SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
4 octobre 2013 4 oktober 2013
________________
Question écrite n° 5-10019 Schriftelijke vraag nr. 5-10019

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la vice-première ministre et ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen
________________
Criminalité informatique - Appareils mobiles - Sécurisation - Tableau général Cybercrime - Mobiele toestellen - Beveiliging - Overzicht 
________________
criminalité informatique
téléphone mobile
protection des données
virus informatique
communication mobile
computercriminaliteit
mobiele telefoon
gegevensbescherming
computervirus
mobiele communicatie
________ ________
4/10/2013 Verzending vraag
18/12/2013 Rappel
30/1/2014 Rappel
5/3/2014 Herkwalificatie
21/3/2014 Antwoord
4/10/2013 Verzending vraag
18/12/2013 Rappel
30/1/2014 Rappel
5/3/2014 Herkwalificatie
21/3/2014 Antwoord
________ ________
Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10020
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10025
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031
Requalifiée en : demande d'explications 5-4865
Aussi posée à : question écrite 5-10013
Aussi posée à : question écrite 5-10014
Aussi posée à : question écrite 5-10015
Aussi posée à : question écrite 5-10016
Aussi posée à : question écrite 5-10017
Aussi posée à : question écrite 5-10018
Aussi posée à : question écrite 5-10020
Aussi posée à : question écrite 5-10021
Aussi posée à : question écrite 5-10022
Aussi posée à : question écrite 5-10023
Aussi posée à : question écrite 5-10024
Aussi posée à : question écrite 5-10025
Aussi posée à : question écrite 5-10026
Aussi posée à : question écrite 5-10027
Aussi posée à : question écrite 5-10028
Aussi posée à : question écrite 5-10029
Aussi posée à : question écrite 5-10030
Aussi posée à : question écrite 5-10031
Requalifiée en : demande d'explications 5-4865
________ ________
Question n° 5-10019 du 4 octobre 2013 : (Question posée en néerlandais) Vraag nr. 5-10019 d.d. 4 oktober 2013 : (Vraag gesteld in het Nederlands)

Depuis ces dernières années, la criminalité informatique progresse dans le monde entier. Les ordinateurs en ont été les premières victimes mais plusieurs experts remarquent que les criminels informatiques déplacent leur activité vers les appareils mobiles (téléphones cellulaires, tablettes,…). Il ressort ainsi du Rapport Norton 2013, un rapport de référence sur la sécurité informatique, que quelque 48 pour cent des utilisateurs de smartphones et de tablettes ne prennent aucune mesure en vue d'assurer la protection de leur appareil mobile. C'est pourtant à conseiller parce que les hackers peuvent y trouver accès à toutes sortes de données personnelles et professionnelles

J'aimerais poser les questions suivantes :

1) A-t-on déjà constaté durant ces trois dernières années des infections de smartphones ou de tablettes par un virus, un maliciel, un logiciel espion, etc. ? Pouvez-vous communiquer le nombre de ces constats ?

2) Avez-vous une idée du nombre de membres du personnel qui ont accès via leur smartphone ou leur tablette à des données professionnelles (par exemple sur le nuage informatique) ? Pouvez-vous communiquer ce nombre ?

3) Si ce n'est pas le cas : estimez-vous nécessaire de mieux cartographier l'usage de smartphones et de tablettes par votre personnel, puisque ces appareils mobiles peuvent donner à des cybercriminels l'accès à des données professionnelles ? Pouvez-vous expliquer votre choix ?

4) Surveille-t-on la connexion des tablettes et des smartphones au système informatique du travail ? Pourquoi le fait-on ou ne le fait-on pas ?

5) Si vos services reçoivent de l'information sur la sécurité informatique et sur les dangers, accorde-t-on aussi de l'attention à la sécurité des appareils mobiles, comme les tablettes et les smartphones ? Si oui, de quelle façon ? Si non, ne pensez-vous pas que cela soit nécessaire ?

6) Connaissez-vous le nombre de membres du personnel qui ont reçu une tablette ou un smartphone de leur employeur ? Pouvez-vous communiquer ces chiffres ?

7) Vos informaticiens sont-ils suffisamment au courant de cette tendance ? Si non, ne pensez-vous pas que ce soit nécessaire ? Si oui, de quelle manière y réagissent-ils ?

 

De jongste jaren is cybercrime aan een ware opmars bezig over de hele wereld. Daar waar voorheen vooral computers het primaire slachtoffer van deze criminelen waren, merken verschillende experts op dat cybercriminelen hun activiteit ook naar de mobiele toestellen (gsm , tablet, …) verplaatsen. Uit het zogenaamde Norton Report 2013, een toonaangevend rapport inzake cyberbeveiliging, blijkt dat zo'n 48 % van de smartphone- en tabletgebruikers geen maatregelen neemt om hun mobiele toestellen te beveiligen. Dit valt toch aan te raden, omdat hackers mogelijk hierdoor toegang hebben tot allerlei persoonlijke en professionele data.

Graag had ik volgende vragen gesteld:

1) Zijn er de jongste drie jaar reeds vaststellingen gedaan met betrekking tot besmette smartphones of tablets door een virus/malware/spyware/enz.? Kunt u deze cijfers meedelen?

