SÉNAT Question écrite n° 5-7572 - SENAAT Schriftelijke vraag nr. 5-7572

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2012-2013

Zitting 2012-2013

________

13 décembre 2012

13 december 2012

________

Question écrite n° 5-7572

Schriftelijke vraag nr. 5-7572

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la vice-première ministre et ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen

________

Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel

Overheidsdiensten - Cyberaanvallen - Computerbeveiliging - Beveiligingssoftware - Opleiding personeel

________

criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère

computercriminaliteit
gegevensbescherming
officiële statistiek
computervirus
Belnet
ministerie

________

13/12/2012	Verzending vraag
25/9/2013	Rappel
29/10/2013	Rappel
3/12/2013	Herkwalificatie
18/12/2013	Antwoord

13/12/2012	Verzending vraag
25/9/2013	Rappel
29/10/2013	Rappel
3/12/2013	Herkwalificatie
18/12/2013	Antwoord

________

Ook gesteld aan : schriftelijke vraag 5-7566
Ook gesteld aan : schriftelijke vraag 5-7567
Ook gesteld aan : schriftelijke vraag 5-7568
Ook gesteld aan : schriftelijke vraag 5-7569
Ook gesteld aan : schriftelijke vraag 5-7570
Ook gesteld aan : schriftelijke vraag 5-7571
Ook gesteld aan : schriftelijke vraag 5-7573
Ook gesteld aan : schriftelijke vraag 5-7574
Ook gesteld aan : schriftelijke vraag 5-7575
Ook gesteld aan : schriftelijke vraag 5-7576
Ook gesteld aan : schriftelijke vraag 5-7577
Ook gesteld aan : schriftelijke vraag 5-7578
Ook gesteld aan : schriftelijke vraag 5-7579
Ook gesteld aan : schriftelijke vraag 5-7580
Ook gesteld aan : schriftelijke vraag 5-7581
Ook gesteld aan : schriftelijke vraag 5-7582
Ook gesteld aan : schriftelijke vraag 5-7583
Ook gesteld aan : schriftelijke vraag 5-7584
Geherkwalificeerd als : vraag om uitleg 5-4358

________

Question n° 5-7572 du 13 décembre 2012 : (Question posée en néerlandais)

Vraag nr. 5-7572 d.d. 13 december 2012 : (Vraag gesteld in het Nederlands)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

Réponse reçue le 18 décembre 2013 :

Antwoord ontvangen op 18 december 2013 :

1) Sur toutes les machines Windows (tant les serveurs que les postes de travail/ configurations d'utilisateur final) du domaine du Service public fédéral (SPF) Santé publique, un agent McAfee est automatiquement installé. Ce programme installe McAfee VirusScan Enterprise 8.8 et SiteAdvisor Enterprise 3.5, et en assure les mises à jour.

Le réseau local est protégé par un pare-feu qui régule les connexions réseau depuis et à destination de l'internet. L'accès aux sites internet est filtré au moyen d'un proxy de façon à bloquer les accès à des sites connus comme "dangereux". L'application SSLVPN autorise uniquement des connexions VPN à condition de disposer d'un scanner antivirus actualisé actif installé sur le PC. Nos serveurs offrant des services au public/services externes (site web public, e-mail, applications telles que Portahealth et Absentéisme, etc.) sont protégés par un "reverse proxy".

2) Une surveillance permanente est assurée sur le scanner antivirus: les problèmes sont portés à l'attention des administrateurs système par des alertes, les menaces détectées sont traitées: suppression de fichiers ou de programmes ou nettoyage au moyen de l'antivirus. Des rapports à ce sujet sont disponibles (nombre de virus, nombre de programmes indésirables, logiciels espions et nombre de problèmes impossibles à préciser qui ont été détruits, etc.). Ces chiffres sont conservés pendant 3 mois, puis remplacés par d'autres.

Le SPF Santé publique ne dispose pas d'autres statistiques en matière de piratage ou de cyber-attaques, etc. Il n'existe aucun IDS ou IPS. Aucuns chiffres ne sont connus en matière de cyber-attaques.

3) Le SPF Santé publique installe McAfee VirusScan Enterprise 8.8 et SiteAdvisor Enterprise 3.5. Cette version est constamment mise à jour. Un contrat de support existe auquel il peut être fait appel en cas de problèmes. Le service comprend également une fonction d'alerte qui envoie des avertissements dès que des menaces sont connues quelque part. Il n'y a pas de modules supplémentaires.

Pour le réseau, il existe un Cisco ASA 5550 pour le pare-feu, ainsi que le proxy BlueCoat ProxySG Model 810-5. La fonction Reverse Proxy est assurée par F5 BIG-IP 3900 LTM et pour la connexion au réseau interne depuis l'extérieur (fonction SSLVPN), il est fait appel à Juniper Secure Access SA-4500. Tous ces outils sont couverts par des contrats de maintenance et les abonnements correspondants pour l'actualisation des check-lists.

4) Les applications assorties d'exigences de sécurité accrues telles que REACH disposent de liaisons cryptées pour l'échange de données, les données sont également cryptées sur les configurations d'utilisateur final.

5) Le personnel est sensibilisé à cette problématique. Les problèmes doivent être signalés au Security Officer par des messages internes. ICT ne dispose pas de chiffres concernant les problèmes signalés ou les plaintes.

Le SPF Sécurité Sociale

1. a) Oui,

b) Oui.

2. Oui. (absence de virus, de spyware et de « hackers »).

3. Le SPF Sécurité sociale utilise des versions professionnelles “Enterprise” des matériels et logiciels de sécurisation. Il s’agit donc de protection informatique supplémentaire.

4. Le SPF Sécurité sociale est connecté à l’Extranet de la Sécurité Sociale. L’échange de données confidentielles avec d’autres organismes de la Sécurité Sociale s’effectue via ce réseau distinct et sécurisé. Toutes les données sont toutefois échangées via une même liaison centrale sécurisée dédoublée vers l’Extranet.

