SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 décembre 2012 13 december 2012
________________
Question écrite n° 5-7570 Schriftelijke vraag nr. 5-7570

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au vice-premier ministre et ministre des Pensions

aan de vice-eersteminister en minister van Pensioenen
________________
Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel Overheidsdiensten - Cyberaanvallen - Computerbeveiliging - Beveiligingssoftware - Opleiding personeel 
________________
criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère
computercriminaliteit
gegevensbescherming
officiële statistiek
computervirus
Belnet
ministerie
________ ________
13/12/2012Verzending vraag
15/1/2013Antwoord
13/12/2012Verzending vraag
15/1/2013Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-7566
Ook gesteld aan : schriftelijke vraag 5-7567
Ook gesteld aan : schriftelijke vraag 5-7568
Ook gesteld aan : schriftelijke vraag 5-7569
Ook gesteld aan : schriftelijke vraag 5-7571
Ook gesteld aan : schriftelijke vraag 5-7572
Ook gesteld aan : schriftelijke vraag 5-7573
Ook gesteld aan : schriftelijke vraag 5-7574
Ook gesteld aan : schriftelijke vraag 5-7575
Ook gesteld aan : schriftelijke vraag 5-7576
Ook gesteld aan : schriftelijke vraag 5-7577
Ook gesteld aan : schriftelijke vraag 5-7578
Ook gesteld aan : schriftelijke vraag 5-7579
Ook gesteld aan : schriftelijke vraag 5-7580
Ook gesteld aan : schriftelijke vraag 5-7581
Ook gesteld aan : schriftelijke vraag 5-7582
Ook gesteld aan : schriftelijke vraag 5-7583
Ook gesteld aan : schriftelijke vraag 5-7584
Ook gesteld aan : schriftelijke vraag 5-7566
Ook gesteld aan : schriftelijke vraag 5-7567
Ook gesteld aan : schriftelijke vraag 5-7568
Ook gesteld aan : schriftelijke vraag 5-7569
Ook gesteld aan : schriftelijke vraag 5-7571
Ook gesteld aan : schriftelijke vraag 5-7572
Ook gesteld aan : schriftelijke vraag 5-7573
Ook gesteld aan : schriftelijke vraag 5-7574
Ook gesteld aan : schriftelijke vraag 5-7575
Ook gesteld aan : schriftelijke vraag 5-7576
Ook gesteld aan : schriftelijke vraag 5-7577
Ook gesteld aan : schriftelijke vraag 5-7578
Ook gesteld aan : schriftelijke vraag 5-7579
Ook gesteld aan : schriftelijke vraag 5-7580
Ook gesteld aan : schriftelijke vraag 5-7581
Ook gesteld aan : schriftelijke vraag 5-7582
Ook gesteld aan : schriftelijke vraag 5-7583
Ook gesteld aan : schriftelijke vraag 5-7584
________ ________
Question n° 5-7570 du 13 décembre 2012 : (Question posée en néerlandais) Vraag nr. 5-7570 d.d. 13 december 2012 : (Vraag gesteld in het Nederlands)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

 

Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

 
Réponse reçue le 15 janvier 2013 : Antwoord ontvangen op 15 januari 2013 :

L’Office national des Pensions (ONP) a l’honneur de communiquer les réponses suivantes à vos questions :

1.     Le réseau local complet de l’ONP est sécurisé sur le plan informatique. Comme toutes les institutions de sécurité sociale du réseau primaire, l’ONP est connecté à l’Extranet de la sécurité sociale (voir pour de plus amples informations : http://www.bcss.fgov.be/binaries/documentation/nl/documentation/webservices_general/03_ksz_bcss_webservices_aansluitingsmogelijkheden_nl.pdf).

Ce réseau de sécurité sociale est un réseau sécurisé entre les institutions de sécurité sociale pour des échanges de données aussi bien structurées (par exemple données sociales de personnes) que non structurées (par ex. mail). La connexion de l’ONP à internet se fait via ce réseau pour le trafic aussi bien entrant que sortant. Chaque institution connectée a également la responsabilité de protéger sa propre infrastructure aussi bien que possible ( voir pour davantage d’informations http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_01.html).

L’ONP a dès lors pris également des mesures pour protéger sa propre infrastructure, tant au niveau du périmètre que dans le domaine de l’infrastructure interne.