2) Hebt u een beeld van het aantal personeelsleden die via hun smartphone of tablet toegang hebben tot professionele data (bijvoorbeeld via cloud computing)? Kunt u deze cijfers meedelen?

3) Indien neen op de vorige vraag: acht u het nodig om het gebruik van smartphones en tablets door uw personeel beter in kaart te brengen, aangezien hun toestellen mogelijk een toegangspoort voor cybercriminelen kunnen zijn naar professionele gegevens? Kunt u toelichten waarom wel of niet?

4) Wordt er toegezien op de koppeling van tablets of smartphones met de informatica van op het werk? Waarom wel of niet?

5) Indien uw diensten informatie krijgen over het beveiligen van de informatica en de gevaren hieromtrent, is er dan ook aandacht voor de beveiliging van mobiele apparaten, zoals tablets of smartphones? Indien ja, op welke manier? Indien neen, acht u dit nodig?

6) Hebt u cijfers over het aantal personeelsleden die een smartphone of tablet gekregen hebben van hun werkgever, en kunt u deze cijfers meedelen?

7) Zijn uw informatici voldoende op de hoogte van deze trend? Indien neen, is dit volgens u noodzakelijk? Indien ja, op welke manier spelen zij hierop in?

 
Réponse reçue le 21 mars 2014 : Antwoord ontvangen op 21 maart 2014 :

1) Aucune panne, aucun dysfonctionnement liés à une possible cyber-attaque via mobile n'ont jamais été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs

2) Les polices de sécurité actuelles ne permettent pas l’accès à des données professionnelles dans des systèmes ‘cloud’ non autorisés. L’accès aux systèmes internes est réalisé pour 207 comptes de messagerie différents.

3) Depuis 2011, le service ActiveSync d’Exchange est activé et utilisable par tout agent possédant un terminal mobile (smartphone ou tablette) pour se connecter à sa messagerie électronique professionnelle.

4) Un accès limité est prévu via Wi-Fi et SSLVPN pour les tablettes et smartphones. Le Wi-Fi permet la synchronisation d'e-mails et SSLVPN permet d'accéder au site intranet et aux disques partagés. Tous les appareils mobiles et externes obtiennent l'accès au niveau limité à condition de respecter un certain nombre (restreint) de règles de sécurité et pour autant que leur système d'exploitation soit supporté par le Service public fédéral (SPF). Les appareils sont isolés par un pare-feu du reste du réseau interne. L'intention est, à l'avenir, d'augmenter fortement à la fois le niveau de sécurité et les services offerts par l'utilisation de Netwerk Access Control (NAC) et de Mobile Device Management (MDM).

5) Les services techniques du SPF pratiquent la veille technologique, et sont sensibilisés aux risques liés aux nouvelles technologies. Différentes sources d’informations techniques à caractère sécuritaire sont suivies en permanence, et en cas d’alerte, les recommandations sont appliquées d’urgence.

6) Les profils de communication officiels du service logistique ont dénombré 184 agents ayant un profil doté de smartphone ou de tablette. 384 terminaux mobiles différents ont été connectés depuis 2011, dont 297 encore actifs en 2013, représentant en réalité environ 200 agents.

7) Le travail mobile est devenu une nécessité sociétale, en particulier pour les fonctions nécessitant une connexion permanente (top managers, communication, inspection, gestion des crises et gardes, etc.). Les risques sont en cours d’évaluation et des solutions techniques de contrôle à distance des appareils mobiles vont être évaluées prochainement.

Les techniciens des services de supports devront également être formés aux nouveaux produits et techniques afin d’assurer le niveau de qualité du service et la sécurité optimale des données embarquées dans les terminaux. 

SPF Sécurité Sociale. 

1)  À notre connaissance, il n’y a eu, durant ces trois dernières années, aucun constat.

2)  Oui. 165 membres du personnel du SPF ont accès via leur smartphone ou leur tablette à des données professionnelles qui se trouvent sur le mailserver : messages électroniques, contacts et calendrier.

En outre, le SPF offre le même service au Service de médiation Pensions et aux collaborateurs du Cabinet du ministre des Pensions et du Secrétaire d’État aux Affaires sociales, aux Familles et aux Personnes handicapées : 39 personnes 

3)  Pas d’application 

4)  Oui. Le SPF autorise la connexion des tablettes et des smartphones au mailserver interne. La surveillance de cette connexion permet, entre autres, de faire appliquer certaines politiques telles que l’obligation d’utiliser un mot de passe sur l’appareil mobile. De même, il est possible, en cas d’incident (perte, vol, etc.), d’interrompre la connexion et d’effacer à distance des données sur l’appareil mobile. 

5)  Oui. La sécurité des appareils mobiles fait l’objet d’une attention. Ces appareils ne peuvent établir une connexion qu’avec le mailserver, ils n’ont pas accès au réseau interne du SPF, pas plus qu’aux application et aux données. 

6)  Oui. Il s’agit de 150 membres du personnel. 