5. a) Le personnel IT, responsable de la sécurité informatique, est spécialement formé pour gérer ces menaces. Les utilisateurs finaux sont informés des menaces potentielles.

b) Oui, au helpdesk central.

c) Oui, pas de signalements de virus, de spyware ou de « hackers ».

En ce qui concerne les institutions publiques de sécurité sociale placées sous ma tutelle.

Institut national d’assurance maladie-invalidité

1.) L’INAMI a construit sa sécurité sur tous les composants de son réseau.

Tout d'abord, le réseau de l'INAMI est intégré dans l'extranet de la sécurité sociale, géré par la BCSS-Smals. L'extranet utilise un modèle de sécurité multicouche et protège les réseaux des IPSS par des pare-feu, des IPS (Intrusion Prevention System), DMZ, serveurs proxy, anti-malware, etc.

D'autre part, le réseau de l'INAMI est protégé d'une manière équivalente à celle de l'extranet par un modèle de sécurité multicouche (avec 2 niveaux de pare-feu, IPS, DMZ, serveurs proxy, anti-malware, etc.) Les logiciels anti-malware de l'INAMI et de l'extranet viennent de deux fournisseurs différents.

L'accès à Internet n'est possible que via l'extranet qui à son tour, utilise FedMAN pour l'accès Internet.

Afin de répondre à des besoins de sécurité encore plus élevée l’INAMI implémente une nouvelle architecture réseau et ce, afin de se préparer aux nouvelles technologies et aux tendances comme BYOD et le Cloud. Ce modèle de sécurité est un modèle de «trusted zone» (zone de confiance) dans lequel toutes les communications entre les serveurs se font de point-à-point et protégées par un pare-feu. De plus, tous les serveurs sont "hardenés" (suppression des fonctionnalités qui ne sont pas nécessaires mais qui pourraient être utilisées par des pirates informatiques ou des logiciels malveillants).

Sur les P.C. et les ordinateurs portables, différentes fonctionnalités de sécurité sont installées telles que: anti-malware, un logiciel pare-feu, antivol de sécurité, une sécurité d'accès niveau du BIOS, le disque dur et le système d'exploitation, la protection contre la connexion des mémoires USB, cryptage des informations sur le disque dur, les certificats machine et utilisateur et polices de groupe Active Directory.

2) Les rapports des logiciels anti-malware (virus, spyware, ...) sont analysés, et envoyés au consultant en sécurité. L’INAMI veut atteindre une approche préventive maximale dans le domaine de la sécurité. Depuis l'installation du logiciel interdisant la connexion des clés USB personnelles, nous constatons une réduction spectaculaire du nombre de virus détectés.

Les cyber-attaques sont décelées et détectées sur 2 niveaux. Les systèmes de prévention des intrusions (IPS) sur l'extranet sont gérés par les Smals et les alertes concernant l'INAMI sont redirigées vers l'INAMI pour analyse. Nos propres systèmes IPS détectent également les alertes et dans certains cas, bloquent la communication. Nous n'avons pas de chiffres de cyber-attaques, car toutes les alertes étaient jusqu'à présent, "faux positifs" (alertes qui après analyse ne semble pas avoir de raison malveillante).

Dans le passé, nous avons plusieurs fois été informés par les administrateurs de l'extranet de la circulation de virus dangereux ou de nouvelles cyber-attaques qui ont essayé de s’introduire sur le réseau de la sécurité sociale. Indépendamment de l'avertissement, une action appropriée a été mise en place (par exemple des contrôles supplémentaires sur les logfiles IPS, messages de mise en garde vers les utilisateurs finaux, etc.).

3.) L’INAMI utilise des versions "Enterprise" des produits de sécurité. Le logiciel antivirus et le pare-feu personnel viennent d’un vendeur qui offre également des produits de sécurité aux particuliers.

De plus, dans le contexte professionnel, plusieurs mesures de sécurité sont implémentées comme l'architecture réseau spécifique avec pare-feu, le « hardening », la sécurité point-à-point, les systèmes IPS et au niveau des PC une protection contre la connexion des mémoires USB, l’encryption des informations sur le disque dur par des certificats machine et utilisateur, des polices de groupe Active Directory pour minimiser l'impact sur les systèmes, etc.

Toutes les mesures de sécurité et des actions d'amélioration sont gérées par un processus continu de gestion des risques basée sur la norme ISO 27001 (voir la réponse au point 5 de la question).

4.) Les échanges entre les IPSS se font via l'extranet de la sécurité sociale. Les échanges avec d'autres organismes fédéraux se font via FedMAN, et les échanges avec les partenaires externes se font via l'Internet.

L'échange de données personnelles est strictement réglementé par la BCSS et se fait via des services Web sur l'extranet. e-Heath est utilisé pour l'échange avec les partenaires du secteur de la santé. Les échanges de données entre l'INAMI et les unions nationales (mutualités) se font via Carenet, une communication sécurisée et cryptée sur Internet. De plus, pour les échanges d'informations confidentielles sur les réseaux externes, les technologies telles que SSL, SFTP et VPN sont utilisées.

Les échanges via un support USB sont seulement autorisés sur les mémoires USB fournies par l’INAMI qui ont une encryption hardware. De cette façon, en cas de perte ou de vol, les données ne pourront pas être lues.

A l'INAMI, la politique d’échange d'informations est décrite dans des directives dans le cadre du projet SafeInfo, un processus continu d'amélioration de la sécurité des informations, basée sur la norme ISO 27001.

