De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains. Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc. Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible. Je souhaiterais poser quelques questions : 1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ? 2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ? 3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ? 4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ? 5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ? |
Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen. Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ... Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft. Graag had ik hierover enkele vragen gesteld: 1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd? 2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld? 3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging? 4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld? 5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten? |
Ci-après, la réponse en ce qui concerne les
institutions publiques de sécurité sociale placées
sous ma tutelle.
Fonds des accidents du travail.
Le Fonds des accidents du travail, comme toute institution
publique de sécurité sociale fait partie de l’extranet
de la sécurité sociale. Le Fonds n’a donc pas de
connexion directe avec internet. Il y a trois couches de protection
par rapport à internet. A savoir, l’extranet, lui-même,
avec tous les processus de sécurité, ensuite l’entrée
dans le réseau du Fonds avec un firewall et un proxys et
enfin un anti-virus au niveau du poste de travail. Le Fonds
satisfait aux normes minimales de sécurité de
l’information tels que définis actuellement contrôlées
par son conseiller en sécurité informatique.
Comme le Fonds n’est pas en première ligne, les
statistiques devraient être fournies par l’extranet. Au
niveau du Fonds, on note en moyenne annuelle: cinq virus repérés
et neutralisés automatiquement sans aucune suite.
Le Fonds utilise une version professionnelle d’antivirus
qui sont vendus sur le marché avec donc plus de
fonctionnalités, plus de mises à jour. Il veille aussi
à utiliser des produits de fournisseurs différents par
rapport à ceux existant dans les couches précédentes
et l’extranet, en particulier.
En répondant aux normes de la BCSS au niveau de la
sécurité informatique, le Fonds utilise tous les
moyens sécurisés mis à disposition (Https,
Ftps, …. avec l’utilisation des certificats et/ ou
l’authentification forte).
Le personnel est sensibilisé aux normes de sécurité
via des notes au personnel disponibles sur l’intranet. Le
conseiller en sécurité de l’information n’a
pas enregistré de plainte à ce propos en 2012.
Fonds des maladies professionnelles.
Le FMP, conformément à la loi sur la BCSS, a
mis en place un service de sécurité de l’information,
dont un conseiller en sécurité d l’information.
Dans ce même cadre, comme prescrit depuis toujours par les
normes minimales de sécurité, le FMP a progressivement
mis en place divers composants sécuritaires tant au niveau
des serveurs, de chaque station de travail qu’au niveau du
réseau local.
Le réseau local du FMP est connecté à
l’extérieur exclusivement à travers les réseaux
de la sécurité sociale (réseau BCSS et extranet
de la Sécurité sociale), lesquels sont également
protégés par plusieurs dispositifs adéquats.
Les divers systèmes en place permettent de disposer
tant de traces que de chiffres quant aux agressions et autres
activités suspectes.
Vu, pour la plupart, la rareté de problèmes
relevant, ces chiffres ne sont toutefois actuellement ni concentrés
ni consolidés mais il est prévu de réaliser ces
opérations.
Contrairement aux applications utilisées par le grand
public, les logiciels de protection du FMP sont des versions
professionnelles de ces outils comportant notamment une
administration centralisée.
Sur tout matériel pouvant se connecter au réseau du
FMP, les dispositifs de sécurité standards ou validés
sont mis en place et leur niveau vérifié.
Jusqu’à présent, sauf à de rares
exceptions près, connues et gérées, la règle
générale est que tout le matériel qui peut se
connecter au FMP est propriété de l’institution
et est géré par celle-ci. Ce matériel n’est
utilisable que dans le cadre professionnel ou dans les limites
autorisées et contrôlées par le FMP (filtrage
des accès web par exemple).
Tous les échanges d’informations, et
éventuellement en fonction du type de données,
notamment médicales, se font exclusivement à travers
les canaux sécurisés de la sécurité
sociale et dans le respect le plus strict tant des règles de
sécurité en vigueur dans ce cadre que dans le respect
des lois de protection de la vie privée. Si un cas spécifique
devait se présenter et nécessiter un traitement
particulier il serait résolu dans le respect des procédures
de dérogation en place.
Le personnel impliqué est compétent sur ce
terrain et ferait éventuellement appel à des
compétences externes adéquates si besoin en était.
La survenance d’événements de sécurité
est, autant que techniquement possible, signalé de manière
automatique aux intéressés.