7)  Oui. Les informaticiens du SPF sont bien au courant de cette tendance. Différents séminaires ont été organisés à cet effet. De la sorte, en matière de sécurisation, les possibilités des matériels et logiciels existants sont exploitées au maximum. De plus, une étude a été réalisée concernant le « mobile device management ». 

Institut national d’assurance maladie-invalidité (INAMI)

1.) Aucune constatation de ce type n’a été faite. 

2.) Il n’y a aucun accès direct possible vers les services Cloud à partir du réseau de l’INAMI. Les filtres Internet bloquent l’accès vers des sites tels que DropBox, en plus, le transfert automatique des messages électroniques des boîtes de messagerie professionnelles vers les boîtes de messagerie privées est également bloqué. Néanmoins, un utilisateur peut contourner ces mesures et mettre des fichiers professionnels dans le Cloud public.

Afin de conscientiser le personnel sur ces risques, l’INAMI a implémenté un code de bonne conduite pour l’usage du Cloud.

Un nombre limité de smartphone a un accès au mail professionnel.

  • Une cinquantaineaine d’utilisateurs disposent d’un BlackBerry où l’intégration avec le système e-mail professionnel se fait via le serveur BlackBerry Enterprise. Cette plateforme sera bientôt abandonnée.

  • Une quinzaine d’utilisateurs ont accès au mail professionnel sur Android et iOS via la plateforme MobileIron gérée par la Smals.  

3.) En prévision de la disparition de la plateforme BlackBerry, l’INAMI ai préparé une nouvelle politique d’accès pour les appareils mobiles qui fixe les modalités à suivre pour accéder aux systèmes professionnels à partir de ces appareils. 

4) Il n’y aucun accès direct sur le réseau de l’INAMI à partir des tablettes et smartphones. Toutefois, on peut accéder à l’Internet via le réseau sans-fils de l’INAMI, sans pour autant accéder aux systèmes du réseau de l’INAMI. 

Un groupe cible restreint peut accéder au système email professionnel via la plateforme MobileIron de la Smals. Les règles suivantes sont imposées au niveau des smartphones et tablettes :

  • Tout appareil Android doit avoir un antivirus installé

  • L’utilisation d’un mot de passe est obligatoire

  • La possibilité de supprimer des fichiers à distance ou automatiquement après introduction d’un certain nombre de mots de passe erronés 

5.) Oui, voir point 4 de la question.

Le service informatique assure  une veille technologique continue en collaboration avec la Smals. 

6. Il y a une cinquantaine de BlackBerries en utilisation

Une dizaine de tablettes iPads

Puis il y a 5 iPad et smartphones Android confondus propres aux utilisateurs (BYOD) qui ont accès aux mails professionnelsvia la plateforme MobileIron de la Smals (voir point 4 de la question) 

7.) Le service informatique assure une veille technologique et suit les tendances de l’informatique « mobile » en collaboration avec la Smals.

Une nouvelle politique d’accès pour les appareils mobiles est en préparation. Elle fixera les modalités à suivre pour accéder aux systèmes professionnels à partir de ces appareils 

Office national de sécurité sociale (ONSS) 

1.) À ce jour, l’ONSS n’a constaté aucune contamination de quelque nature que ce soit de ses smartphones/tablettes. 2.) 16 utilisateurs  ont actuellement, uniquement accès à leur courriels professionnels par le biais d’un Blackberry et/ou d’un Ipad. Cet accès s’obtient sur des serveurs sécurisés par la Smals. Le trafic de données entre la Smals et l’ONSS s’effectue sur une ligne  Belgacom.

En raison de réunions externes, un utilisateur a recours au cloudservice “Dropbox” sur un Ipad. Les fichiers ne sont enregistrés sur ce compte que le temps nécessaire à son travail, de sorte que le risque d’exposition est minimal.

Dès que la Smals mettra son propre sharepoint en production, l’Office passera dans son environnement. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) La connexion de tablettes ou de smartphones au réseau informatique de l’ONSS est très réglementée. A ce jour, la politique de l’ONSS n’est pas celle du “bring your own device” de sorte qu’en tant qu’institution, l’Office garde le contrôle sur la nature des smartphones/tablettes qui obtiennent un accès. Ceci permet l’Office d’exclure déjà de l’analyse des risques les appareils affichant un profil à risque élevé.

Tout utilisateur de cette technologie est par ailleurs tenu de respecter un code déontologique qui est adapté, le cas échéant. 

5.) La presse quotidienne et les sites spécialisés sont régulièrement consultés.

La Smals avertit l’ONSS de certaines situations à risque. Ceci concerne également la sécurité des appareils mobiles (par exemple: le risque de sécurité lié à la consultation de documents PDF par le biais de l’application Adobe prévue à cet effet sur les Blackberry, les risques de sécurité inhérents à une mise à jour immédiate en IOS 7.0 sur les ipads).

Voici les mesures mises en oeuvre:

  • les utilisateurs sont avertis par courriel en cas de risque élevé (nouveau virus, mise à jour instable, application constituant un risque pour la sécurité) ;

  • le service informatique reprend régulièrement les appareils et les met à jour, le cas échéant ;

  • les utilisateurs sont informés des risques dont ils doivent tenir compte dans le cadre d’une utilisation normale des appareils dont ils disposent. 