5.) A l'INAMI un projet d’amélioration continue de la sécurité de l'information est en cours, basé sur la norme ISO 27001. L'organisation de ce projet est sous la responsabilité du consultant en sécurité, qui pour chaque service, est soutenu par un coordinateur de la sécurité de l'information. Ces personnes se réunissent au moins une fois par mois dans un groupe de travail responsable de la mise en place des processus de base nécessaires pour réussir et améliorer la sécurité de l'information et de faire rapport à la direction.

La politique de sécurité de l'information est principalement basée sur un processus continu de gestion des risques qui conduit à des actions correctives, y compris de sécurité spécifique aux processus et systèmes, mais aussi à la sensibilisation des employés par groupes cibles spécifiques. Les employés qui sont directement liés à l'amélioration de l'organisation et de la sécurité reçoivent une formation spécifique.

Cette politique est appuyée par un certain nombre de consignes de sécurité qui sont communiquées à tous les employés. La constatation d’infractions à ces lignes directrices peut être signalée par les employés à un service desk central, où le processus de gestion des incidents sera démarré. Une moyenne de cinq incidents est enregistrée par mois.

Office national de sécurité sociale

L’Office national de sécurité sociale se rallie à la réponse donnée par la Banque-carrefour de la sécurité sociale en la matière.

L’Office utilise en effet les réseaux mis à sa disposition par la Banque-carrefour et applique dès lors les mêmes règles et normes de sécurité.

Caisse auxiliaire d'assurance maladie-invalidité

1.) Tous les ordinateurs disposent d’une protection (antivirus, filtrage proxy, etc.)

2.) Le nombre d’attaques, d’incidents constatés est de l’ordre de 40 par mois.

3.) La CAAMI utilise aussi bien des solutions disponibles pour les particuliers que pour les professionnels (symantec antivirus, iptables firewall, etc.).

4.) Les échanges s’effectuent via un réseau séparé et sécurisé pour certains partenaires, et pour d’autres via des tunnels sécurisés via l’internet.

5.) Le personnel est sensibilisé à ce genre de menaces. Le règlement du travail stipule qu’ils doivent rapporter tout incident ou événement suspect lié à la sécurité informatique. Le nombre d’incidents est en moyenne 1 incident par mois.

Office national de sécurité sociale des administrations provinciales et locales

1.) L’ONSSAPL, conformément à la loi sur la BCSS, a mis en place un service de sécurité de l’information, dont un conseiller en sécurité de l’information.

Dans ce même cadre, comme prescrit depuis toujours par les normes minimales de sécurité informatiques de la Sécurité Sociale de Belgique, l’ONSSAPL a progressivement mis en place divers composants sécuritaires tant au niveau des serveurs de chaque station de travail qu’au niveau du réseau local.

Le réseau local de l’ONSSAPL est connecté à l’extérieur exclusivement à travers des réseaux de la Sécurité Sociale (réseau BCSS et Extranet de la Sécurité sociale), lesquels sont également protégés par plusieurs dispositifs adéquats.

2.) Les divers systèmes en place permettent de disposer tant de traces que de chiffres quant aux agressions et autres activités suspectes.

Vu, pour la plupart, la rareté de problèmes relevants, ces chiffres ne sont toutefois actuellement ni concentrés ni consolidés mais il est prévu de réaliser ces opérations.

3.) Contrairement aux applications utilisées par le grand public, les logiciels de protection de l’ONSSAPL sont des versions professionnelles de ces outils comportant notamment une administration centralisée.

Sur tout matériel pouvant se connecter au réseau de l’ONSSAPL, les dispositifs de sécurité standards ou validés sont mis en place et leur niveau vérifié.

Jusqu’à présent, sauf à de rares exceptions près, connues et gérées, la règle générale est que tout le matériel qui peut se connecter à l’ONSSAPL est propriété de l’Institution et est géré par celle-ci. Ce matériel n’est utilisable que dans le cadre professionnel ou dans les limites autorisées et contrôlées par l’ONSSAPL (filtrage des accès web par exemple).

4.) Tous les échanges d’informations, et éventuellement en fonction du type de données, se font exclusivement à travers les canaux sécurisés de la Sécurité Sociale et dans le respect le plus strict tant des règles de sécurité en vigueur dans ce cadre que dans le respect des lois de protection de la vie privée. Si un cas spécifique devait se présenter et nécessiter un traitement particulier il serait résolu dans le respect des procédures de dérogation en place.

5.) Le personnel impliqué est compétent sur ce terrain et ferait éventuellement appel à des compétences externes adéquates, si besoin en était. La survenance d’événements de sécurité est , autant que techniquement possible, signalé de manière automatique aux intéressés.

Comme déjà précisé, des chiffres sont disponibles et consultés périodiquement par, notamment, le service interne de sécurité et les responsables des systèmes mais la rareté des événements n’a jusqu’à présent pas justifié de mettre en place des procédures d’examen plus pointues. Le risque individuel de chaque IPSS est considérablement réduit et contenu par le respect des normes minimales de sécurité et les importants moyens en place dans les réseaux communs (BCSS et Extranet).

Caisse de secours et de prévoyance en faveur des marins

1.) L’ensemble du réseau local de la CSPM est protégé du web par un Firewall.

2.) Les fichiers de consignation du Firewall contiennent déjà ces informations.

3.) Au niveau du Firewall, des programmes spécifiques assurent la protection du réseau interne. Chaque ordinateur est en outre équipé d’un programme de sécurisation propre.

4.) L’échange de données confidentielles est réalisé via un Secure File Transfer Protocol (SFTP).

5.) Les membres du personnel de la CSPM ne sont pas spécialement formés pour faire face à d’éventuelles menaces. Etant donné qu’il s’agit d’une très petite IPSS (23 collaborateurs), les irrégularités constatées sont rapidement connues de l’ensemble du personnel. La CSPM ne tient pas à jour de données chiffrées relatives aux signalements de problèmes ou de plaintes émanant du personnel.

