SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2009-2010 Zitting 2009-2010
________________
29 janvier 2010 29 januari 2010
________________
Question écrite n° 4-6672 Schriftelijke vraag nr. 4-6672

de Bart Tommelein (Open Vld)

van Bart Tommelein (Open Vld)

à la ministre des PME, des Indépendants, de l'Agriculture et de la Politique scientifique

aan de minister van KMO's, Zelfstandigen, Landbouw en Wetenschapsbeleid
________________
Internet - Sites des autorités publiques - Sécurisation Internet - Overheidssites - Beveiliging 
________________
administration publique
ministère
Internet
site internet
criminalité informatique
protection des données
piratage informatique
administration électronique
overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid
________ ________
29/1/2010Verzending vraag
(Einde van de antwoordtermijn: 4/3/2010)
8/3/2010Antwoord
29/1/2010Verzending vraag
(Einde van de antwoordtermijn: 4/3/2010)
8/3/2010Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685
Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685
________ ________
Question n° 4-6672 du 29 janvier 2010 : (Question posée en néerlandais) Vraag nr. 4-6672 d.d. 29 januari 2010 : (Vraag gesteld in het Nederlands)

Le Nederlandse Government Computer Emergency Response Team (GOVCERT), l'organe consultatif de l'État néerlandais en matière informatique, fait état, dans son rapport annuel, d'une augmentation des risques de fraude concernant des données des autorités publiques et des citoyens.

Deux mois après la parution du rapport GOVCERT, la sécurité des sites des autorités publiques néerlandaises a été fortement mise en doute par Networking4all. Cette entreprise amstellodamoise de technologies de l'information et de la communication (TIC) a signalé l'absence de verrou digital sur la plupart des sites des autorités publiques, le certificat SSL (Secure Socket Layer). Ce certificat, reconnaissable au code “https” inséré dans la barre d'adresse sécurise la connexion entre l'ordinateur de l'utilisateur et le serveur des autorités publiques.

Je souhaiterais dès lors vous poser les questions suivantes :

1. Que fait-on pour assurer la protection, contre le piratage, de votre site web ainsi que de ceux des services publics fédéraux ou d'autres services relevant de votre compétence et qui ont leur propre site web?

2. Avez-vous connaissance de cas de vol de données privées sur les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence, et combien de données personnelles ou autres ont-elles été dérobées lors de chaque incident?

3. Combien de fois les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services relevant de votre compétence ont-ils fait l'objet de tentatives de vol de données privées ou autres? Avez-vous déposé plainte et si non, pourquoi? Si oui, les auteurs ont-ils été arrêtés ?

4. Les sites web de votre cellule stratégique, le vôtre ou ceux des services publics fédéraux et autres services et agences relevant de votre compétence disposent-ils tous d'un certificat SSL ou d'un autre verrou digital? Dans la négative, pourquoi et quand en seront-ils dotés?

5. Croyez-vous en la nécessité de prendre de nouvelles mesures pour renforcer la protection des sites des autorités publiques et si oui, lesquelles?

 

Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".

Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Ik heb dan ook volgende vragen:

1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?

2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?

3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?

4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?

5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?

 
Réponse reçue le 8 mars 2010 : Antwoord ontvangen op 8 maart 2010 :

En ce qui concerne l' Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA)

1. L’honorable membre comprendra qu’il n’est pas possible de donner une réponse détaillée. Les sites web de l’AFSCA sont protégés contre des hackers, dans les limites de ce qui est utile et nécessaire.

2. Jusqu’à présent l’AFSCA n’a pas constaté de vols de données privées .

3. Il n’a pas été constaté de tentatives de vol de données privées.

4. À part le site public : www.afsca.be , où ne se trouvent pas de données privées, tous les sites de l’AFSCA sont protégés par un certificat-SSL.

5. Une meilleure protection est toujours possible. Il n’est cependant pas prudent de traiter de moyens de sécurité en public.