6.) 16 utilisateurs disposent d’un smartphone de type Blackberry et 8 d’entre eux disposent également d’une tablette de type Ipad. 

7.) Oui, ils réagissent de la façon suivante:

  • ils se tiennent informés des risques potentiels liés à ces supports grâce à la presse et à l’Internet;

  • ils collaborent étroitement avec les départements concernés de la Smals en charge de la sécurité du trafic desdonnées de l’Office et veillent, en concertation avec ces derniers, à ce que les appareils mobiles fonctionnent de la manière la plus courante tout en offrant une sécurité maximale. 

Caisse auxiliaire d'assurance maladie-invalidité (CAAMI) 

1). Non, il n’y pas eu de cas constaté. 

2.) Il y a 1 personne qui a accès à des données professionnelles en utilisant un smartphone ou tablette. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) Non. La politique de sécurité interdit ce genre de pratique. Les postes de travail sont déjà protégés par un antivirus. 

5.) Les appareils dont la CAAMI dispose actuellement ont des sécurités intégrées. Cependant lors du renouvellement de ces appareils une attention particulière devra être apportée pour leur sécurisation. 

6.) 42  membres du personnel ont reçu une tablette ou un smartphone de la CAAMI. 

7.) Non, la Caisse  trouve que ses informaticiens ne sont pas suffisamment au courant de cette tendance. L’organisme est d’avis qu’il est effectivement nécessaire de sensibiliser davantage ses informaticiens  à cette problématique. 

Office national de sécurité sociale des administrations provinciales et locales (ONSSAPL) 

1.) Aucune panne, aucun dysfonctionnement liés à une possible cyber-attaque via mobile n'ont jamais été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs 

2. L’ONSSAPL n’utilise pas le Cloud Computing, Certains utilisateurs accèdent à leurs Emails via Blackberry. 

3.) Non, les Blackberry n’ont aucun d’accès direct au le réseau de l’ONSSAPL 

4.) L’ONSSAPL dispose d’un serveur Blackberry connecté au réseau. C’est uniquement par ce serveur dédicacé Blacberry que l’utilisateur peut accéder à ses E-mails via Blackberry. 

5.) Les services techniques de l’ONSSAPL pratiquent la veille technologique, et sont sensibilisés aux risques liés aux nouvelles technologies.Différentes sources d’informations techniques à caractère sécuritaire sont suivies en permanence, et en cas d’alerte, les recommandations sont appliquées d’urgence. 

6.) L’ONSSAPL dispose de 26 smartphones Blackberry. 

7.) Le travail mobile est devenu une réalité pour bon nombre d’agents, en particulier pour les fonctions nécessitant une connexion permanente (top managers, gestion des crises et gardes, etc.).Les techniciens des services de supports devront également être formés aux nouveaux produits et techniques afin d’assurer le niveau de qualité du service et la sécurité optimale des données embarquées dans les terminaux. 

Caisse de secours et de prévoyance en faveur des marins (CSPM) 

1.) La CSPM n'utilise pas de smartphones ou de tablettes.

2.) Les membres du personnel n'ont pas accès aux données professionnelles au moyen de leur propre smartphone.  

3.) Pas d’application suite à la réponse au point 2 de la question. 

4.) La connexion des tablettes et des smartphones au système informatique n'est pas spécifiquement surveillée étant donné que la CSPM n'en utilise pas. Si le service de sécurité agréé de la CSPM formulait des avis afin de mieux sécuriser l'utilisation des smartphones ou des tablettes, la CSPM teindra compte de ces avis.  

5.) La CSPM est affiliée auprès du service de sécurité agréé de la Smals. Les avis de ce service de sécurité agréé sont mis en œuvre.  

6.) Aucun membre du personnel n'a reçu un smartphone ou une tablette. 

7.) La CSPM a 1 collaborateur ICT interne et 1 externe. Ils sont au courant des nouvelles tendances. Ils sont toujours associés aux procédures de sécurité ICT. 

Office du sécurité sociale d’outre-mer (OSSOM)

 1.) L’OSSOM ne dispose ni de smartphones ni de tablettes.

2.) Les membres du personnel de l’OSSOM n’ont pas accès à des informations professionnelles via leur smartphone ou leur tablette. 

3.) Il pourrait être utile d’inventorier l’usage des smartphones et tablettes. 

4.) Un scan régulier du réseau LAN interne permet de vérifier si des smartphones ou des tablettes y sont connectés. 

5.) Oui, le contrôle est opéré via le consultant en sécurité de l’information de l’OSSOM qui veille au respect des normes minimales en matière de sécurité de l’information (imposées par la BCSS). 

6.) Aucun membre du personnel n’a reçu de smartphone ou de tablette du travail. 

7.) Oui, les informaticiens de l’OSSOM sont suffisamment au courant de cette tendance, la problématique du BYOD (Bring Your Own Device) est bien connue.

Un scan régulier du réseau LAN interne est réalisé pour détecter éventuellement ces appareils et ensuite les déconnecter. 

Office de contrôle des mutualités et des unions nationales de mutualités (OCM) 

1.) Aucun membre du personnel de l'Office de contrôle des mutualités et des unions nationales de mutualités n'utilise de smartphone ou de tablette à des fins professionnelles.