Office de sécurité sociale d’outre-mer

1.) Tout le réseau local est sécurisé : un logiciel antivirus est installé sur tous les pc et serveurs.

2.) Le consultant en sécurité de l’information de l’OSSOM enregistre toutes les attaques dirigées contre l’Office.

3.) Les programmes de sécurité que l’OSSOM utilisés peuvent aussi être utilisés par des particuliers. Il y a cependant une protection supplémentaire : l’OSSOM appartient en effet à l’Extranet de la sécurité sociale, où une protection supplémentaire est présente.

4.) L’échange des données se déroule par le biais d’un réseau sécurisé, à savoir l’Extranet de la sécurité sociale.

5.) Le personnel reçoit des informations concernant les menaces potentielles par courriel interne. Il est demandé d’être toujours vigilant.

Il est aussi demandé au personnel de signaler les problèmes constatés au service CTI et au consultant en sécurité de l’information.

Le consultant en sécurité de l’information tient à jour le nombre de problèmes signalés et de plaintes.

Office de contrôle des mutualités et des unions nationales de mutualités

1.) Seuls quelques ordinateurs de l'Office de contrôle sont connectés à l'Internet et ceux-ci sont protégés par divers firewalls et par un serveur proxy. En outre, il est à noter que le site Internet de l'Office est hébergé localement et que l'Office ne dispose pas actuellement d'une adresse Internet fixe.

2.) Un rapport des détections et du statut des anti-virus (anti malware, anti spyware, firewall, etc.) est établi quotidiennement par le service informatique.

3.) Les données et ordinateurs avec lesquels l'Office travaille sont protégés par un logiciel professionnel avec distribution par le réseau des installations et des mises à jour et aperçu global de la protection des postes de travail.

4.) La transmission à l'Office de contrôle par les entités mutualistes qu'il contrôle de certaines données (tableaux de cotisations et comptes annuels) a lieu par le biais d'un réseau spécifique et selon un système de "call-back". L'échange des autres données a lieu par le biais de la connexion centrale.

5.) Seuls les membres du service informatique sont formés pour faire face à d'éventuelles cyber attaques. En ce qui concerne les autres membres du personnel, ceux-ci sont invités à informer le service informatique en cas de problème. L'Office ne dispose pas de statistiques quant à ces communications ou plaintes.

Banque-carrefour de la sécurité sociale+ Plate-forme eHealth

Il y a lieu d’opérer une distinction entre, d’une part, le LAN de la Banque-carrefour de la sécurité sociale (le réseau informatique local avec les ordinateurs personnels des agents et les divers outils bureautiques dont les serveurs de messagerie, les serveurs de fichiers et les serveurs d’impression) et, d'autre part, les systèmes informatiques qui gèrent l'échange de données à caractère personnel au sein du réseau de la sécurité sociale (cet échange de données à caractère personnel intervient au moyen d’une architecture orientée services, aussi appelée "architecture SOA").

Pour la protection du réseau local et des systèmes informatiques précités, la Banque-carrefour a recours à des solutions qui sont fournies et maintenues par des entreprises spécialisées à forte réputation dans le monde des entreprises. Pour certains systèmes, elle utilise la version "enterprise" de ressources auxquelles les particuliers peuvent aussi avoir recours, alors que pour d’autres systèmes elle utilise des ressources qui sont uniquement disponibles pour le monde des entreprises.

La Banque-carrefour de la sécurité sociale gère donc un réseau d'échanges électroniques sécurisés de données à caractère personnel entre les acteurs du secteur social. L’infrastructure informatique sous-jacente (backbone) de ce réseau est l’Extranet de la sécurité sociale.

Ce réseau sécurisé qui relie les différents acteurs du secteur social offre plusieurs services communs, tels la connexion sécurisée de réseaux hétérogènes, la mise à la disposition de proxies (HTTP/HTTPS/S-FTP, etc.), l'échange sécurisé de données à caractère personnel, le scannage d'échanges via web, mail, etc. quant à la présence de logiciels malveillants, la gestion et la maintenance de noms de domaine et l'octroi d'accès aux réseaux internes au moyen d'une connexion sécurisée (VPN). Il offre également aux acteurs du secteur social un accès sécurisé à l'internet pour l’ensemble des transactions qui sont réalisées à partir du portail de la sécurité sociale. L'accès aux applications qui sont disponibles sur le portail de la sécurité sociale est protégé par une gestion granulaire des utilisateurs et des accès.

L'infrastructure informatique redondante (répartie sur plusieurs sites) qui est basée sur une protection en couches, est protégée par des pare-feux (firewalls) au niveau de la connexion entrante entre l'acteur de la sécurité sociale et le backbone, d'une part, et entre le backbone et l'internet ou les réseaux privés, d'autre part. C'est également à cet endroit qu'a lieu la gestion centrale des logiciels anti-malveillants.

L'extranet de la sécurité sociale est équipé d'un système IDS/IPS (Intrusion Detection/Prevention System) et est complété par un système d’analyse permanente des événements afin de détecter et corriger les incidents. Des audits de l’infrastructure et de ses composants sont réalisés périodiquement.

L'organisation de la politique en matière de sécurité de l'information au sein du réseau de la Banque Carrefour de la sécurité sociale est basée sur l'application obligatoire des normes minimales de sécurité par ses partenaires. Ces normes doivent obligatoirement être respectées par les acteurs du secteur social s’ils souhaitent établir et conserver un accès au réseau de la Banque-carrefour de la sécurité sociale. Le contrôle du respect des normes par le Comité sectoriel de la sécurité sociale et de la santé, institué au sein de la Commission de la protection de la vie privée, est basé sur un questionnaire transmis annuellement par l’intermédiaire de la Banque-carrefour de la sécurité sociale. En cas de non-respect de ces normes minimales, les acteurs du secteur social concernés, après mise en demeure, peuvent se voir interdire l'accès au réseau de la sécurité sociale. Les normes minimales qui sont consultables sur le site web de la Banque-carrefour de la sécurité sociale sont révisables et sont donc adaptées en fonction des évolutions légales, techniques ou autres.