En ce qui concerne le Centre d'Étude et de Recherches vétérinaires et agrochiomiques (CERVA):

1) Nous ne disposons à ce jour que d'un seul site public http://www.var.fgov.be. Ce site ne contient aucune donnée sensible et se trouve hébergé sur un serveur Linux situé dans la Demilitarized zone (DMZ) (Zone tampon située entre le réseau local et l'extérieur). Entre cette DMZ et notre réseau interne un firewall a été installé et nous permet la gestion des accès et la protection contre les tentatives d'intrusions. Le site étant la vitrine de notre société, il est destiné à tout public; aucune information publiée n'a un caractère confidentiel ou sensible; une ligne https ne se justifie donc pas. De plus un backup journalier est réalisé, ce qui nous permettrait de rétablir l'environnement complet (application et données comprises) endéans un laps de temps relativement court si un intrus venait à modifier nos pages et données WEB.

D'ici la fin 2011 nous prévoyons de développer un "Extranet Client". Le but sera de leur permettre de consulter en ligne le résultat des analyses vétérinaires et agrochimiques les concernant. La situation sera évidemment différente puisque dans ce cas là les données seront sensibles et confidentielles.

Des mesures de sécurité sont déjà envisagées telles que:

  • De fournir à chacun des utilisateurs un login et un mot-de-passe. Ce dernier devra être crypté.

  • De travailler sur ligne sécurisée (https)

  • Les données sensibles (fichiers de résultats d'analyse) ne se trouveront pas sur le même serveur que l'application extranet

Ce projet est en cours d'étude.

2) - aucun connu à ce jour

3) - pas d'essais détectés depuis mon entrée en service au CERVA (novembre 2005), mais le site était ancien. Notre nouveau site a été mis en production il y a un mois.

4) - Oui, pour le webmail. Il s'agit d'un certificat interne car il est uniquement destiné à nos utilisateurs.

En ce qui concerne le Bureau d’Intervention et de Restitution belge (BIRB)

1. Nous disposons d’une infrastructure sûre (présence d’un certificat SSL, du firewall CheckPoint et du proxy BlueCoat). Les utilisateurs ne peuvent se connecter qu'après avoir introduit un nom d'utilisateur et un mot de passe unique.

2. Aucun(e).

3. Pas de tentative.

4. Notre site web dispose d'un certificat SSL.

5. Pas pour l’instant.

En ce qui concerne le Service public fédéral (SPF) Économie :

Je me réfère à la réponse apportée à la question n° 4-6677 du 29 janvier 2010 par mon collègue le ministre pour l’Entreprise et la Simplification concernant la même matière.

En ce qui concerne l’Institut national assurances sociales pour travailleurs indépendants (INASTI)

1. L'approche en matière de sécurité pour ce qui est des sites web de l'INASTI repose sur la série de normes ISO 27000. Ces normes traitent de mesures de sécurité à tous les niveaux possibles (par exemple protection physique, sécurité d'accès logique, sécurité dans le domaine du développement de systèmes).

Cela résulte notamment dans le déploiement des systèmes de sites web dans différentes zones de sécurité.

Entre ces zones de sécurité, le trafic est limité à ce qui est strictement nécessaire et dans les zones, on contrôle en permanence les accès non autorisés (au moyen d'un Intrusion Detection System).

Par ailleurs, les accès aux sites web (par exemple via Internet), qui visent des informations confidentielles, sont eux aussi soumis à des contrôles spécifiques par l'utilisation de protocoles techniques (ex. secured sockets layer ou SSL) et de moyens d'authentification adéquats (les certificats SSL en sont un élément).

De plus, aucun système informatique de l'INASTI n'est directement accessible depuis l'extérieur. Toutes les communications vers et au départ d'Internet doivent passer par toute une batterie de pare-feu, serveurs mandataires (inversés), détecteurs de virus, systèmes de détection d'intrusion, web content scanners. À cet égard, on fait toujours application de la philosophie trust no one, tout le trafic Internet étant soumis à des contrôles répétés tant par l'INASTI que par les gestionnaires de l'Extranet de la Sécurité sociale.

Enfin, l'ensemble des applications et systèmes d'administration en ligne, que l'on peut atteindre via Internet est régulièrement soumis à un audit de sécurité externe par des auditeurs spécialisés dans le domaine.

2. Nous ne connaissons aucun cas à ce jour.

3. Il arrive que tous les sites web soient attaqués – généralement dans un cadre plus vaste par des organisations ou des individus pour tester les faiblesses de toute une série de sites web, dans l'espoir de tomber sur une lacune en matière de sécurité.

De par l'approche en matière de sécurité précédemment évoquée, le site web de l'INASTI est bien protégé contre ces problèmes.

