SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2009-2010 Zitting 2009-2010
________________
7 décembre 2009 7 december 2009
________________
Question écrite n° 4-5187 Schriftelijke vraag nr. 4-5187

de Franco Seminara (PS)
van Franco Seminara (PS)

au vice-premier ministre et ministre des Finances et des Réformes institutionnelles
aan de vice-eersteminister en minister van Financiën en Institutionele Hervormingen
________________
Banques en ligne - Sécurité - Conseils aux particuliers - Commission bancaire, financière et des assurances (CBFA) - Recommandations aux banques Internetbanken - Beveiliging - Raad voor particulieren - Commissie voor het Bank-, financie- en assurantiewezen (CBFA) - Aanbevelingen voor de banken 
________________
bancatique
établissement de crédit
site internet
Internet
criminalité informatique
protection des données
Financial Services and Markets Authority
piratage informatique
elektronische bankhandeling
kredietinstelling
internetsite
internet
computercriminaliteit
gegevensbescherming
Financial Services and Markets Authority
computerpiraterij
________ ________
7/12/2009Verzending vraag
(Einde van de antwoordtermijn: 8/1/2010)
3/2/2010Antwoord
7/12/2009Verzending vraag
(Einde van de antwoordtermijn: 8/1/2010)
3/2/2010Antwoord
________ ________
Herindiening van : schriftelijke vraag 4-4588 Herindiening van : schriftelijke vraag 4-4588
________ ________
Question n° 4-5187 du 7 décembre 2009 : (Question posée en français) Vraag nr. 4-5187 d.d. 7 december 2009 : (Vraag gesteld in het Frans)

Des événements relatés récemment dans la presse ont une nouvelle fois alimenté les craintes des utilisateurs des sites Internet des banques belges alors que, pourtant, les économies de leur clientèle n'ont pas subi de ponctions indésirables.

Ainsi, un pirate informatique roumain s'est emparé de données utilisées par des clients d'ING et de Dexia pour faire un tour sur des parties des sites Internet de ces banques.

Bien qu'il n'ait touché à rien de sensible, il a démontré la fragilité des systèmes de protection de ces deux organismes.

Le problème de la sécurité est géré aujourd'hui en Belgique via l'utilisation d'un identifiant et de mots de passe d'accès et transactionnel.

Si l'adoption du système de codes générés par un Digipass est une garantie de sécurité suffisante pour les opérations bancaires, il n'en demeure pas moins que la multiplication de cas de hackers parvenant à accéder aux données d'utilisateurs démontre qu'il faut toutefois rester méfiant, surtout à propos des ordinateurs des particuliers qui effectuent des opérations bancaires chez eux.

Ainsi mes questions sont les suivantes :

1. Les failles de sécurité semblent énormes chez les particuliers. Quel message leur adressez-vous pour les rassurer ?

2. La Commission bancaire, financière et des assurances (CBFA), compétente en la matière, a-t-elle pris des initiatives de contrôle ?

3. Quels types de recommandations émet-elle aux banques sur la sécurisation des opérations financières circulant sur le réseau ?

 

Gebeurtenissen waarover onlangs in de pers werd geschreven, hebben de ongerustheid van de gebruikers van de internetsites van de Belgische banken nog doen toenemen, hoewel de spaartegoeden van hun klanten geen ongewenste aderlatingen hebben ondergaan.

Zo heeft een Roemeense computerpiraat gegevens bemachtigd die door klanten van ING en Dexia worden gebruikt om bepaalde delen van de internetsites van die banken te bezoeken.

Het gaat weliswaar niet om gevoelige gegevens, maar toch heeft hij op die manier de kwetsbaarheid van de beveiligingssystemen van die twee instellingen kunnen aantonen.

De beveiliging wordt in België thans beheerd via het gebruik van een identificatiecode en toegangs- en transactiewachtwoorden.

Het systeem van de codes die door een Digipass worden verstrekt waarborgt de bankoperaties wel voldoende, maar dat neemt niet weg dat de vermenigvuldiging van het aantal gevallen van hackers die erin slagen toegang te krijgen tot de gebruikersgegevens aantoont dat men op zijn hoede moet blijven. Dat geldt vooral voor de computers van particulieren die thuis bankoperaties verrichten.

Ik heb volgende vragen :

1. Bij de particulieren blijken er enorm veel zwakke plekken te zijn in de beveiliging. Op welke manier kunt u hen geruststellen?

2. Heeft de Commissie voor het Bank, Financie- en Assurantiewezen (CBFA), die ter zake bevoegd is, controle-initiatieven genomen?

3. Welke aanbevelingen geeft ze de banken voor de beveiliging van financiële transacties op het internet?

 
Réponse reçue le 3 février 2010 : Antwoord ontvangen op 3 februari 2010 :

La protection des transactions financières par internet dépend tant des infrastructures internet utilisées par les établissements financiers et des services internet qu'ils fournissent que de la sécurité des ordinateurs des clients.

1) Vu la grande importance des services bancaires et financiers électroniques que fournissent les établissements financiers et la nécessité de préserver la confiance du public dans ces services, le contrôle de la sécurité des services financiers par internet occupe une place à part entière au sein du contrôle prudentiel exercé par la Commission bancaire, financière et des assurances (CBFA).

Les actions prudentielles de la CBFA en la matière comprennent non seulement des instructions aux établissements financiers en ce qui concerne les mesures de sécurité qui sont attendues de leur part, mais également des contrôles sur place auprès d’établissements individuels.