L’approche commune du secteur de la sécurité sociale en matière de sécurité de l’information a été déterminée par le Comité général de coordination de la Banque-carrefour de la sécurité sociale à travers un ensemble de directives générales. La méthodologie utilisée pour parvenir à une sécurité maximale de l’information est un Information Security Management System (ISMS). De façon générale, ce système est basé sur la série de normes internationales ISO 2700X (voir notamment http://www.27000.org/).

1) Op alle Windows machines (zowel servers als werkstations/eindgebruikersconfiguraties) in het domein van de Federale Overheidsdienst (FOD) Volksgezondheid wordt automatisch een McAfee agent geïnstalleerd. Deze installeert McAfee VirusScan Enterprise 8.8 en SiteAdvisor Enterprise 3.5, en houdt deze up-to-date.

Het lokale netwerk wordt beschermd door een firewall die de netwerkconnecties reguleert van en naar het Internet. De toegang tot Internetwebsites wordt gefilterd door een proxy zodat toegang tot gekende ‘gevaarlijke’ sites worden geblokkeerd. Via SSLVPN worden slechts VPN-connecties toegelaten mits een op de PC aanwezige up-to-date actieve virusscanner.

Onze servers die publieke/externe services aanbieden (publieke website, mail, applicaties zoals portahealth en absenteisme, enz.) worden afgeschermd door een reverse proxy.

2) Er is een permanente monitoring op de anti-virusscan: problemen worden voor de systeembeheerders zichtbaar gemaakt met alerts, de gedetecteerde bedreigingen worden behandeld: verwijderen van file, programma of cleanen met antivirus . Hierover zijn rapporten beschikbaar ( aantal virussen, aantal ongewenste programma’s, spyware aantal niet nader determineerbare issues die verwijderd worden etc.). Deze cijfers worden 3 maanden bewaard en nadien overschreven.

De FOD Volksgezondheid beschik niet over andere cijfers i.v.m. hacking of cyberaanvallen enz. Er is geen IDS of IPS. Er zijn geen cijfers gekend in verband met cyberaanvallen.

3) De FOD Volksgezondheid installeert McAfee VirusScan Enterprise 8.8 en SiteAdvisor Enterprise 3.5. Deze versie worden constant bijgewerkt. Er is een supportcontract waarop een beroep kan gedaan worden in geval van problemen. De service omvat ook een alertfunctie die verwittigingen uitstuurt van zodra dreigingen ergens gekend zijn. Er zijn geen extra’s.

Voor het netwerk is er voor de Firewall een Cisco ASA 5550, de proxy BlueCoat ProxySG Model 810-5. De functie Reverse Proxy wordt opgenomen door F5 BIG-IP 3900 LTM en voor de connectie op het interne netwerk van buiten af (SSLVPN functie) wordt een Juniper Secure Access SA-4500 ingzet. Al deze apparatuur is afgedekt door onderhoudscontracten en de bijhorende abonnementen voor het up-to-date houden van de checklijsten.

4) Toepassingen die verhoogde security-eisen hebben zoals REACH beschikken over geëncrypteerde verbindingen voor de uitwisseling van data, de data worden ook geëncrypteerd op de eindgebruikersconfiguraties.

5) Het personeel is alert voor deze problematiek. De problemen dienen gemeld te worden aan de Security Officer via interne communicaties. ICT beschikt niet over cijfers i.v.m. meldingen of klachten.

De FOD Sociale Zekerheid:

1. a) Ja,

b) Ja.

2. Ja. (geen virussen, geen spyware, geen hackers).

3. De FOD Sociale Zekerheid gebruikt professionele “Enterprise” versies van beveiligings-hard en -software, zodat men kan stellen dat er extra informaticabeveiliging is.

4. De FOD Sociale Zekerheid is aangesloten op het Extranet van de Sociale Zekerheid. De uitwisseling van vertrouwelijke data met andere organisaties van de Sociale Zekerheid gebeurt via dit apart, beveiligd netwerk. Alle gegevens worden wel uitgewisseld via een zelfde beveiligde, ontdubbelde centrale verbinding naar het Extranet.

5. a) Het IT-personeel, verantwoordelijk voor de informatieveiligheid wordt specifiek opgeleid om te gaan met deze bedreigingen. Eindgebruikers worden geïnformeerd over mogelijke bedreigingen.

b) Ja, aan de centrale helpdesk.

c) Ja, geen meldingen i.v.m. virussen, spyware of hackers.

Wat betreft de openbare instellingen van sociale zekerheid die onder mijn bevoegdheid staan:

Rijksinstituut voor Ziekte- en Invaliditeitsverzekering

1.) Het RIZIV heeft beveiliging ingebouwd op alle componenten van het netwerk.

Enerzijds is het netwerk van het RIZIV geïntegreerd in het extranet van de Sociale Zekerheid, beheerd door KSZ-Smals. Het extranet gebruikt een gelaagd security model en schermt de netwerken van de ISZ af via firewalls, IPS (Intrusion Prevention System), DMZ, proxy servers, anti-malware, enz.

Anderzijds is het netwerk van het RIZIV op een gelijkwaardige wijze afgeschermd van het extranet door een gelaagd security model (gebruik van 2 niveaus van firewalls, IPS, DMZ, proxy servers, anti-malware, etc.). De anti-malware van het RIZIV en van het extranet zijn van twee verschillende vendors.

De toegang tot Internet is enkel mogelijk via het extranet dewelke op zijn beurt beroep doet op FedMan voor Internettoegang.

