Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

De Rijksdienst voor Pensioenen (RVP) heeft de eer volgende antwoorden op uw vragen mede te delen :

   1.      Het volledige lokale netwerk van de RVP wordt beveiligd op het vlak van informatica. Zoals alle sociale zekerheidsinstellingen van het primaire netwerk is de RVP aangesloten op het Extranet van de sociale zekerheid ( zie voor uitgebreide informatie : http://www.bcss.fgov.be/binaries/documentation/nl/documentation/webservices_general/03_ksz_bcss_webservices_aansluitingsmogelijkheden_nl.pdf).

Dit netwerk van de sociale zekerheid is een beveiligd netwerk tussen de instellingen van de sociale zekerheid voor zowel gestructureerde (bijvoorbeeld sociale persoonsgegevens) als ongestructureerde gegevensuitwisselingen (bijvoorbeeld mail). De verbinding van de RVP naar het internet geschiedt via dit netwerk zowel voor ingaand als uitgaand verkeer. Elke aangesloten instelling draagt tevens de verantwoordelijkheid om de eigen infrastructuurzo goed mogelijk te beveiligen ( zie voor meer informatie http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_01.html).

De RVP heeft daarom ook maatregelen genomen om de eigen infrastructuur te beveiligen, zowel op het vlak van de perimeter als de interne infrastructuur.

De RVP deelt deze infrastructuur met de Pensioendienst voor de overheidssector (PDOS). PDOS heeft haar internet webservers geoutsourced en deze worden dus niet in de scope opgenomen. 

   2.        De RVP beschikt over omvangrijk cijfermateriaal.  

De RVP beperkt zich tot een rapport betreffende pogingen tot aanvallen op haar webservers (zie in bijlage). In dit rapport wordt evenwel geen onderscheid gemaakt tussen ‘echte’ aanvallen en bugs.  

   3.        De informaticabeveiliging van de RVP gaat verder dan de gewone beveiligingsprogramma’s voor particulieren. 

De huidige beveiligingsinfrastructuur bestaat uit de volgende componenten :

• firewall gateway en management

• authentication services (met of zonder EID, maar steeds wel met sterke authenticatie)

• intrusion detection and prevention

• loadbalancing voor webservers

• forward proxy

• URL filtering

• reverse proxy of webapplication firewall

• mailrelay

• antivirus of anti-malware. 

De eigen personeelsleden van de RVP staan in voor het dagdagelijks beheer. De ondersteuning en het onderhoud van deze infrastructuur wordt verzorgd door een bedrijf gespecialiseerd in informaticabeveiliging. Hiervoor werd een contract voor 5 jaar in 2009 afgesloten, via een aanbestedingsprocedure met beperkte offerteaanvraag. 

Indien er nieuwe ontwikkelingen gebeuren gedurende deze periode (2009-2014) is het omwille van de budgettaire beperkingen moeilijk om deze op te volgen. 

     4.      De uitwisseling van vertrouwelijke data tussen instellingen of bedrijven gebeurt steeds via aparte beveiligde netwerken. Indien het gaat om sociale persoonsgegevens, dan dient dit hetzij via de KSZ of hetzij rechtstreeks na machtiging van het Sectoraal Comité te geschieden. De verbindingen zijn steeds met sterke encryptie en certificaten (X.509 van Fedict) beschermd. 

De uitwisseling van vertrouwelijke data tussen de RVP en de (kandidaat) gepensioneerde kan via de beveiligde site https://www.mypension.be.De beveiliging geschiedt hier met authenticatie op het sociale zekerheidsportaal (EID) en webapplication firewall. 

   5.      Het personeel wordt opgeleid om om te gaan met deze mogelijke bedreigingen. Het personeel wordt gevraagd om dergelijke problemen te vermelden. De aanvallen zijn echter meestal redelijk hoog technisch en het is dan ook zeer uitzonderlijk dat een gewone gebruiker een aanval meldt die nog niet door de beveiligingssoftware werd geïdentificeerd. Een gewone gebruiker kan ook niet altijd het onderscheid maken tussen de normale slechte werking van de software en malware. Een gewone gebruiker zal ook moeilijk de criticiteit van de slechte werking of malware kunnen inschatten. 

Over meldingen of klachten wordt geen specifiek cijfermateriaal bijgehouden. Alle meldingen en klachten worden echter wel bijgehouden in de databank van de Service Desk. 

Voor wat de PDOS betreft:

1.    Alle PC’s van de PDOS zijn uitgerust met het anti-virus programma « Microsoft Forefront ». De database met betrekking tot de virussen wordt dagelijks bijgewerkt. 

2.    De infrastructuur laat toe om praktisch alle belangrijke problemen te filteren. Het anti-spam programma filtert meer dan 90 % van de ongewenste post.  

In de loop van het jaar 2012 werd er slechts één virusaanval bij de PDOS gemeld die onmiddellijk werd bedwongen door het anti-virus programma op elke PDOS PC. 

De RVP, die zorgt voor de infrastructuur van de PDOS,beperkt zich tot een rapport betreffende pogingen tot aanvallen op haar webservers (zie in bijlage). In dit rapport wordt evenwel geen onderscheid gemaakt tussen ‘echte’ aanvallen en bugs.  

3.    De toegang van de gebruikers tot het Internet wordt exclusief geregeld via de Firewall en de Reverse Proxy van het Extranet van de Sociale Zekerheid. Met deze infrastructuur wordt vermeden dat de meeste informatica problemen (virus, malware, spam, enz.) op de werkstations van de gebruikers voorkomen. De eventuele overblijvende problemen worden behandeld door de anti-virus software op elke PC. 

De gegevens op de websites hebben een openbaar en algemeen karakter. Op het vlak van beveiliging zijn hier de “best practices” van toepassing: gebruik van de meest recente versies van de programma’s, regelmatige installatie van de « security patches », geen directe toegang tot de databanken. Confidentiële gegevens waarvoor bijkomende beveiliging moet worden voorzien, worden beveiligd door middel van certificaten, encryptie, toegang via elektronische identiteitskaart. Daarenboven worden de servers – in functie van hun inhoud - regelmatig onderworpen aan audits door gespecialiseerde firma’s.  

4.    Het uitwisselen van gegevens tussen de verschillende organismen van de Sociale Zekerheid gebeurt enkel binnen het Extranet van de Sociale Zekerheid dat volledig geïsoleerd is van de buitenwereld. 

De servers waarvoor een externe toegang noodzakelijk is, zijn volledig geïsoleerd binnen een gedemilitariseerde zone (DMZ) zodat een bijkomende filter is ingebouwd wat de toegang betreft van de binnen de PDOS opgeslagen informatie.  

5.    In het kader van de vorming wordt het personeel van de PDOS bewust gemaakt van de problematiek inzake informaticaveiligheid. Een nieuw communicatie- en veiligheidsplan wordt trouwens momenteel gefinaliseerd. 

Belangrijke meldingen op het vlak van veiligheid worden onmiddellijk via het Intranet aan de gebruikers doorgespeeld. Individuele problemen worden via een geïntegreerde Service Desk door de gebruiker zelf gemeld. Deze “tool” laat toe om individueel de evolutie van de oplossing van het probleem op te volgen. Sinds het begin van 2012 werden zo 2541 vragen ingediend bij de Service Desk. Een twintigtal hadden betrekking op het onderwerp veiligheid.