BELGISCHE SENAAT
________
Zitting 2009-2010
________
29 januari 2010
________
SENAAT Schriftelijke vraag nr. 4-6672

de Bart Tommelein (Open Vld)

aan de minister van KMO's, Zelfstandigen, Landbouw en Wetenschapsbeleid
________
Internet - Overheidssites - Beveiliging
________
overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid
________
29/1/2010Verzending vraag
8/3/2010Antwoord
________
Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685
________
SENAAT Schriftelijke vraag nr. 4-6672 d.d. 29 januari 2010 : (Vraag gesteld in het Nederlands)

Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".

Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Ik heb dan ook volgende vragen:

1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?

2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?

3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?

4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?

5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?

Antwoord ontvangen op 8 maart 2010 :

Wat het Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) betreft :

1. Het geachte lid zal begrijpen dat hier niet in detail kan op geantwoord worden. Binnen de krijtlijnen van wat nuttig en nodig is worden de websites van het FAVV tegen hackers beschermd.

2. Er werden tot nu toe geen diefstallen van privégegevens vastgesteld.

3. Er werden evenmin pogingen tot diefstal van privé-gegevens vastgesteld.

4. Behalve de publieke website: www.favv.be , waarop geen privégegevens ter beschikking gesteld worden, beschikken alle websites van het FAVV over een SSL-certificaat.

5. Een betere bescherming is altijd mogelijk. Het is echter niet voorzichtig om veiligheidsmaatregelen publiek te behandelen.

Wat het Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA) betreft :

1) We beschikken momenteel maar over één publieke website http://www.var.fgov.be/ . De site heeft als “thuisbasis” een Linux server geplaatst in de Demilitarized zone – Buffer (DMZ) tussen het lokale netwerk en de buitenwereld), en bevat geen enkel gevoelig onderwerp. Er is een firewall geïnstalleerd tussen de DMZ en ons intern netwerk, die ons beheerstoegang geeft en ons beschermt tegen poging tot inbraak. De site, het raam naar ons bedrijf, is bedoeld voor elk publiek, bezit geen enkele vertrouwelijke of gevoelige informatie; een https-protocol is dus niet te verantwoorden. Daarenboven wordt een dagelijkse backup gemaakt, wat ons toelaat om de omgeving (inclusief applicaties en gegevens) binnen een korte tijdspanne te herstellen, indien een ongenode gast onze webpagina’s heeft bewerkt.

We voorzien om tegen het einde van 2011 een “Extranet Client” te ontwikkelen. Het doel hiervan is het mogelijk maken om de resultaten van de analyses van diergeneeskunde en agrochemie online te raadplegen. De situatie zal in dat geval natuurlijk anders zijn, omdat dit vertrouwelijke en gevoelige gegevens zijn.

We hebben al enkele veiligheidsmaatregelen voor ogen:

  • Voor elke gebruiker een login en paswoord voorzien. Dit laatste zal gecodeerd zijn

  • Werken op een beveiligde lijn (https)

  • De gevoelige gegevens (fiches met analyse resultaten) zullen zich niet op dezelfde applicatie als extranet bevinden.

Dit project wordt nog bestudeerd.

2) tot op heden is er geen gekend.

3) geen poging ontdekt sinds mijn indiensttreding op het CODA (11/2005), maar de site was verouderd. Onze nieuwe site is een maand geleden gelanceerd.

4) Ja, voor onze webmail. Het gaat om een intern certificaat dat alleen bestemd is voor onze gebruikers.

Wat het Belgisch interventie en restitutie bureau (BIRB) betreft :

1. We hebben een veilige infrastructuur (aanwezigheid van een SSL-certificaat, CheckPoint firewall en BlueCoat proxy). Gebruikers kunnen enkel inloggen na het ingeven van een unieke username en paswoord.

2. Geen.

3. Geen pogingen.

4. Onze website beschikt over een SSL-certificaat.

5. Voorlopig niet.

Wat de Federale Overheidsdienst (FOD) Economie betreft :

Verwijs ik naar het antwoord van mijn collega de minister voor Ondernemen en Vereenvoudigen op de vraag nr. 4-6677 van 29 januari 2010 betreffende dezelfde aangelegenheid.

Wat het Rijksinstituut voor de sociale verzekeringen der zelfstandige (RSVZ) betreft:

1. De veiligheidsaanpak met betrekking tot de websites van het RSVZ is gebaseerd op de ISO 27000 normenreeks. Deze normen behandelen veiligheidsmaatregelen op alle mogelijke niveaus (bijvoorbeeld fysieke beveiliging, logische toegangsbeveiliging, veiligheid bij ontwikkeling van systemen).

Dit resulteert o.a. in de ontplooiing van de websitesystemen in verschillende veiligheidszones.

Tussen deze veiligheidszones is het verkeer beperkt tot het strikt noodzakelijke en in deze zones worden permanent controles uitgeoefend op mogelijk ongeoorloofde toegangen (door middel van een Intrusion Detection System).