Het RIZIV is vandaag een nieuwe netwerkarchitectuur aan het implementeren die een nog hogere beveiliging moet bieden en het RIZIV moet klaar maken voor nieuwe technologieën en trends zoals BYOD en Cloud. Dit beveiligingsmodel is een “trusted zone” model waarbij alle communicatie tussen de servers punt-tot-punt wordt beveiligd via firewall. Bovendien worden alle servers “gehardened” (verwijderen van functionaliteit die niet nodig is maar eventueel wel misbruikt zou kunnen worden door hackers of malware).

Op de PC’s en laptops zijn tal van beveiligingsfeatures geïnstalleerd zoals: anti-malware, een software firewall, anti-diefstalbeveiliging, toegangsbeveiliging op niveau van BIOS, harde schijf en besturingsysteem, beveiliging tegen aansluiten van extern USB geheugen, versleuteling van informatie op de harde schijf, machine- en gebruikerscertificaat, en Active Directory Group policies.

2.) Meldingen van de anti-malware software (virussen, spyware, enz.) worden centraal opgevolgd, en deze informatie komt bij de veiligheidsconsulent terecht. Het RIZIV gaat voor een maximale preventieve benadering op het vlak van security. Zo hebben we een spectaculaire daling van het aantal ontdekte virussen vastgesteld, na het installeren van software die het aansluiten van persoonlijke USB-media blokkeert.

Cyberaanvallen worden op 2 niveaus opgespoord en gedetecteerd. Intrusion Prevention Systemen (IPS) op het extranet worden beheerd door de Smals en alerts m.b.t. het RIZIV worden doorgestuurd naar het RIZIV voor onderzoek. Onze eigen IPS systemen detecteren eveneens alerts en blokkeren in een aantal gevallen de communicatie. We hebben geen cijfers van cyberaanvallen omdat al onze alerts tot nu toe “vals positieven” waren (alerts die na analyse geen kwaadwillige oorzaak blijken te hebben).

We zijn in het verleden reeds een aantal malen op de hoogte gebracht door de beheerders van het extranet van het circuleren van gevaarlijke nieuwe virussen of van pogingen tot cyberaanval op het netwerk van de sociale zekerheid. Afhankelijk van de waarschuwing wordt een gepaste actie ondernomen (bvb. extra controle op logfiles IPS, waarschuwing naar eindgebruikers, enz.).

3.) Het RIZIV gebruikt “Enterprise” versies van securityproducten. De antivirussoftware en de personal firewall komt van een vendor die ook software maakt voor particulieren.

Daarnaast zijn er veel beveiligingsmaatregelen die enkel in een professionele context worden gebruikt zoals de specifieke netwerkarchitectuur met firewalling, hardening, punt-tot-punt beveiliging, de IPS systemen, en op niveau van de PC’s een beveiliging tegen het aansluiten van USB geheugen, versleuteling van informatie op de harde schijf, machine- en gebruikers-certificaten, Active Directory Group policies om de impact vector op de systemen te verkleinen, enz.

Alle beveiligingsmaatregelen en verbeteracties worden beheerd via een continu proces voor risicobeheersing gebaseerd op de ISO 27001 norm (zie antwoord op punt 5 van de vraag).

4.) Uitwisseling tussen ISZ gebeurt via het extranet van de sociale zekerheid, uitwisseling met andere federale instanties gebeurt via FedMan, en uitwisseling met externe partners gebeurt via het Internet.

Het uitwisselen van persoonsgegevens is strikt gereglementeerd door de KSZ en gebeurt via web services op het extranet. e-Health wordt gebruikt voor uitwisseling met partners in de sector van de gezondheidszorg. Voor uitwisseling van gegevens tussen het RIZIV en de landsbonden (mutualiteiten) wordt Carenet gebruikt, een beveiligde en versleutelde communicatie over het Internet. Daarnaast worden voor uitwisselingen van vertrouwelijke gegevens over externe netwerken beveiligde technieken zoals SSL, SFTP en VPN gebruikt.

Uitwisseling via USB-media is enkel toegelaten op door het RIZIV verstrekte memory sticks met hardwareversleuteling, zodat er bij verlies of diefstal geen gegevens in verkeerde handen kunnen vallen.

In het RIZIV wordt de uitwisseling van gegevens vastgelegd in richtlijnen in het kader van het SafeInfo project, dat een continu proces voor verbetering van informatieveiligheid uitbouwt, gebaseerd op de norm ISO 27001.

5.) In het RIZIV loopt een project dat de voortdurende verbetering van informatieveiligheid bestendigt, gebaseerd op de ISO norm 27001. De organisatie hiervan berust bij de informatieveiligheidsconsulent die per dienst ondersteund wordt door een coördinator voor informatieveiligheid. Deze personen komen minstens maandelijks samen in een werkgroep die zorgt voor het operationaliseren van de nodige basisprocessen ter opvolging en verbetering van informatieveiligheid en die hierover rapporteren naar de directie.

Het informatieveiligheidsbeleid is hoofdzakelijk gebaseerd op een continu proces voor risicobeheersing dat aanleiding geeft tot verbeteringsacties waaronder concrete beveiligingsmaatregelen voor processen en systemen, maar ook bewustmaking van de medewerkers per specifieke doelgroep. Medewerkers die rechtstreeks te maken hebben met het verbeteren en organiseren van de beveiliging krijgen daarvoor gerichte opleidingen.

Het beleid wordt ondersteund door een aantal veiligheidsrichtlijnen die aan alle medewerkers gecommuniceerd worden. Vaststellingen van afwijkingen ten opzichte van deze richtlijnen kunnen door de medewerkers gerapporteerd worden naar een centrale servicedesk, waarop een incidenten beheerproces in werking treedt. Er worden een vijftal incidenten per maand door medewerkers geregistreerd.