L’ONP partage cette infrastructure avec le Service des pensions du secteur public (SdPSP). Le SdPSP a outsourcé ses serveurs Web internet et ceux-ci ne sont donc pas repris dans le scope.  

2.     L’ONP dispose d’un important matériel chiffré.  

L’ONP se limite à un rapport sur les tentatives d’attaques sur ses serveurs Web (voir en annexe). Dans ce rapport, il n’est cependant fait aucune distinction entre attaques ‘véritables’ et bugs.  

3.     La sécurité informatique de l’ONP va plus loin que les simples programmes de protection pour des particuliers. 

L’infrastructure actuelle de protection est constituée des composantes suivantes :

  • firewall gateway et management

  • authentification services (avec ou sans EID, mais toujours avec une forte authentification)

  • intrusion detection and prevention

  • loadbalancing pour serveurs Web

  • forward proxy

  • URL filtering

  • reverse proxy ou webapplication firewall

  • mailrelay

  • antivirus ou anti-malware. 

Les propres agents de l’ONP assurent la gestion journalière. Le support et l’entretien de cette infrastructure sont assurés par une firme spécialisée en sécurité informatique. A cet effet, un contrat pour 5 ans a été conclu en 2009, par le biais d’une procédure d’adjudication avec appel d’offres restreint. 

Si de nouveaux développements se déroulent durant cette période (2009-2014), il est difficile de les suivre en raison des restrictions budgétaires. 

4.     L’échange de données confidentielles entre institutions ou firmes se fait toujours par des réseaux sécurisés distincts. S’il s’agit de données sociales de personnes, ceci doit se faire soit via la BCSS soit directement après autorisation du Comité sectoriel. Les connexions sont toujours sécurisées avec une puissante encryption et des certificats (X.509 de Fedict). 

L’échange de données confidentielles entre l’ONP et le (candidat) pensionné est possible via le site sécurisé https://www.mypension.be. La sécurisation se fait ici avec authentification sur le portail de la sécurité sociale (EID) et l’application Web firewall. 

5.     Le personnel est formé pour gérer ces menaces éventuelles. Il est demandé au personnel de mentionner pareils problèmes. Les attaques sont toutefois le plus souvent d’un niveau technique raisonnablement élevé et il est dès lors très exceptionnel qu’un simple utilisateur mentionne une attaque qui n’ait pas été identifiée par le logiciel de sécurité. Un simple utilisateur ne peut pas non plus toujours faire la différence entre le mauvais fonctionnement normal du software et un malware. Un simple utilisateur pourra aussi difficilement évaluer la criticité du mauvais fonctionnement ou du malware. 

Aucun matériel chiffré spécifique n’est tenu à jour sur les messages ou plaintes. Tous les messages et plaintes sont toutefois tenus à jour dans la banque de données du Service Desk. 

Pour ce qui concerne le SdPSP :

1.     Tous les PC’s du SdPSP sont munis du programme anti-virus Microsoft Forefront. Les bases de données des virus sont mises journalièrement à jour.  

2.     Les dispositifs permettent de filtrer la quasi-totalité des problèmes majeurs. Le programme anti-spam permet de filtrer plus de 90 % des courriers indésirables.  

Au cours de l’année 2012, une seule intrusion de virus a été signalée au SdPSP et a pu être immédiatement maîtrisée grâce au programme anti-virus de chaque PC.  

Notre fournisseur d’infrastructure, l’ONP, se limite à un rapport sur les tentatives d’attaques sur ses serveurs Web (voir en annexe). Dans ce rapport, il n’est cependant fait aucune distinction entre attaques ‘véritables’ et bugs.  

3.     Les accès Internet des utilisateurs se font exclusivement au travers des Firewall et Reverse Proxy de l’extranet de la Sécurité Sociale. Ces dispositifs techniques permettent d’éviter que la grosse majorité des problèmes informatiques (virus, malwares, spams) ne parviennent aux postes de travail des agents. Les problèmes résiduels éventuels sont traités par l’anti-virus de chaque PC. 

En ce qui concerne la protection des données des sites web contenant exclusivement des informations à caractère public et général, les “best practices” classiques sont d’application : utilisation des versions récentes des programmes, installation régulière des patches de sécurité, pas d’accès direct aux banques de données. Les données nécessitant suite à leur nature confidentielle des protections complémentaires sont protégées à l’aide de certificats, technologies d’encryption, accès par carte d’identité électronique.  De plus, les serveurs sont en fonction de leur contenu, soumis à des audits réguliers de sécurité réalisés par des sociétés spécialisées.   