Ook worden de toegangen tot de websites (bijvoorbeeld via het internet), die toegang tot vertrouwelijke informatie bieden, aan specifieke controles onderworpen door het gebruik van gepaste technische protocols (bijvoorbeeld secured sockets layer of SSL) en authentificatiemiddelen (SSL certificaten zijn hiervan een onderdeel).

Bovendien is geen enkel informaticasysteem van het RSVZ rechtstreeks toegankelijk vanuit de buitenwereld. Alle communicatie van en naar het internet dient te passeren via een ganse batterij firewalls, (reverse) proxy servers, virus scanners, intrusion detection systemen, web content scanners. Hierbij wordt steeds de trust no one filosofie toegepast, waarbij alle internet trafiek onderworpen wordt aan herhaalde controles door zowel het RSVZ als de beheerders van het Extranet van de Sociale Zekerheid.

Ten slotte worden alle eGov toepassingen en systemen welke bereikbaar zijn via het internet op regelmatige basis onderworpen aan een externe veiligheidsaudit door hierin gespecialiseerde auditors.

2. Tot op heden zijn er ons geen gevallen bekend.

3. Alle websites worden wel eens aangevallen – meestal in een ruimer kader door organisaties of individuen om de zwakheden van een ganse reeks websites te testen, in de hoop ergens op een veiligheidslek te stoten.

Door de genoemde veiligheidsaanpak is de website van de RSVZ hiertegen goed bestand.

Er werden tot op heden geen gerichte aanvallen of pogingen tot diefstal waargenomen en bijgevolg werden er ook geen klachten ingediend.

4. De toegang via het internet tot de website van het RSVZ (en die gedeeltes die toegang bieden tot vertrouwelijke informatie) wordt altijd d.m.v. het SSL-protocol beschermd.

Zodoende wordt niet alleen de vertrouwelijkheid van de communicatie verzekerd, het SSL-protocol wordt ook gebruikt voor andere doeleinden zoals de authentificatie van de communicatiepartners.

De authentificatie van een website voor een gebruiker wordt gerealiseerd door een systeem waar het SSL-certificaat deel van uitmaakt.

Afhankelijk van de toepassing kan ook de authentificatie van de gebruiker geëist worden – in dit kader is eveneens een SSL-certificaat van de gebruiker vereist.

5. Veiligheid is een permanent proces. De evolutie van de risico’s inzake informatieveiligheid en de verdedigingsmogelijkheden worden dan ook voortdurend opgevolgd. In functie hiervan worden zo nodig bijkomende veiligheidsmaatregelen getroffen.

Dit gebeurt in permanent overleg met de partners uit de sociale zekerheid. Hierbij wordt er een maximale synergie nagestreefd door middel van verschillende overlegplatformen en informatiekanalen onder de auspiciën van de KSZ en het sectoraal comité.

Wat de DG Zelfstandigen betreft :

Aangezien ik enkel inhoudelijk bevoegd ben voor de DG Zelfstandigen van de FOD Sociale Zekerheid, beschik ik niet over de gevraagde gegevens. Voor alle andere onderwerpen (personeel, logistiek, …) met betrekking tot de FOD Sociale Zekerheid, en dus ook tot de DG Zelfstandigen, is het de minister van Sociale Zaken die bevoegd is.

Wat het Federaal Wetenschapsbeleid (FWB) betreft :

1. De websites van het FWB worden beschermd door een firewall die alles wat binnenkomt filtreert. Die software omvat ook een systeem dat aanvallen van buitenuit opspoort intrusion detection. De toegang tot beschermde gegevens gebeurt met complexe paswoorden. Met de controle van de IP-adressen is het mogelijk sommige gegevens enkel toegankelijk te maken in sommige netwerken.

2. De websites van het FWB bevatten geen persoonlijke gegevens.

3. Tot op heden zijn er geen pogingen tot hacken geweest waarbij zo mogelijk beschermde gegevens konden worden ontvreemd of schade worden berokkend aan de inhoud of de werking van de websites van het FWB.

4. Voor het ogenblik beschikt het FWB nog niet over een SSL-certificaat. Voor sommige van zijn sites wordt dat type van toegang ontwikkeld in 2010.

5. In de loop van dit jaar gaat het FWB zijn systemen updaten (Windows 2008 R2) en zijn webservers virtualiseren.

Wat van mijn website betreft :

1. Mijn website wordt gehost op een beveiligde server met een LAMP-infrastructuur (Linux/Apache/MySQL/PHP). De toegang tot de serverruimte is beveiligd. Er werd een firewall geïnstalleerd om de binnenkomende verbindingen te filteren. De toegang tot de administratormodule is beveiligd met een complex wachtwoord.

2. Mijn website bevat geen persoonsgegevens, behalve de adressenlijst van de houders van een abonnement op de nieuwsbrief. De toegang tot deze lijst is enkel mogelijk via een administratormodule beveiligd met een complex wachtwoord.

3. Tot op heden werd de administratormodule van mijn website nog niet binnengedrongen.

4. Mijn website beschikt niet over een SSL-certificaat. Omdat de internetgebruikers geen informatie kunnen verzenden, is het niet nodig het verkeer te versleutelen.

5. Neen, ik denk niet dat er andere maatregelen nodig zijn om de sites van de overheid beter te beveiligen.