Rijksdienst voor Sociale Zekerheid

De Rijksdienst voor Sociale Zekerheid sluit zich aan bij het antwoord dat in deze wordt gegeven door de Kruispuntbank voor de Sociale Zekerheid.

De Rijksdienst werkt immers via de netwerken die door de Kruispuntbank ter beschikking zijn gesteld en werkt bijgevolg volgens dezelfde regels en veiligheidsnormen.

Hulpkas voor ziekte- en invaliditeitsverzekering

1.) Alle computers zijn beschermd (antivirus, proxy filtering, enz.)

2.) Het aantal geregistreerde incidenten bedraagt min of meer 40 per maand.

3.) De HZIV gebruikt zowel oplossingen beschikbaar voor particulieren als oplossingen voor professionals (symantec antivirus, iptables firewall, enz.).

4.) De uitwisselingen gebeuren via aparte beveiligde netwerken voor sommige derden, en voor de andere via beveiligde (encryptie) kanalen via Internet.

5.) Het personeel is gesensibiliseerd voor dit soort bedreigingen. Het arbeidsreglement bepaalt dat zij eventuele incidenten of verdachte gebeurtenissen met betrekking tot computerbeveiliging dienen te melden. Gemiddeld wordt er één incident per maand gerapporteerd.

Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten

1.) De RSZPPO heeft overeenkomstig de wet op de KSZ een dienst voor informatieveiligheid opgericht en een adviseur inzake informatieveiligheid aangesteld.

Zoals voorgeschreven in de minimale normale normen voor informatieveiligheid van de Sociale Zekerheid van België, heeft de RSZPPO in ditzelfde kader geleidelijk aan verschillende maatregelen ter bevordering van de veiligheid getroffen op zowel het niveau van de servers als dat van de individuele werkposten en het lokale netwerk.

Het lokale netwerk van de RSZPPO heeft enkel verbinding met de buitenwereld via de netwerken van de Sociale Zekerheid (netwerk KBSZ en Extranet van de Sociale Zekerheid), dewelke eveneens aan de hand van verschillende efficiënte voorzieningen beschermd zijn.

2.) Via de verschillende bestaande systemen is het mogelijk zowel sporen als cijfers van cyberaanvallen en andere verdachte activiteiten te bekomen.

Aangezien er in het algemeen zelden grote problemen zijn hieromtrent, zijn deze cijfers echter momenteel nog niet samengebundeld of bevestigd. Dit is echter wel voorzien voor de toekomst.

3.) In tegenstelling tot de toepassingen die door het grote publiek worden gebruikt, is de beveiligingssoftware van de RSZPPO van professionele aard, en beschikt deze over een gecentraliseerd beheer.

Op alle materiaal waarmee men verbinding kan maken met het netwerk van de RSZPPO, zijn de standaard of gevalideerde veiligheidsvoorzieningen geïnstalleerd en is het niveau ervan gecontroleerd.

Tot op heden is de algemene regel, op enkele zeldzame gevallen na die gekend zijn en in behandeling zijn, dat het materiaal waarmee men verbinding kan maken met de RSZPPO, eigendom is van de Rijksdienst en door hem wordt beheerd. Dit materiaal mag enkel in een professionele context worden gebruikt en binnen de door de RSZPPO toegestane en gecontroleerde grenzen (filters van websites bijvoorbeeld).

4.) Alle informatie-uitwisseling gebeurt exclusief, en eventueel in functie van het soort gegevens, via de beveiligde kanalen van de Sociale Zekerheid en met respect voor zowel de strengste veiligheidsregels die van kracht zijn in dit kader als voor de wetten op de bescherming van de privacy. Indien er zich een specifiek geval voordoet dat een bijzondere behandeling vraagt, dan wordt dit opgelost met respect voor de geldende procedures voor afwijkingen.

5.) Het betrokken personeel heeft de nodige competenties binnen dit vakgebied en kan eventueel een beroep doen op gepaste externe competenties indien nodig. Onvoorziene gebeurtenissen inzake veiligheid worden, voor zover technisch mogelijk, automatisch gemeld aan de betrokken partijen.

Zoals reeds werd aangegeven, zijn de cijfers periodiek beschikbaar en kunnen deze worden geraadpleegd via de interne veiligheidsdienst en de systeemverantwoordelijken, maar doordat deze gebeurtenissen slechts zelden voorkomen, was het tot op heden niet gerechtvaardigd om meer specifieke onderzoeksprocedures op te stellen. Het individueel risico van elke OISZ wordt in grote mate beheerst door de naleving van de minimale veiligheidsnormen en de aanzienlijke veiligheidsmiddelen die in de gemeenschappelijke netwerken werden geïnvesteerd (KBSZ en Extranet).

Hulp- en Voorzorgskas voor Zeevarenden

1.) Het hele lokale netwerk van de HVKZ is afgeschermd van het internet door middel van een Firewall.

2.) De logfiles van de Firewall bevatten al deze informatie.

3.) Op de Firewall zijn specifieke programma’s actief die het intern netwerk beveiligen. Daarnaast is ook elke computer uitgerust met een eigen beveiligingsprogramma.

4.) Uitwisseling van vertrouwelijke data gebeurt via een Secure File Transfer Protocol (SFTP).

5.) De personeelsleden van de HVKZ worden niet specifiek opgeleid om om te gaan met mogelijke bedreigingen. Als zeer kleine OISZ (23 medewerkers) zijn vastgestelde onregelmatigheden zeer snel bij iedereen bekend.

Er wordt door de HVKZ geen cijfermateriaal bijgehouden over meldingen of klachten door het personeel.

Dienst voor de Overzeese Sociale Zekerheid

1.) Het hele lokale netwerk is beveiligd: op alle pc’s en servers is een antivirus software geïnstalleerd.

2.) De informatieveiligheidsconsulent van de DOSZ registreert alle aanvallen die gericht zijn tegen de dienst.