Jusqu'à présent, nous n'avons pas encore constaté d'attaques spécifiques ou de tentatives de vol et aucune plainte n'a par conséquent été déposée.

4. L'accès, via Internet, au site web de l'INASTI (et aux parties qui permettent l'accès à des informations confidentielles) est toujours protégé au moyen du protocole SSL.

Ainsi, on assure non seulement la confidentialité de la communication, le protocole SSL est également utilisé à d'autres fins comme l'authentification des partenaires en termes de communication.

L'authentification d'un site web pour un utilisateur est réalisée par un système dont fait partie le certificat SSL.

En fonction de l'application, l'authentification de l'utilisateur peut elle aussi être exigée – dans ce cadre, on exige également un certificat SSL de l'utilisateur.

5. La sécurité est un processus permanent. L'évolution des risques en matière de sécurité de l'information et les possibilités de défense bénéficient dès lors d'un suivi permanent. En fonction de cela, on prend, si nécessaire, des mesures de sécurité supplémentaires.

On travaille en concertation avec les partenaires de la sécurité sociale, en tendant vers une synergie maximale par le biais de différentes plates-formes de concertation et de différents canaux d'information, sous les auspices de la BCSS et du comité sectoriel.

En qui concerne la DG Indépendants :

Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité Sociale. En effet, je ne suis compétente que sur le plan de la matière.

Pour toutes les autres questions (personnel, logistique, …) relatives au SPF Sécurité Sociale, et donc aussi pour la DG Indépendants, c’est la Ministre des Affaires Sociales qui est compétente.

En ce qui concerne la Politique scientifique fédérale (PSF):

1. Les sites web de la PSF sont protégés par un firewall destiné à filtrer les entrées. Ce logiciel comporte en outre un système de détection d’attaques (intrusion detection). L’accès aux informations protégées se fait au moyen de mots de passe complexes. En outre, le contrôle des adresses IP permet de rendre certaines données accessibles seulement à certains réseaux.

2. Les sites de la PSF ne contiennent pas de données personnelles.

3. À ce jour, il n’y a pas eu d’intrusion qui aurait permis de voler des informations protégées ou de causer des préjudices au contenu ou au fonctionnement des sites de la PSF.

4. La PSF ne dispose pas pour l’instant de certificat SSL. Ce type d’accès sera mis au point en 2010 pour certains de ses sites.

5. La PSF va procéder dans le courant de cette année à une mise à jour de ses systèmes (Windows 2008 R2) et à la virtualisation de ses serveurs web.

En ce qui concerne mon site :

1. Mon site internet est hébergé sur un serveur sécurisé avec une infrastructure LAMP (Linux/Apache/MySQL/PHP). L’accès au local du serveur est sécurisé. Un pare-feu est mis en place pour filtrer les connexions entrantes. L’accès au module administrateur est protégé par un mot de passe complexe.

2. Mon site internet ne contient pas de données personnelles, excepté la liste d’adresses des abonnés de la newsletter. L’accès à cette liste d’adresses se fait au moyen d’un module administrateur protégé par un mot de passe complexe.

3. À ce jour, il n’y a pas eu d’intrusion dans le module administrateur de mon site internet.

4. Mon site internet ne dispose pas de certificat SSL. Les internautes n’ayant pas la possibilité d’envoyer des informations, il n’est pas nécessaire d’encrypter le trafic.

5. Non, je ne pense pas que d’autres mesures sont à recommander pour mieux protéger les sites des autorités publiques.

Wat het Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) betreft :

1. Het geachte lid zal begrijpen dat hier niet in detail kan op geantwoord worden. Binnen de krijtlijnen van wat nuttig en nodig is worden de websites van het FAVV tegen hackers beschermd.

2. Er werden tot nu toe geen diefstallen van privégegevens vastgesteld.

3. Er werden evenmin pogingen tot diefstal van privé-gegevens vastgesteld.

4. Behalve de publieke website: www.favv.be , waarop geen privégegevens ter beschikking gesteld worden, beschikken alle websites van het FAVV over een SSL-certificaat.

5. Een betere bescherming is altijd mogelijk. Het is echter niet voorzichtig om veiligheidsmaatregelen publiek te behandelen.

