Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-2109

van Lionel Bajart (Open Vld) d.d. 11 januari 2019

aan de vice-eersteminister en minister van Financiën, belast met Bestrijding van de fiscale fraude, en Minister van Ontwikkelingssamenwerking

Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen

internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite

Chronologie

11/1/2019 Verzending vraag (Einde van de antwoordtermijn: 14/2/2019 )
5/2/2019 Antwoord

Herindiening van : schriftelijke vraag 6-1184

Vraag nr. 6-2109 d.d. 11 januari 2019 : (Vraag gesteld in het Nederlands)

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

Antwoord ontvangen op 5 februari 2019 :

1) Er bestaan altijd veiligheidsrisico’s bij het aanbieden van webdiensten. Deze risico’s worden geminimaliseerd door gebruik van sterke encryptie en authenticatie :

firewall’s en Intrustion Prevention Systemen ;

– regelmatig updaten van server- en applicatiesoftware ;

– veilige programmeertechnieken ;

– regelmatige audit’s en pen-testing ;

– enz.

Concreet zijn voor federale overheidsdienst (FOD) Financiën in het kader van het nieuwe contract Security As A Service de firma Proximus belast met de taken voor beschermen van onze websites. De firma Toreon is in het kader van hetzelfde contract belast met audit taken.

De homepagina van FOD Financiën is https://financien.belgium.be. Vanaf deze startpagina zijn de webtoepassingen van FOD Financiën bereikbaar (zogenaamde « e-services »). Deze zijn voor het grootste deel gecentraliseerd achter één domein namelijk https://eservices.minfin.fgov.be. De bekende pagina’s zoals https://www.taxonweb.be en https://www.myminfin.be verwijzen automatisch door naar dit ene domein.

Enkele toepassingen bevinden zich nog achter domeinnaam https://ccff02.minfin.fgov.be. Deze toepassingen zullen op termijn ook worden gemigreerd naar https://eservices.minfin.fgov.be.

Al deze sites https://financien.belgium.be, https://eservices.minfin.fgov.be en https://ccff02.minfin.fgov.be gebruiken sterke encryptie. De kwaliteit van de gebruikte encryptie kan worden nagegaan via de onafhankelijke website https://www.ssllabs.com/ssltest/. Uit deze test blijkt dat onze website geen SSL-3 meer toelaten en dat ze bovendien de hoogste score A behalen.

Naast de sterkte encryptie van de communicatie is er ook sterke authenticatie van de gebruikers. Om toegang te krijgen tot persoonlijke gegevens of dossiers wordt de gebruiker namelijk geauthenticeerd op het Federale authenticatie-platform CSAM waar verschillende sterke authenticatiemethoden beschikbaar zijn :

– elektronische identiteitskaart ;

– ITSME ;

– mobiele app of een beveiligingscode.

De belangrijkste websites van FOD Financiën zijn dus :

https://eservices.minfin.fgov.be ;

https://www.myminfin.be ;

https://www.myminfinpro.be ;

https://financien.belgium.be ;

https://ccff02.minfin.fgoov.be.

2) De communicatie met de overheidssites van FOD Financiën gebeurt met behulp van het HTTPS protocol (TLS versleuteling). Deze versleutelde communicatie vindt plaats tussen het toestel van de eindgebruiker enerzijds en de webserver van FOD Financiën anderzijds. Door het gebruik van sterke encryptie en recente certificaten kan er op tussenliggende systemen geen interceptie gebeuren van deze communicatie door derde partijen.

3) Er zal altijd een rest-risico bestaan dat een website wordt aangevallen. Concreet zijn voor FOD Financiën in het kader van het nieuwe contract Security As A Service de firma Proximus belast met de taken voor beschermen van onze websites. De firma Toreon is in het kader van hetzelfde contract belast met audit taken.

4)

https://eservices.minfin.fgov.be ;

https://www.myminfin.be ;

https://www.myminfinpro.be ;

https://financien.belgium.be ;

https://ccff02.minfin.fgov.be.

5) De certificaten van onze websites werden vorig jaar vernieuwd. Ook de bijhorende encryptie is verbeterd door migratie naar een nieuwe firewall-infrastructuur beheerd door Proximus.

6) De sites hierboven vermeld zijn vrij van SSL-3. Het is niet uit te sluiten dat er nog oudere websites online zijn met SSL-3. Deze zullen echter niet meer gebruikt worden voor de kern-diensten van FOD Financiën ten aanzien van de burger.

7) De certificaten van onze websites werden vorig jaar vernieuwd. Ook de bijhorende encryptie is verbeterd door migratie naar een nieuwe firewall-infrastructuur beheerd door Proximus. Er zullen de komende maanden ook audits gebeuren door de externe partner Toreon.