4.     Les échanges de données entre organismes de sécurité sociale se font exclusivement à l’intérieur de l’extranet de la sécurité sociale, totalement isolé du monde extérieur.  

Les serveurs accessibles de l’extérieur sont isolés au sein d’une zone démilitarisée (DMZ) permettant de réaliser un filtrage complémentaire des accès aux informations stockées au sein du SdPSP. 

5.     Le personnel du SdPSP est, dans le cadre de sa formation, conscientisé à la problématique de la sécurité informatique. Un nouveau plan de communication et de sécurité est par ailleurs en cours de finalisation.  

Une alerte majeure de sécurité est immédiatement communiquée à l’ensemble des utilisateurs via l’intranet. Les problèmes individuels sont signalés par les utilisateurs à l’aide d’un outil de service desk intégré. Cet outil permet de suivre individuellement l’évolution de la résolution du problème. 2 541 questions ont ainsi été posées via le service desk depuis le début de l’année 2012. Seule une vingtaine de cas étaient des questions en rapport avec la sécurité.

De Rijksdienst voor Pensioenen (RVP) heeft de eer volgende antwoorden op uw vragen mede te delen :

   1.      Het volledige lokale netwerk van de RVP wordt beveiligd op het vlak van informatica. Zoals alle sociale zekerheidsinstellingen van het primaire netwerk is de RVP aangesloten op het Extranet van de sociale zekerheid ( zie voor uitgebreide informatie : http://www.bcss.fgov.be/binaries/documentation/nl/documentation/webservices_general/03_ksz_bcss_webservices_aansluitingsmogelijkheden_nl.pdf).

Dit netwerk van de sociale zekerheid is een beveiligd netwerk tussen de instellingen van de sociale zekerheid voor zowel gestructureerde (bijvoorbeeld sociale persoonsgegevens) als ongestructureerde gegevensuitwisselingen (bijvoorbeeld mail). De verbinding van de RVP naar het internet geschiedt via dit netwerk zowel voor ingaand als uitgaand verkeer. Elke aangesloten instelling draagt tevens de verantwoordelijkheid om de eigen infrastructuurzo goed mogelijk te beveiligen ( zie voor meer informatie http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_01.html).

De RVP heeft daarom ook maatregelen genomen om de eigen infrastructuur te beveiligen, zowel op het vlak van de perimeter als de interne infrastructuur.

De RVP deelt deze infrastructuur met de Pensioendienst voor de overheidssector (PDOS). PDOS heeft haar internet webservers geoutsourced en deze worden dus niet in de scope opgenomen. 

   2.        De RVP beschikt over omvangrijk cijfermateriaal.  

De RVP beperkt zich tot een rapport betreffende pogingen tot aanvallen op haar webservers (zie in bijlage). In dit rapport wordt evenwel geen onderscheid gemaakt tussen ‘echte’ aanvallen en bugs.  

   3.        De informaticabeveiliging van de RVP gaat verder dan de gewone beveiligingsprogramma’s voor particulieren. 

De huidige beveiligingsinfrastructuur bestaat uit de volgende componenten :

  • firewall gateway en management

  • authentication services (met of zonder EID, maar steeds wel met sterke authenticatie)

  • intrusion detection and prevention

  • loadbalancing voor webservers

  • forward proxy

  • URL filtering

  • reverse proxy of webapplication firewall

  • mailrelay

  • antivirus of anti-malware. 

De eigen personeelsleden van de RVP staan in voor het dagdagelijks beheer. De ondersteuning en het onderhoud van deze infrastructuur wordt verzorgd door een bedrijf gespecialiseerd in informaticabeveiliging. Hiervoor werd een contract voor 5 jaar in 2009 afgesloten, via een aanbestedingsprocedure met beperkte offerteaanvraag. 

Indien er nieuwe ontwikkelingen gebeuren gedurende deze periode (2009-2014) is het omwille van de budgettaire beperkingen moeilijk om deze op te volgen. 