2 et 4.) L'accès au réseau informatique de l'Office de contrôle est sécurisé par la biais d'un système d'authentification qui empêche tout accès audit réseau via une tablette ou un smartphone. 

3.) Pas d’application suite à la réponse au point 2 de la question. 

5.) L'Office de contrôle n'a jusqu'à présent pas reçu d'information spécifique concernant la protection des appareils mobiles tels que les tablettes ou smartphones. Une telle information n'est pour le moment pas nécessaire dans la mesure où aucun membre du personnel de l'Office utilise un smartphone ou une tablette à des fins professionnelles. Toutefois, si à l'avenir des tablettes ou smartphones devaient être mis à disposition de tout ou partie des membres du personnel, il va de soi que l'attention nécessaire sera portée à la sécurisation desdits tablettes et smartphones. 

6.) Aucun membre du personnel n'a reçu un smartphone ou une tablette.  

7.) Oui. Afin de tenir compte du danger accru de contamination par le biais, entre autres, d'une tablette ou d'un smartphone, un inventaire permanent des logiciels présents sur tous les ordinateurs, ainsi qu'un contrôle permanent des mises à jour des antivirus et des détecteurs d'attaques ont été mis en place. 

Banque-carrefour de la sécurité sociale + Plate-forme eHealth 

1.) La Banque-carrefour de la sécurité sociale et la plate-forme eHealth ne mettent, pour l’instant, ni smartphones ni tablettes à la disposition de ses collaborateurs, dans le cadre de l'accomplissement de leurs tâches professionnelles. 2.) Les collaborateurs de la BCSS ne peuvent pas avoir accès au réseau professionnel interne de la BCSS via leur smartphone privé ou leur tablette privée. Cet accès n’est rendu possible que par des moyens techniques appropriés (système de gestion des accès). 

3 et 4.) Pas d’application, compte tenu de la réponse donnée à la question 2. 

5 et 7.) Dans le cadre de l’ISMS (Information Security Management System) de la sécurité sociale, le groupe de travail « sécurité de l’information », créé au sein du Comité Général de Coordination de la BCSS, a déjà mis en place une politique (la politique ISMS.046 ), laquelle inclut des directives pour l’utilisation d’appareils mobiles au sein des institutions de sécurité sociale, et ce à des fins professionnelles. Cette politique s’applique tant aux appareils mobiles mis à disposition par l’institution qu’aux appareils mobiles privés. 

6.) Aucun membre du personnel n’a reçu un smartphone ou une tablette de l’employeur.

1) Er is nooit een panne of slechte werking door een mogelijke cyberaanval via mobiele telefonie vastgesteld of gesignaleerd noch door de beheerders van systemen noch door de gebruikers.

2) In het kader van het huidige veiligheidsbeleid is er geen toegang mogelijk tot professionele data in niet-toegestane “cloud computing systems”.

De toegang tot de interne systemen wordt gerealiseerd voor 207 verschillende e-mailaccounts.

3) Sinds 2011 is de dienst Exchange ActiveSync geactiveerd en kan deze worden gebruikt door elke ambtenaar die beschikt over een mobiele terminal (smartphone of tablet) om zich in te loggen op zijn professioneel e-mailadres.

4) Er wordt een gelimiteerde toegang voorzien voor tablets en smartphones via Wi-Fi en SSLVPN. Via Wi-Fi gebeurt e-mail synchronisatie en via SSLVPN is er toegang tot de intranet site en de gedeelde shares. Alle vreemde en mobiele toestellen krijgen toegang tot het gelimiteerde toegangsniveau mits voldaan is aan een (beperkt) aantal beveiligingsregels en mits het besturingssysteem wordt ondersteund door de Federale Overheidsdienst (FOD). De toestellen worden door een firewall afgeschermd van de rest van het interne netwerk. Het is de bedoeling dat in de toekomst zowel de beveiliging als de aangeboden services sterk zal worden uitgebreid door gebruik van Netwerk Access Control (NAC) en Mobile Device Management (MDM).

5) De technische diensten van de FOD voeren permanent een technologisch toezicht uit en worden gesensibiliseerd voor de risico’s die gepaard gaan met de nieuwe technologieën.

Verschillende technische informatiebronnen die de openbare veiligheid bevorderen, worden permanent gevolgd, en in geval van alarmering, worden de aanbevelingen dringend toegepast.

6) Volgens de officiële communicatieprofielen van de logistieke dienst zijn 184 ambtenaren uitgerust met een smartphone of tablet. Sinds 2011 zijn er 384 verschillende mobiele terminals aangesloten, waarvan er in 2013 nog 297 actief zijn voor in totaal ongeveer 200 ambtenaren.

7) Mobiel telewerk is een maatschappelijke noodzaak geworden, in het bijzonder voor de functies waarvoor een permanente aansluiting vereist is (topmanagers, communicatie, inspectie, risicobeheersing en wachtdiensten, enz.).

De risico’s worden momenteel geëvalueerd en zullen er binnenkort technische controleoplossingen op afstand voor mobiele toestellen worden geëvalueerd.

