Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-7580

van Nele Lijnen (Open Vld) d.d. 13 december 2012

aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid

Overheidsdiensten - Cyberaanvallen - Computerbeveiliging - Beveiligingssoftware - Opleiding personeel

computercriminaliteit
gegevensbescherming
officiŽle statistiek
computervirus
Belnet
ministerie

Chronologie

13/12/2012 Verzending vraag
25/9/2013 Rappel
29/10/2013 Rappel
30/10/2013 Antwoord

Ook gesteld aan : schriftelijke vraag 5-7566
Ook gesteld aan : schriftelijke vraag 5-7567
Ook gesteld aan : schriftelijke vraag 5-7568
Ook gesteld aan : schriftelijke vraag 5-7569
Ook gesteld aan : schriftelijke vraag 5-7570
Ook gesteld aan : schriftelijke vraag 5-7571
Ook gesteld aan : schriftelijke vraag 5-7572
Ook gesteld aan : schriftelijke vraag 5-7573
Ook gesteld aan : schriftelijke vraag 5-7574
Ook gesteld aan : schriftelijke vraag 5-7575
Ook gesteld aan : schriftelijke vraag 5-7576
Ook gesteld aan : schriftelijke vraag 5-7577
Ook gesteld aan : schriftelijke vraag 5-7578
Ook gesteld aan : schriftelijke vraag 5-7579
Ook gesteld aan : schriftelijke vraag 5-7581
Ook gesteld aan : schriftelijke vraag 5-7582
Ook gesteld aan : schriftelijke vraag 5-7583
Ook gesteld aan : schriftelijke vraag 5-7584

Vraag nr. 5-7580 d.d. 13 december 2012 : (Vraag gesteld in het Nederlands)

Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

Antwoord ontvangen op 30 oktober 2013 :

Hierna volgt het antwoord wat betreft de openbare instellingen van sociale zekerheid die onder mijn bevoegdheid staan.

Fonds voor Arbeidsongevallen.

  1. Het Fonds voor arbeidsongevallen maakt zoals elke openbare instelling van sociale zekerheid deel uit van het extranet van de sociale zekerheid. Het Fonds heeft met andere woorden geen directe verbinding met het internet. De toegang tot het internet passeert 3 beschermingsniveaus. Ten eerste is er het extranet zelf met alle veiligheidsprocessen die eraan verbonden zijn, ten tweede is de toegang tot het netwerk van het Fonds beschermd met een firewall en een proxys en ten derde is elke werkpost uitgerust met antivirussoftware. Het Fonds voldoet aan de huidige minimale informatieveiligheidsnormen die worden gecontroleerd door zijn informaticaveiligheidsadviseur.

  2. Omdat het Fonds niet in eerste lijn komt, moeten de statistieken door het extranet worden geleverd. Op het Fonds noteren we jaarlijks gemiddeld: vijf virussen die automatisch worden ontdekt en geneutraliseerd en zonder gevolgen blijven.

  3. Het Fonds gebruikt professionele antivirussoftware die op de markt wordt verkocht en dus meer functionaliteiten en updates biedt. Het ziet er daarnaast op toe dat er producten worden gebruikt van andere leveranciers dan die van de bestaande voor de voorgaande beschermingsniveaus en in het bijzonder voor het extranet.

  4. Om te voldoen aan de informaticaveiligheidsnormen van de KSZ gebruikt het Fonds alle beveiligingsmiddelen (https, ftps,... met het gebruik van certificaten en/of sterke authentificatie) die het ter beschikking heeft.

  5. Het personeel wordt gesensibiliseerd voor de veiligheidsnormen via nota's aan het personeel die op het intranet kunnen worden opgevraagd. De informatieveiligheidsadviseur heeft daarover geen klachten geregistreerd in 2012.

Fonds voor de Beroepsziekten.

  1. Conform de wet op de KSZ heeft het FBZ een dienst informatiebeveiliging opgericht, waaronder een adviseur informatiebeveiliging.

    In ditzelfde kader, zoals van oudsher voorgeschreven door de minimale veiligheidsnormen, heeft het FBZ progressief beveiligingscomponenten geïnstalleerd zowel op het niveau van de servers, van elk werkstation als op het niveau van het lokale netwerk.