La circulaire CBFA_2009_17 du 7 avril 2009 relative aux « services financiers via internet » examine longuement les mesures de sécurité à prendre par les établissements financiers pour faire face aux risques liés à l’internet. Parmi ces mesures figurent notamment les éléments clés suivants :

  • l'utilisation de méthodes d'authentification solides qui soient adaptées à la nature et aux risques des services internet fournis et qui permettent de vérifier avec un degré de certitude très élevé l'identité des utilisateurs ;

  • l'application de solutions de sécurité et/ou de surveillance pour empêcher ou détecter les opérations frauduleuses avant qu'elles se concrétisent ;

  • le recours à des techniques de cryptage solides et reconnues afin de préserver la confidentialité des informations et des opérations entre l'ordinateur du client et l'établissement financier.

La CBFA effectue régulièrement des contrôles auprès des établissements financiers quant à la sécurité des services internet qu'ils fournissent. Les points d’attention établis à cette occasion sont périodiquement ajustés en concertation avec le secteur. En raison des fraudes constatées ces dernières années, ces actions de contrôle prudentiel, ainsi que la concertation sectorielle qui les accompagne, ont encore été étendues.

2) À la lumière des efforts en matière de sécurité qu'ont fournis les établissements financiers pour limiter autant que possible les risques liés à l’internet, et sur la base du contrôle exercé par la CBFA en cette matière, la sécurité des ordinateurs des clients constitue actuellement le maillon qui se révèle être de loin le plus faible dans la chaîne de sécurité. C’est pourquoi la circulaire du 7 avril 2009 relative aux « services financiers via internet » invite les établissements financiers à prendre notamment les mesures suivantes :

  • tenir compte, dans le choix de leurs solutions de sécurité, des risques de sécurité internet du côté des clients, ainsi que de la possibilité pour les clients d'évaluer ces risques et de se prémunir contre eux ;

  • informer à temps la clientèle de nouvelles évolutions et de nouveaux points d'attention en matière de sécurité dans l'utilisation des services internet fournis, et/ou sensibiliser les clients à ces aspects.

Il y a lieu par ailleurs de sensibiliser l’ensemble des utilisateurs internet aux risques liés à l’utilisation de l’internet et aux mesures de prévention et de protection qu'ils doivent prendre en la matière. La création, il y a peu, par le gouvernement belge, d’un Computer Emergency Response Team (CERT) national, est particulièrement utile et importante à cet égard. Le CERT est chargé notamment de sensibiliser les entreprises et les citoyens de notre pays aux différents risques que présente l’internet ainsi qu’aux mesures de prévention à prendre.

De beveiliging van het financieel internetverkeer hangt af van zowel de veiligheid van de door de financiële instellingen gebruikte Internetinfrastructuren en aangeboden Internetdiensten, als van de beveiliging van de computers van de cliënten.

1) Gelet op het grote belang van de door de financiële instellingen aangeboden e-banking- en e-finance-diensten en de noodzaak om het vertrouwen van het publiek in deze diensten te vrijwaren, neemt de controle op de beveiliging van de financiële Internetdiensten een vaste plaats in binnen het prudentieel toezicht van de Commissie voor het Bank-, financie- en assurantiewezen (CBFA).

De prudentiële acties van de CBFA op dit vlak omvatten niet alleen richtlijnen voor de financiële instellingen inzake de van hun verwachte beveiligingsmaatregelen, maar ook on site controles bij individuele instellingen.

In de circulaire CBFA_2009_17 van 7 april 2009 betreffende "financiële diensten via het Internet", wordt uitgebreid aandacht besteed aan de door de financiële instellingen te treffen beveiligingsmaatregelen tegen de Internetrisico's. Enkele sleutelelementen hierin zijn de aanwending van :

  • sterke authentificatiemethodes die aangepast zijn aan de aard en de risico’s van de aangeboden Internetdiensten en die toelaten de identiteit van aangemelde gebruikers met een zeer hoge graad van zekerheid te verifiëren ;

  • gepaste beveiligings- en/of monitoring-oplossingen om frauduleuze verrichtingen te verhinderen of te detecteren vóór ze worden uitgevoerd ;

  • sterke en algemeen erkende “encryptie”-technieken om de confidentialiteit van de informatie en verrichtingen tussen de cliëntencomputer en de financiële instelling te vrijwaren.

De CBFA voert regelmatig controles uit bij de financiële instellingen betreffende de beveiliging van de door hun aangeboden Internetdiensten. De hierbij vastgestelde algemene aandachtspunten worden periodiek met de sector afgestemd. Door de fraudes van de laatste jaren zijn deze prudentiële controle-acties en het bijbehorende sectoroverleg nog uitgebreid.

2) In het licht van de beveiligingsinspanningen van de financiële instellingen om de Internetrisico's zoveel mogelijk te beperken en het toezicht hierop door de CBFA, vormt de veiligheid van de cliëntencomputers heden veruit de zwakste schakel in de beveiligingsketting. Daarom worden de financiële instellingen in de circulaire "financiële diensten via het Internet" van 7 april 2009 onder meer gevraagd :

  • om bij de keuze van hun beveiligingsoplossingen rekening te houden met de Internetbeveiligingsrisico’s langs de cliëntenzijde en de mogelijkheid van de cliënten om deze risico’s in te schatten en af te dekken ;

  • de cliënten adequaat en tijdig te informeren over en/of te sensibiliseren voor nieuwe evoluties en aandachtspunten inzake het veilig gebruik van de aangeboden Internetoplossingen.

Daarnaast is het noodzakelijk om alle Internetgebruikers te sensibiliseren voor de risico's van het Intertnetgebruik en de door de Internetgebruikers te treffen voorzorgs- en beschermingsmaatregelen. De recente oprichting van een nationaal Computer Emergency Response Team (CERT) door de Belgische regering is ter zake bijzonder nuttig en belangrijk. Het CERT heeft onder andere als taak de Belgische bedrijven en burgers te sensibiliseren voor de verschillende Internetrisico's en de door hun te treffen voorzorgsmaatregelen.