De technici van de ondersteunende diensten zullen ook op het vlak van de nieuwe producten en technieken moeten worden opgeleid teneinde het kwaliteitsniveau van de dienst en een optimale veiligheid van de gegevens die in de mobiele terminals worden ingevoerd te garanderen.

FOD Sociale Zekerheid. 

1)  De laatste drie jaar, zijn er, voor zover we weten, geen vaststellingen gedaan. 

2)  Ja, 165 personeelsleden van de FOD hebben op hun smartphone of tablet toegang tot professionele data die zich op de mailserver bevinden: elektronische berichten, contacten en kalender.

Voorts geeft de FOD dezelfde dienstverlening aan de ombudsdienst Pensioenen en aan kabinetsmedewerkers van de Minister van Pensioenen en van de Staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een Handicap: 39 personen. 

3)  NVT 

4)  Ja, De FOD laat koppeling toe van tablets en smartphones met de interne mailserver. Toezicht op deze koppeling laat o.a. toe om bepaalde policies af te dwingen, zoals het verplichten van het gebruik van een wachtwoord op het mobiel toestel. Ook is het zo mogelijk om in het geval van een incident (verlies, diefstal, enz.) de koppeling te verbreken en gegevens op het mobiel toestel van op afstand te wissen. 

5)  Ja, er is aandacht voor de beveiliging van mobiele toestellen. Mobiele toestellen kunnen enkel verbinding maken met de mailserver, ze hebben geen toegang tot het interne netwerk van de FOD en dus ook niet tot applicaties en gegevens. 

6)  Ja, 150 personeelsleden. 

7) Ja, de informatici van de FOD zijn op goed op de hoogte van deze trend. Verschillende seminaries hieromtrent werden gevolgd. Zo worden de mogelijkheden van bestaande hard- en software maximaal benut qua beveiliging. Voorts werd een studie uitgevoerd i.v.m. mobile device management. 

Rijksinstituut voor Ziekte- en Invaliditeitsverzekering 

1.) Er is geen enkele vaststelling gedaan terzake. 

2.) Er is geen rechtstreekse toegang mogelijk tot cloud diensten vanuit het netwerk van het RIZIV. De webfilters blokkeren de toegang tot sites zoals DropBox, en het automatisch doorsturen van professionele e-mail naar privé accounts is eveneens geblokkeerd. Desalniettemin kan een gebruiker altijd via omwegen professionele bestanden in de publieke Cloud bewaren.

Daarvoor is een gedragspolicy eveneens noodzakelijk en geïmplementeerd in het RIZIV.

Een beperkt aantal smartphones heeft toegang tot de professionele e-mail.

Een 50-tal gebruikers heeft een BlackBerry waarop de integratie met het professionele e-mailsysteem gebeurt door een specifieke BlackBerry Enterprise Server. Dit platform wordt binnenkort afgebouwd.

Een 15-tal gebruikers heeft toegang tot de professionele e-mail op Android en iOS via het MobileIron platform dat door Smals wordt beheerd. 

3.) In het kader van de afbouw van het BlackBerry platform wordt een nieuwe “mobile policy” voorbereid, waarin o.a. de modaliteiten voor toegang tot de professionele systemen vanaf mobiele toestellen worden vastgelegd. 

4.) Er is geen rechtstreekse toegang mogelijk van tablets of smartphones met het netwerk van het RIZIV. Er is hoogstens (op aanvraag) een toegang tot Internet mogelijk via WiFi, die geen gebruik maakt van het netwerk van het RIZIV.

Een beperkte doelgroep kan toegang krijgen tot het professionele mailsysteem via het MobileIron platform van de Smals. Deze toegang is gekoppeld aan beveiligingsmaatregelen op niveau van de smartphone/tablet zoals:

  • gebruik van antimalware op Android platformen

  • gebruik van een toegangswachtwoord op het mobiele toestel

  • gecontroleerd wissen op afstand of automatisch wissen (bijvoorbeeld na een aantal verkeerde pogingen met een verkeerd wachtwoord). 

5.) Ja, zie ook antwoord op punt 4 van de vraag.

De technologische evolutie wordt door onze ICT dienst van nabij opgevolgd. Er is een nauwe samenwerking met de Smals op dit vlak.  

6.) Er zijn een 50-tal BlackBerries in gebruik.

Er zijn een 10-tal iPad’s in gebruik.

Daarnaast zijn er nog een 5-tal iPad’s en Android smartphones van gebruikers zelf (Bring you own device - BYOD) die toegang hebben gekregen tot de professionele e-mail via MobileIron van de Smals (zie antwoord op punt 4 van de vraag). 

7.) De technologische evolutie en de trends inzake “mobile” worden door de ICT dienst van het Rijksinstituut van nabij opgevolgd. Er is een nauwe samenwerking met de Smals op dit vlak.

Er is een “mobile policy” in voorbereiding die de modaliteiten concreet moet beschrijven rekening houden met de noden en de behoeften, de beveiliging en het beschikbare budget. 

Rijksdienst voor Sociale Zekerheid  

1.) Tot op heden heeft de Rijksdienst geen besmettingen van enige aard op zijn smartphones/tablets vastgesteld. 