    Het lokale netwerk is alleen met de buitenwereld verbonden via de netwerken van de sociale zekerheid (netwerk KSZ en extranet van de sociale zekerheid) die eveneens beschermd zijn door meerdere geschikte voorzieningen.

  2. De diverse geïnstalleerde systemen maken het mogelijk om te beschikken over zowel sporen als cijfers wat betreft aanvallen en andere verdachte activiteiten.

    Gezien de zeldzaamheid van de problemen worden deze cijfers momenteel echter niet samengebracht noch geconsolideerd, maar het uitvoeren van deze operaties is gepland.

  3. In tegenstelling tot de door het grote publiek gebruikte toepassingen zijn de beveiligingsprogramma's van het FBZ professionele versies van deze hulpmiddelen die in het bijzonder een gecentraliseerd beheer bevatten.

    Op alle hardware die op het netwerk van het FBZ kan worden aangesloten, worden de standaardveiligheidsvoorzieningen toegepast en hun niveau gecontroleerd.

    Tot nu toe, behoudens zeldzame gekende en beheerde uitzonderingen, is de algemene regel dat alle hardware die kan worden aangesloten bij het FBZ eigendom is van de instelling en door haar wordt beheerd. Die hardware is slechts bruikbaar in het beroepskader of binnen de perken toegestaan en gecontroleerd door het FBZ (filteren van webtoegang bijvoorbeeld).

  4. Alle informatie-uitwisselingen, eventueel volgens de soort gegevens, in het bijzonder medische, gebeuren uitsluitend via de beveiligde kanalen van de sociale zekerheid en met de meest strikte naleving van de veiligheidsregels die gelden in dit kader, alsook met de naleving van de wetten op de bescherming van het privéleven. Als zich een specifiek geval voordoet dat een bijzondere behandeling nodig heeft, dan wordt dit opgelost met naleving van de opgestelde afwijkingsprocedures.

  5. Het betrokken personeel is bekwaam op dit terrein en zal eventueel een beroep doen op externe competentie indien nodig. Veiligheidsincidenten die zich voordoen, worden zo veel als technisch mogelijk automatisch gesignaleerd aan de betrokkenen.

    Zoals reeds vermeld, zijn er cijfers beschikbaar en worden ze regelmatig geraadpleegd door m.n. de interne veiligheidsdienst en de verantwoordelijken voor de systemen, maar de zeldzaamheid van de incidenten heeft tot nu toe niet de invoering van gerichte onderzoeksprocedures gerechtvaardigd. Het individuele risico van elke OISZ is aanzienlijk beperkt en bedwongen door de naleving van de minimale veiligheidsnormen en de belangrijke middelen geïnstalleerd in de gemeenschappelijke netwerken (KSZ en extranet).

Rijksdienst voor Kinderbijslag voor Werknemers.

  1. Alle RKW PC’s zijn uitgerust met anti-virus software (Symantec Enterprise Protection). De anti-virus definities worden minstens één maal per dag bijgewerkt.

  2. De anti-virus systemen houden logs bij met informatie over de pogingen tot inbreuken op de veiligheid. Alle dataverkeer voor de gebruikers (o.a. email, internet) loopt over de verbinding met het netwerk van de Sociale Zekerheid (Extranet) dat beheerd wordt door Smals. Smals scant de binnenkomende emails op bedreigingen (en spam) en heeft ook een intrusion detection system.

    De Microsoft Exchange servers van de RKW bevatten nog een aparte antivirus beveiliging (Microsoft ForeFront Endpoint Protection).

  3. Bovenop de standaard antivirus beveiliging heeft de RKW ook een Webfilter toepassing (van Websense). Deze filtering laat toe om de toegang tot websites die malware content bevatten te blokkeren.

  4. De uitwisseling van vertrouwelijke data gebeurt via een apart Secure FTP platform.

    Conform de vastgelegde normen van de beveiliging van persoonlijke gegevens, is er in trivia (Kadaster) een logging systeem die elke consultatie van het RijksRegister vastlegt met de naam van de persoon die de consultatie heeft uitgevoerd.

  5. Het personeel van de RKW wordt niet opgeleid om om te gaan met deze mogelijke bedreigingen. De antivirus systemen van de RKW melden wel elke mogelijke inbreuk op de beveiliging automatisch aan de Service Desk die hiervoor dan de nodige acties onderneemt met de gebruiker.