3.) De beveiligingsprogramma’s die de DOSZ gebruikt kunnen ook door particulieren gebruikt worden. Er is echter een extra bescherming: de DOSZ behoort namelijk tot het Extranet van de Sociale Zekerheid waarop extra beveiliging aanwezig is.

4.) De uitwisseling van de data verloopt via een beveiligd netwerk, namelijk het Extranet van de Sociale Zekerheid.

5.) Het personeel wordt via interne mailings van informatie voorzien betreffende de mogelijke bedreigingen. Er wordt gevraagd steeds waakzaam te zijn.

Tevens wordt aan het personeel gevraagd de problemen te melden aan de ICT dienst en aan de informatieveiligheidsconsulent indien zij worden vastgesteld.

De informatieveiligheidsconsulent houdt het aantal meldingen en/of klachten bij.

Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen

1.) Slechts enkele computers van de Controledienst zijn met het internet verbonden en deze worden beveiligd door diverse firewalls en een proxy server. Bovendien is te noteren dat de internetsite van de Controledienst lokaal gehost wordt en dat de Controledienst thans niet beschikt over een vast internetadres.

2.) Een verslag van de detecties en van de status van de antivirus (antimalware, antispyware, firewall, enz.) wordt dagelijks door de informaticadienst opgemaakt.

3.) De data en de computers waarmee de Controledienst werkt, worden beveiligd door een professionele software met een netwerkdistributie van de installaties en van de bijwerkingen en een globaal overzicht van de beveiliging van de werkposten.

4.) De transmissie aan de Controledienst door de mutualistische entiteiten, die hij controleert, van sommige data (bijdragetabellen en jaarrekeningen) vindt plaats via een specifiek netwerk en volgens een systeem van "call-back". De uitwisseling van de anderen gegevens gebeurt via de centrale verbinding.

5.) Enkel de leden van de informaticadienst zijn opgeleid om het hoofd te bieden aan cyberaanvallen. De andere personeelsleden worden verzocht de informaticadienst in te lichten in geval van probleem. De Controledienst beschikt niet over statistieken inzake deze mededelingen of klachten.

Kruispuntbank van de Sociale Zekerheid + eHealth-platform

Er dient een onderscheid te worden gemaakt tussen enerzijds het LAN van de Kruispuntbank van de Sociale Zekerheid (het lokale IT-netwerk met de personal computers van de personeelsleden en de diverse bureauticamiddelen, waaronder de mailservers, de fileservers en de printservers) en anderzijds de informatiesystemen die de uitwisseling van persoonsgegevens binnen het netwerk van de sociale zekerheid beheren (deze uitwisseling van persoonsgegevens gebeurt via een dienstgeörienteerde IT-architectuur of “SOA architecture”).

Voor de beveiliging van zowel het lokale netwerk als de hogervermelde informatiesystemen wordt gebruik gemaakt van oplossingen die worden geleverd en onderhouden door gespecialiseerde ondernemingen met een hoogstaande reputatie in de bedrijfswereld. Voor sommige systemen wordt gebruik gemaakt van de “enterprise versie” van middelen waarvan ook particulieren gebruik maken terwijl voor andere systemen gebruik wordt gemaakt van middelen die enkel voor de bedrijfswereld beschikbaar zijn.

De Kruispuntbank van de Sociale Zekerheid beheert aldus een netwerk voor de veilige elektronische uitwisseling van persoonsgegevens tussen de actoren in de sociale sector. De onderliggende informaticastructuur (backbone) is het extranet van de sociale zekerheid.

Dit beveiligd netwerk verbindt de verschillende actoren in de sociale sector met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals de beveiligde verbinding van heterogene netwerken, het beschikbaar stellen van proxies (HTTP/HTTPS/S-FTP, enz.), de beveiligde uitwisseling van persoonsgegevens, het scannen van uitwisselingen via web, mail, enz. op de aanwezigheid van malware, het beheer en het onderhoud van domeinnamen en het verlenen van toegang tot interne netwerken via een beveiligde verbinding (VPN). Het biedt de actoren in de sociale sector tevens een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid. De toegang tot de toepassingen beschikbaar op het portaal van de sociale zekerheid wordt beveiligd door middel van een granulair gebruikers- en toegangsbeheer.

De redundante IT-infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, enerzijds tussen de actor in de sociale sector en de backbone, anderzijds tussen de backbone en het internet of de private netwerken. Hier vindt ook het centrale beheer van anti-malware software plaats.

Het extranet van de sociale zekerheid is uitgerust met een IDS/IPS-systeem (Intrusion Detection/Prevention System). Er is ook een overkoepelend management- en monitoringsysteem voorzien om veiligheidsincidenten te kunnen detecteren en corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.

De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze minimale veiligheidsnormen zijn door de actoren in de sociale sector verplicht na te leven indien zij toegang tot het netwerk van de Kruispuntbank van de Sociale Zekerheid willen bekomen en behouden. De controle op de naleving ervan – door het sectoraal comité van de sociale zekerheid en van de gezondheid, opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer – is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank van de Sociale Zekerheid wordt overgemaakt. Bij niet-naleving van de minimale veiligheidsnormen kan aan de betrokken actoren in de sociale sector, na ingebrekestelling, de toegang tot het netwerk van de sociale zekerheid worden ontzegd. De minimale veiligheidsnormen, te raadplegen op de website van de Kruispuntbank van de Sociale Zekerheid, zijn voor herziening vatbaar en worden aangepast in functie van de evoluties die zich op regelgevend, technisch of ander vlak voordoen.

De gemeenschappelijke aanpak van de informatieveiligheid in de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid, aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS). Deze is algemeen gebaseerd op de ISO 2700X-reeks internationale normen (zie onder meer http://www.27000.org/).