2) Op dit ogenblik zijn er 16 gebruikers binnen de RSZ die middels een Blackberry en/of Ipad enkel toegang hebben tot hun professionele mail van de RSZ. Deze toegang verloopt via beveiligde servers bij de Smals. De datatrafiek tussen de Smals en de RSZ verloopt via een leased line van Belgacom.

Er is één gebruiker die voor het nut van externe vergaderingen gebruik maakt van de cloudservice “Dropbox” op een Ipad. De bestanden in dit account worden er enkel opgeslagen voor de duurtijd dat hij ze nodig heeft zodat het risico op blootstelling minimaal is.

Van zodra de Smals zijn eigen sharepoint systeem in productie heeft, zal er worden overgestapt naar hun omgeving. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4) De koppeling van tablets of smartphones met het informaticanetwerk van de RSZ is zeer strikt gereguleerd. De RSZ hanteert tot op heden geen BYOD-policy zodat ze als instelling steeds de controle behouden over de aard van de smartphones/tablets die toegang verwerven. Dit laat Rijksdienst toe reeds op hardwarematig niveau toestellen die een verhoogd risicoprofiel bieden uit de risicoanalyse te houden.

Daarnaast is iedere gebruiker van deze technologie gebonden door een deontologische code die, wanneer nodig, wordt aangepast. 

5) De courante pers en gespecialiseerde sites worden regelmatig nagekeken.

De Smals waarschuwt de RSZ wanneer deze bepaalde risico’s dreigt te lopen. Hiertoe behoort tevens de veiligheid van de mobiele toestellen (bijvoorbeeld veiligheidsrisico dat gebonden was aan het consulteren van pdf documenten via een daartoe bestemde adobe app op Blackberrytoestellen, de veiligheidsrisico’s die een onmiddellijke upgrade naar IOS 7.0 inhielden op de ipads).

Genomen maatregelen:

  • gebruikers worden per mail gewaarschuwd indien er een verhoogd risico wordt gemeld (nieuw virus, instabiele upgrade, app met veiligheidsrisico).

  • alle toestellen worden op regelmatige basis door de dienst informatica opgehaald en indien nog nodig, voorzien van de benodigde updates.

  • gebruikers worden ingelicht over de risico’s waarmee ze rekening dienen te houden bij normaal gebruik van de aan hen ter beschikking gestelde toestellen. 

6) 16 gebruikers beschikken over een smartphone van het type Blackberry, 8 onder hen hebben tevens de beschikking over een tablet van het type Ipad. 

7) Ja, hier wordt op ingespeeld:

  • door steeds op de hoogte te blijven wat betreft de mogelijke risico’s die deze mediadragers met zich meebrengen via pers en internet;

  • door nauw samen te werken met de betrokken afdelingen binnen de Smals die instaan voor de veiligheid van de datatrafiek en in samenspraak, met hen er steeds voor te zorgen dat de mobiele toestellen in kwestie werken via de meest gangbare wijze die een maximum aan beveiliging biedt. 

Hulpkas voor ziekte- en invaliditeitsverzekering 

1.) Neen, er werden geen gevallen vastgesteld. 

2.) Er is 1 persoon die via smartphone of tablet toegang heeft tot professionele data. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4.) Neen. Het veiligheidsbeleid sluit dergelijke praktijken uit. De werkposten zijn reeds beveiligd met een antivirus. 

5.) De toestellen van de HZIV beschikken thans over een geïntegreerde beveiliging. Bij de vernieuwing van deze toestellen, zal de nodige aandacht besteed worden aan de beveiliging ervan. 

6.) 42 personeelsleden hebben een smartphone of tablet gekregen van de HZIV. 

7.) Neen, de Hulpkas vindt dat zijn informatici niet voldoende op de hoogte zijn van deze trend. De instelling denkt dan ook dat het daadwerkelijk noodzakelijk is om haar informatici nog meer bewust te maken van deze problematiek. 

Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten 

1.) Er werd nooit een panne of stoornis vastgesteld of gemeld door de systeemadministrateurs of gebruikers in verband met een mogelijke cybercrime via mobielen. 

2.) De RSZPPO gebruikt geen Cloud Computing. Bepaalde gebruikers hebben toegang tot hun emails via Blackberry. 

3.) Nee, de Blackberries hebben geen rechtstreekse toegang tot het netwerk van de RSZPPO. 

4.) De RSZPPO beschikt over een Blackberry-server die gekoppeld is aan het netwerk. De gebruiker kan zijn emails enkel via deze specifieke server voor Blackberry raadplegen. 

5.) De technische diensten van de Rijksdienst gebruiken een technologische bewakingsdienst en worden bewust gemaakt van de risico’s die aan de (2 keer ‘de’) nieuwe technoligieën gebonden zijn.Verschillende technische informatiebronnen met een beveiligingskarakter worden permanent opgevolgd, en bij alarmtoestand worden de dringende aanbevelingen toegepast. 

6.) De RSZPPO beschikt over 26 Blackberry smartphones. 

7.) Werken met een mobiel is voor vele personeelsleden een realiteit geworden, in het bijzonder voor de functies die een permanente aansluiting vereisen (top managers, crisisbeheer en bewaking, enz.).

