerken voor sommige derden, en voor de andere via beveiligde (encryptie) kanalen via Internet. 

5.) Het personeel is  gesensibiliseerd voor dit soort bedreigingen. Het arbeidsreglement bepaalt dat zij eventuele incidenten of verdachte gebeurtenissen met betrekking tot computerbeveiliging dienen te melden. Gemiddeld wordt er één incident per maand gerapporteerd. 

Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten 

1.) De RSZPPO heeft overeenkomstig de wet op de KSZ een dienst voor informatieveiligheid opgericht en een adviseur inzake informatieveiligheid aangesteld. 

Zoals voorgeschreven in de minimale normale normen voor informatieveiligheid van de Sociale Zekerheid van België, heeft de RSZPPO in ditzelfde kader geleidelijk aan verschillende maatregelen ter bevordering van de veiligheid getroffen op zowel het niveau van de servers als dat van de individuele werkposten en het lokale netwerk. 

Het lokale netwerk van de RSZPPO heeft enkel verbinding met de buitenwereld via de netwerken van de Sociale Zekerheid (netwerk KBSZ en Extranet van de Sociale Zekerheid), dewelke eveneens aan de hand van verschillende efficiënte voorzieningen beschermd zijn. 

2.) Via de verschillende bestaande systemen is het mogelijk zowel sporen als cijfers van cyberaanvallen en andere verdachte activiteiten te bekomen.  

Aangezien er in het algemeen zelden grote problemen zijn hieromtrent, zijn deze cijfers echter momenteel nog niet samengebundeld of bevestigd. Dit is echter wel voorzien voor de toekomst.  

3.) In tegenstelling tot de toepassingen die door het grote publiek worden gebruikt, is de beveiligingssoftware van de RSZPPO van professionele aard, en beschikt deze over een gecentraliseerd beheer.  

Op alle materiaal waarmee men verbinding kan maken met het netwerk van de RSZPPO, zijn de standaard of gevalideerde veiligheidsvoorzieningen geïnstalleerd en is het niveau ervan gecontroleerd. 

Tot op heden is de algemene regel, op enkele zeldzame gevallen na die gekend zijn en in behandeling zijn, dat het materiaal waarmee men verbinding kan maken met de RSZPPO, eigendom is van de Rijksdienst en door hem wordt beheerd. Dit materiaal mag enkel in een professionele context worden gebruikt en binnen de door de RSZPPO toegestane en gecontroleerde grenzen (filters van websites bijvoorbeeld).  

4.) Alle informatie-uitwisseling gebeurt exclusief, en eventueel in functie van het soort gegevens, via de beveiligde kanalen van de Sociale Zekerheid en met respect voor zowel de strengste veiligheidsregels die van kracht zijn in dit kader als voor de wetten op de bescherming van de privacy. Indien er zich een specifiek geval voordoet dat een bijzondere behandeling vraagt, dan wordt dit opgelost met respect voor de geldende procedures voor afwijkingen. 

5.) Het betrokken personeel heeft de nodige competenties binnen dit vakgebied en kan eventueel een beroep doen op gepaste externe competenties indien nodig. Onvoorziene gebeurtenissen inzake veiligheid worden, voor zover technisch mogelijk, automatisch gemeld aan de betrokken partijen.

Zoals reeds werd aangegeven, zijn de cijfers periodiek beschikbaar en kunnen deze worden geraadpleegd via de interne veiligheidsdienst en de systeemverantwoordelijken, maar doordat deze gebeurtenissen slechts zelden voorkomen, was het tot op heden niet gerechtvaardigd om meer specifieke onderzoeksprocedures op te stellen. Het individueel risico van elke OISZ wordt in grote mate beheerst door de naleving van de minimale veiligheidsnormen en de aanzienlijke veiligheidsmiddelen die in de gemeenschappelijke netwerken werden geïnvesteerd (KBSZ en Extranet). 

Hulp- en Voorzorgskas voor Zeevarenden 

1.) Het hele lokale netwerk van de HVKZ is afgeschermd van het internet door middel van een Firewall. 

2.) De logfiles van de Firewall bevatten al deze informatie. 

3.) Op de Firewall zijn specifieke programma’s actief die het intern netwerk beveiligen. Daarnaast is ook elke computer uitgerust met een eigen beveiligingsprogramma. 

4.) Uitwisseling van vertrouwelijke data gebeurt via een Secure File Transfer Protocol (SFTP). 