     4.      De uitwisseling van vertrouwelijke data tussen instellingen of bedrijven gebeurt steeds via aparte beveiligde netwerken. Indien het gaat om sociale persoonsgegevens, dan dient dit hetzij via de KSZ of hetzij rechtstreeks na machtiging van het Sectoraal Comité te geschieden. De verbindingen zijn steeds met sterke encryptie en certificaten (X.509 van Fedict) beschermd. 

De uitwisseling van vertrouwelijke data tussen de RVP en de (kandidaat) gepensioneerde kan via de beveiligde site https://www.mypension.be.De beveiliging geschiedt hier met authenticatie op het sociale zekerheidsportaal (EID) en webapplication firewall. 

   5.      Het personeel wordt opgeleid om om te gaan met deze mogelijke bedreigingen. Het personeel wordt gevraagd om dergelijke problemen te vermelden. De aanvallen zijn echter meestal redelijk hoog technisch en het is dan ook zeer uitzonderlijk dat een gewone gebruiker een aanval meldt die nog niet door de beveiligingssoftware werd geïdentificeerd. Een gewone gebruiker kan ook niet altijd het onderscheid maken tussen de normale slechte werking van de software en malware. Een gewone gebruiker zal ook moeilijk de criticiteit van de slechte werking of malware kunnen inschatten. 

Over meldingen of klachten wordt geen specifiek cijfermateriaal bijgehouden. Alle meldingen en klachten worden echter wel bijgehouden in de databank van de Service Desk. 

Voor wat de PDOS betreft:

1.    Alle PC’s van de PDOS zijn uitgerust met het anti-virus programma « Microsoft Forefront ». De database met betrekking tot de virussen wordt dagelijks bijgewerkt. 

2.    De infrastructuur laat toe om praktisch alle belangrijke problemen te filteren. Het anti-spam programma filtert meer dan 90 % van de ongewenste post.  

In de loop van het jaar 2012 werd er slechts één virusaanval bij de PDOS gemeld die onmiddellijk werd bedwongen door het anti-virus programma op elke PDOS PC. 

De RVP, die zorgt voor de infrastructuur van de PDOS,beperkt zich tot een rapport betreffende pogingen tot aanvallen op haar webservers (zie in bijlage). In dit rapport wordt evenwel geen onderscheid gemaakt tussen ‘echte’ aanvallen en bugs.  

3.    De toegang van de gebruikers tot het Internet wordt exclusief geregeld via de Firewall en de Reverse Proxy van het Extranet van de Sociale Zekerheid. Met deze infrastructuur wordt vermeden dat de meeste informatica problemen (virus, malware, spam, enz.) op de werkstations van de gebruikers voorkomen. De eventuele overblijvende problemen worden behandeld door de anti-virus software op elke PC. 

De gegevens op de websites hebben een openbaar en algemeen karakter. Op het vlak van beveiliging zijn hier de “best practices” van toepassing: gebruik van de meest recente versies van de programma’s, regelmatige installatie van de « security patches », geen directe toegang tot de databanken. Confidentiële gegevens waarvoor bijkomende beveiliging moet worden voorzien, worden beveiligd door middel van certificaten, encryptie, toegang via elektronische identiteitskaart. Daarenboven worden de servers – in functie van hun inhoud - regelmatig onderworpen aan audits door gespecialiseerde firma’s.  

4.    Het uitwisselen van gegevens tussen de verschillende organismen van de Sociale Zekerheid gebeurt enkel binnen het Extranet van de Sociale Zekerheid dat volledig geïsoleerd is van de buitenwereld. 

De servers waarvoor een externe toegang noodzakelijk is, zijn volledig geïsoleerd binnen een gedemilitariseerde zone (DMZ) zodat een bijkomende filter is ingebouwd wat de toegang betreft van de binnen de PDOS opgeslagen informatie.  

5.    In het kader van de vorming wordt het personeel van de PDOS bewust gemaakt van de problematiek inzake informaticaveiligheid. Een nieuw communicatie- en veiligheidsplan wordt trouwens momenteel gefinaliseerd. 

Belangrijke meldingen op het vlak van veiligheid worden onmiddellijk via het Intranet aan de gebruikers doorgespeeld. Individuele problemen worden via een geïntegreerde Service Desk door de gebruiker zelf gemeld. Deze “tool” laat toe om individueel de evolutie van de oplossing van het probleem op te volgen. Sinds het begin van 2012 werden zo 2541 vragen ingediend bij de Service Desk. Een twintigtal hadden betrekking op het onderwerp veiligheid.