De technici van de supportdiensten zullen ook opgeleid worden in de nieuwe producten en technieken teneinde optimaal een kwaliteitsniveau en een beveiliging van de gegevensfluxen te garanderen. 

Hulp- en Voorzorgskas voor Zeevarenden 

1.) De HVKZ heeft geen smartphones of tablets in gebruik. 

2.) De personeelsleden hebben met hun eigen smartphone geen toegang tot professionele data.  

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4.) Er wordt niet specifiek toegezien op de koppeling van tablets of smartphones met de informatica aangezien deze niet in gebruik zijn binnen de HVKZ. Indien de erkende veiligheidsdienst van de HVKZ adviezen zou formuleren tot betere beveiliging inzake gebruik van smartphones of tablets zal de HVKZ deze adviezen opvolgen.  

5.) De HVKZ is aangesloten bij de erkende veiligheidsdienst van Smals. De aanbevelingen van de erkende veiligheidsdienst worden uitgevoerd.  

6.) Geen enkel personeelslid van de HVKZ heeft een smartphone of tablet gekregen van het werk.  

7.) De HVKZ heeft 1 interne en 1 externe ICT-medewerker. Zij zijn op de hoogte van de nieuwe de nieuwe trends. Zij worden steeds betrokken bij de ICT-veiligheid. 

Dienst voor de Overzeese Sociale Zekerheid 

1.) De DOSZ beschikt niet over smartphones of tablets. 

2.) De personeelsleden van de DOSZ hebben geen toegang tot professionele data via hun smartphone of tablet. 

3.) Het kan nuttig zijn het gebruik van smartphones en tablets in kaart te brengen. 

4.) Via een regelmatige scan van het interne LAN netwerk wordt er nagegaan of er smartphones of tablets aangesloten zijn. 

5.) Ja, de controle gebeurt via de informatieveiligheidsconsulent van de DOSZ die er op toeziet dat er aan de minimale normen voor informatieveiligheid (opgelegd door de KSZ) wordt beantwoord. 

6.) Geen enkel personeelslid heeft een smartphone of tablet gekregen van het werk. 

7.) Ja, informatici van de DOSZ zijn voldoende op de hoogte van deze trend, de problematiek rond BYOD (Bring Your Own Device) is goed gekend.

Regelmatig wordt er een scan van het interne LAN netwerk uitgevoerd om deze devices eventueel te detecteren en ze nadien te ontkoppelen. 

Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen 

1.) Geen enkel personeelslid van de Controledienst voor de ziekenfondsen en de landsbonden van ziekenfondsen gebruikt een smartphone of een tablet om professionele doeleinden. 

2 en 4.) De toegang tot het informaticanetwerk van de Controledienst wordt beveiligd door een authentificatiesysteem die elk toegang tot dit netwerk met een tablet of een smartphone onmogelijk maakt. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

5.) De Controledienst heeft tot op heden geen specifieke informatie omtrent de beveiliging van mobiele apparaten zoals tablets of smartphones. Een dergelijke informatie is momenteel niet nodig aangezien geen enkel personeelslid van de Controledienst voor de ziekenfondsen en de landsbonden van ziekenfondsen een smartphone of een tablet om professionele doeleinden gebruikt. Indien echter in de toekomst tablets of smartphones zouden ter beschikking worden gesteld van alle of een deel van de personeelsleden, spreekt het vanzelf dat de nodige aandacht zal besteed worden aan de beveiliging van deze tablets en smartphones. 

6.) Geen enkel personeelslid van de CDZ heeft een smartphone of tablet gekregen van het werk.  

7.) Ja. Om rekening te houden met het verhoogd gevaar van besmetting via onder andere een tablet of een smartphone werden een permanent inventaris van de softwares aanwezig op alle computers, alsook een permanente controle van de updates van de antivirussen en van de aanvallendetectoren geïmplementeerd. 

Kruispuntbank van de Sociale Zekerheid + eHealth-platform 

1.) De Kruispuntbank van de Sociale Zekerheid en het eHealth-platform stelt vooralsnog geen smartphones of tablets ter beschikking van hun medewerkers voor het uitvoeren van hun professionele taken. 

2.) De medewerkers van de KSZ kunnen zich geen toegang verschaffen  tot het interne professionele netwerk van de KSZ via hun eigen private smartphone of tablet. Dit wordt via technische middelen afgedwongen (systeem van toegangsbeheer). 

3 en 4.) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

5 en 7.) In het kader van het ISMS (Information Security Management System) binnen de sociale zekerheid heeft de werkgroep Informatieveiligheid, opgericht in de schoot van het Algemeen Coördinatiecomité van de KSZ, reeds een policy opgesteld (de policy ISMS.046 ) die richtlijnen omvat voor het gebruik van mobiele toestellen binnen de instellingen van sociale zekerheid en dit voor beroepsdoeleinden. Deze policy geldt zowel voor de mobiele toestellen die door de instelling ter beschikking worden gesteld als voor private mobiele toestellen. 

6.) Geen enkel personeelslid heeft een smartphone of tablet gekregen van het werk.