Wat het Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA) betreft :

1) We beschikken momenteel maar over één publieke website http://www.var.fgov.be/ . De site heeft als “thuisbasis” een Linux server geplaatst in de Demilitarized zone – Buffer (DMZ) tussen het lokale netwerk en de buitenwereld), en bevat geen enkel gevoelig onderwerp. Er is een firewall geïnstalleerd tussen de DMZ en ons intern netwerk, die ons beheerstoegang geeft en ons beschermt tegen poging tot inbraak. De site, het raam naar ons bedrijf, is bedoeld voor elk publiek, bezit geen enkele vertrouwelijke of gevoelige informatie; een https-protocol is dus niet te verantwoorden. Daarenboven wordt een dagelijkse backup gemaakt, wat ons toelaat om de omgeving (inclusief applicaties en gegevens) binnen een korte tijdspanne te herstellen, indien een ongenode gast onze webpagina’s heeft bewerkt.

We voorzien om tegen het einde van 2011 een “Extranet Client” te ontwikkelen. Het doel hiervan is het mogelijk maken om de resultaten van de analyses van diergeneeskunde en agrochemie online te raadplegen. De situatie zal in dat geval natuurlijk anders zijn, omdat dit vertrouwelijke en gevoelige gegevens zijn.

We hebben al enkele veiligheidsmaatregelen voor ogen:

  • Voor elke gebruiker een login en paswoord voorzien. Dit laatste zal gecodeerd zijn

  • Werken op een beveiligde lijn (https)

  • De gevoelige gegevens (fiches met analyse resultaten) zullen zich niet op dezelfde applicatie als extranet bevinden.

Dit project wordt nog bestudeerd.

2) tot op heden is er geen gekend.

3) geen poging ontdekt sinds mijn indiensttreding op het CODA (11/2005), maar de site was verouderd. Onze nieuwe site is een maand geleden gelanceerd.

4) Ja, voor onze webmail. Het gaat om een intern certificaat dat alleen bestemd is voor onze gebruikers.

Wat het Belgisch interventie en restitutie bureau (BIRB) betreft :

1. We hebben een veilige infrastructuur (aanwezigheid van een SSL-certificaat, CheckPoint firewall en BlueCoat proxy). Gebruikers kunnen enkel inloggen na het ingeven van een unieke username en paswoord.

2. Geen.

3. Geen pogingen.

4. Onze website beschikt over een SSL-certificaat.

5. Voorlopig niet.

Wat de Federale Overheidsdienst (FOD) Economie betreft :

Verwijs ik naar het antwoord van mijn collega de minister voor Ondernemen en Vereenvoudigen op de vraag nr. 4-6677 van 29 januari 2010 betreffende dezelfde aangelegenheid.

Wat het Rijksinstituut voor de sociale verzekeringen der zelfstandige (RSVZ) betreft:

1. De veiligheidsaanpak met betrekking tot de websites van het RSVZ is gebaseerd op de ISO 27000 normenreeks. Deze normen behandelen veiligheidsmaatregelen op alle mogelijke niveaus (bijvoorbeeld fysieke beveiliging, logische toegangsbeveiliging, veiligheid bij ontwikkeling van systemen).

Dit resulteert o.a. in de ontplooiing van de websitesystemen in verschillende veiligheidszones.

Tussen deze veiligheidszones is het verkeer beperkt tot het strikt noodzakelijke en in deze zones worden permanent controles uitgeoefend op mogelijk ongeoorloofde toegangen (door middel van een Intrusion Detection System).

Ook worden de toegangen tot de websites (bijvoorbeeld via het internet), die toegang tot vertrouwelijke informatie bieden, aan specifieke controles onderworpen door het gebruik van gepaste technische protocols (bijvoorbeeld secured sockets layer of SSL) en authentificatiemiddelen (SSL certificaten zijn hiervan een onderdeel).

Bovendien is geen enkel informaticasysteem van het RSVZ rechtstreeks toegankelijk vanuit de buitenwereld. Alle communicatie van en naar het internet dient te passeren via een ganse batterij firewalls, (reverse) proxy servers, virus scanners, intrusion detection systemen, web content scanners. Hierbij wordt steeds de trust no one filosofie toegepast, waarbij alle internet trafiek onderworpen wordt aan herhaalde controles door zowel het RSVZ als de beheerders van het Extranet van de Sociale Zekerheid.

Ten slotte worden alle eGov toepassingen en systemen welke bereikbaar zijn via het internet op regelmatige basis onderworpen aan een externe veiligheidsaudit door hierin gespecialiseerde auditors.