5.) De personeelsleden van de HVKZ worden niet specifiek opgeleid om om te gaan met mogelijke bedreigingen. Als zeer kleine OISZ (23 medewerkers) zijn vastgestelde onregelmatigheden zeer snel bij iedereen bekend.

Er wordt door de HVKZ geen cijfermateriaal bijgehouden over meldingen of klachten door het personeel. 

Dienst voor de Overzeese Sociale Zekerheid 

1.) Het hele lokale netwerk is beveiligd: op alle pc’s en servers is een antivirus software geïnstalleerd. 

2.) De informatieveiligheidsconsulent van de DOSZ registreert alle aanvallen die gericht zijn tegen de dienst. 

3.) De beveiligingsprogramma’s die de DOSZ gebruikt kunnen ook door particulieren gebruikt worden. Er is echter een extra bescherming: de DOSZ behoort namelijk tot het Extranet van de Sociale Zekerheid waarop extra beveiliging aanwezig is. 

4.) De uitwisseling van de data verloopt via een beveiligd netwerk, namelijk het Extranet van de Sociale Zekerheid. 

5.) Het personeel wordt via interne mailings van informatie voorzien betreffende de mogelijke bedreigingen. Er wordt gevraagd steeds waakzaam te zijn.

Tevens wordt aan het personeel gevraagd de problemen te melden aan de ICT dienst en aan de informatieveiligheidsconsulent indien zij worden vastgesteld.

De informatieveiligheidsconsulent houdt het aantal meldingen en/of klachten bij. 

Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen 

1.) Slechts enkele computers van de Controledienst zijn met het internet verbonden en deze worden beveiligd door diverse firewalls en een proxy server. Bovendien is te noteren dat de internetsite van de Controledienst lokaal gehost wordt en dat de Controledienst thans niet beschikt over een vast internetadres. 

2.) Een verslag van de detecties en van de status van de antivirus (antimalware, antispyware, firewall, enz.) wordt dagelijks door de informaticadienst opgemaakt. 

3.) De data en de computers waarmee de Controledienst werkt, worden beveiligd door een professionele software met een netwerkdistributie van de installaties en van de bijwerkingen en een globaal overzicht van de beveiliging van de werkposten. 

4.) De transmissie aan de Controledienst door de mutualistische entiteiten, die hij controleert, van sommige data (bijdragetabellen en jaarrekeningen) vindt plaats via een specifiek netwerk en volgens een systeem van "call-back". De uitwisseling van de anderen gegevens gebeurt via de centrale verbinding. 

5.) Enkel de leden van de informaticadienst zijn opgeleid om het hoofd te bieden aan cyberaanvallen. De andere personeelsleden worden verzocht de informaticadienst in te lichten in geval van probleem. De Controledienst beschikt niet over statistieken inzake deze mededelingen of klachten. 

Kruispuntbank van de Sociale Zekerheid + eHealth-platform 

Er dient een onderscheid te worden gemaakt tussen enerzijds het LAN van de Kruispuntbank van de Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, waaronder de mailservers, de fileservers en de printservers) en anderzijds de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (deze uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur of “SOA architecture”). 

Voor de beveiliging van zowel het lokale netwerk als de hogervermelde informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld. Voor sommige systemen wordt gebruik gemaakt van de “enterprise versie” van middelen waarvan ook particulieren gebruik maken terwijl voor andere systemen gebruik wordt gemaakt van middelen die enkel voor de bedrijfswereld beschikbaar zijn. 

De Kruispuntbank van de Sociale Zekerheid beheert aldus een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid. 

Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies (HTTP/HTTPS/S-FTP, enz.), de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web, mail, enz. op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector tevens een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid wordt beveiligd door middel van een granulair gebruikers- en toegangsbeheer. 

De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt ook het centrale beheer van anti-malware software plaats. 

Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System). Er is ook een overkoepelend management- en monitoringsysteem voorzien om veiligheidsincidenten te kunnen detecteren en corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd. 

De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen, te raadplegen op de website van de Kruispuntbank van de Sociale Zekerheid, zijn voor herziening vatbaar en worden aangepast in functie van de evoluties die zich op regelgevend, technisch of ander vlak voordoen. 

De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS). Deze is algemeen gebaseerd op de ISO 2700X-reeks internationale normen (zie onder meer http://www.27000.org/).