2. Tot op heden zijn er ons geen gevallen bekend.

3. Alle websites worden wel eens aangevallen – meestal in een ruimer kader door organisaties of individuen om de zwakheden van een ganse reeks websites te testen, in de hoop ergens op een veiligheidslek te stoten.

Door de genoemde veiligheidsaanpak is de website van de RSVZ hiertegen goed bestand.

Er werden tot op heden geen gerichte aanvallen of pogingen tot diefstal waargenomen en bijgevolg werden er ook geen klachten ingediend.

4. De toegang via het internet tot de website van het RSVZ (en die gedeeltes die toegang bieden tot vertrouwelijke informatie) wordt altijd d.m.v. het SSL-protocol beschermd.

Zodoende wordt niet alleen de vertrouwelijkheid van de communicatie verzekerd, het SSL-protocol wordt ook gebruikt voor andere doeleinden zoals de authentificatie van de communicatiepartners.

De authentificatie van een website voor een gebruiker wordt gerealiseerd door een systeem waar het SSL-certificaat deel van uitmaakt.

Afhankelijk van de toepassing kan ook de authentificatie van de gebruiker geëist worden – in dit kader is eveneens een SSL-certificaat van de gebruiker vereist.

5. Veiligheid is een permanent proces. De evolutie van de risico’s inzake informatieveiligheid en de verdedigingsmogelijkheden worden dan ook voortdurend opgevolgd. In functie hiervan worden zo nodig bijkomende veiligheidsmaatregelen getroffen.

Dit gebeurt in permanent overleg met de partners uit de sociale zekerheid. Hierbij wordt er een maximale synergie nagestreefd door middel van verschillende overlegplatformen en informatiekanalen onder de auspiciën van de KSZ en het sectoraal comité.

Wat de DG Zelfstandigen betreft :

Aangezien ik enkel inhoudelijk bevoegd ben voor de DG Zelfstandigen van de FOD Sociale Zekerheid, beschik ik niet over de gevraagde gegevens. Voor alle andere onderwerpen (personeel, logistiek, …) met betrekking tot de FOD Sociale Zekerheid, en dus ook tot de DG Zelfstandigen, is het de minister van Sociale Zaken die bevoegd is.

Wat het Federaal Wetenschapsbeleid (FWB) betreft :

1. De websites van het FWB worden beschermd door een firewall die alles wat binnenkomt filtreert. Die software omvat ook een systeem dat aanvallen van buitenuit opspoort intrusion detection. De toegang tot beschermde gegevens gebeurt met complexe paswoorden. Met de controle van de IP-adressen is het mogelijk sommige gegevens enkel toegankelijk te maken in sommige netwerken.

2. De websites van het FWB bevatten geen persoonlijke gegevens.

3. Tot op heden zijn er geen pogingen tot hacken geweest waarbij zo mogelijk beschermde gegevens konden worden ontvreemd of schade worden berokkend aan de inhoud of de werking van de websites van het FWB.

4. Voor het ogenblik beschikt het FWB nog niet over een SSL-certificaat. Voor sommige van zijn sites wordt dat type van toegang ontwikkeld in 2010.

5. In de loop van dit jaar gaat het FWB zijn systemen updaten (Windows 2008 R2) en zijn webservers virtualiseren.

Wat van mijn website betreft :

1. Mijn website wordt gehost op een beveiligde server met een LAMP-infrastructuur (Linux/Apache/MySQL/PHP). De toegang tot de serverruimte is beveiligd. Er werd een firewall geïnstalleerd om de binnenkomende verbindingen te filteren. De toegang tot de administratormodule is beveiligd met een complex wachtwoord.

2. Mijn website bevat geen persoonsgegevens, behalve de adressenlijst van de houders van een abonnement op de nieuwsbrief. De toegang tot deze lijst is enkel mogelijk via een administratormodule beveiligd met een complex wachtwoord.

3. Tot op heden werd de administratormodule van mijn website nog niet binnengedrongen.

4. Mijn website beschikt niet over een SSL-certificaat. Omdat de internetgebruikers geen informatie kunnen verzenden, is het niet nodig het verkeer te versleutelen.

5. Neen, ik denk niet dat er andere maatregelen nodig zijn om de sites van de overheid beter te beveiligen.