Comme déjà précisé, des chiffres sont
disponibles et consultés périodiquement par,
notamment, le service interne de sécurité et les
responsables des systèmes mais la rareté des
événements n’a jusqu’à présent
pas justifié de mettre en place des procédures
d’examen plus pointues. Le risque individuel de chaque IPSS
est considérablement réduit et contenu par le respect
des normes minimales de sécurité et les importants
moyens en place dans les réseaux communs (BCSS et extranet).
Office national d’allocations familiales pour travailleurs
salariés.
Tous les PC de l’ONAFTS sont équipés d’un
logiciel antivirus (Symantec Enterprise Protection). Les définitions
antivirus sont mises à jour au moins une fois par jour.
Les systèmes antivirus créent des registres qui
contiennent des informations concernant les tentatives de violation
de la sécurité. Tout le trafic de données pour
les utilisateurs (courriel et internet notamment) s’effectue
via la connexion au réseau de la Sécurité
sociale (Extranet), qui est géré par Smals. Smals
scanne les courriels entrants pour y déceler les menaces (et
les « spams ») et dispose également d’un
système de détection d’intrusion.
Les serveurs Microsoft Exchange de l’ONAFTS contiennent
également une protection antivirus distincte (Microsoft
ForeFront Endpoint Protection).
En plus de la protection antivirus standard, l’ONAFTS
dispose d’une application Webfilter (de Websense). Ce filtrage
permet de bloquer l’acces aux sites web qui contiennent des
logiciels malveillants.
L’échange de données confidentielles se
déroule par le biais d’une plateforme Secure FTP
distincte.
Conformément aux normes de protection des données
personnelles en vigueur, Trivia (le Cadastre) comporte un système
d’historique qui enregistre toute consultation du Registre
national avec le nom de la personne qui a effectué la
consultation.
Le personnel de l’ONAFTS ne reçoit pas de
formation pour faire face à ces menaces potentielles.
Cependant, les systèmes antivirus de l’ONAFTS signalent
automatiquement toute violation possible de la sécurité
au Service Desk, qui prend alors les mesures nécessaires à
ce sujet avec l’utilisateur.
|
Hierna volgt het antwoord wat betreft de openbare instellingen van
sociale zekerheid die onder mijn bevoegdheid staan.
Fonds voor Arbeidsongevallen.
Het Fonds voor arbeidsongevallen maakt zoals elke openbare
instelling van sociale zekerheid deel uit van het extranet van de
sociale zekerheid. Het Fonds heeft met andere woorden geen directe
verbinding met het internet. De toegang tot het internet passeert 3
beschermingsniveaus. Ten eerste is er het extranet zelf met alle
veiligheidsprocessen die eraan verbonden zijn, ten tweede is de
toegang tot het netwerk van het Fonds beschermd met een firewall
en een proxys en ten derde is elke werkpost uitgerust met
antivirussoftware. Het Fonds voldoet aan de huidige minimale
informatieveiligheidsnormen die worden gecontroleerd door zijn
informaticaveiligheidsadviseur.
Omdat het Fonds niet in eerste lijn komt, moeten de
statistieken door het extranet worden geleverd. Op het Fonds noteren
we jaarlijks gemiddeld: vijf virussen die automatisch worden ontdekt
en geneutraliseerd en zonder gevolgen blijven.
Het Fonds gebruikt professionele antivirussoftware die op de
markt wordt verkocht en dus meer functionaliteiten en updates biedt.
Het ziet er daarnaast op toe dat er producten worden gebruikt van
andere leveranciers dan die van de bestaande voor de voorgaande
beschermingsniveaus en in het bijzonder voor het extranet.
Om te voldoen aan de informaticaveiligheidsnormen van de KSZ
gebruikt het Fonds alle beveiligingsmiddelen (https, ftps,... met
het gebruik van certificaten en/of sterke authentificatie) die het
ter beschikking heeft.
Het personeel wordt gesensibiliseerd voor de
veiligheidsnormen via nota's aan het personeel die op het intranet
kunnen worden opgevraagd. De informatieveiligheidsadviseur heeft
daarover geen klachten geregistreerd in 2012.
Fonds voor de Beroepsziekten.
Conform de wet op de KSZ heeft het FBZ een dienst
informatiebeveiliging opgericht, waaronder een adviseur
informatiebeveiliging.
In ditzelfde kader, zoals van oudsher voorgeschreven door de
minimale veiligheidsnormen, heeft het FBZ progressief
beveiligingscomponenten geïnstalleerd zowel op het niveau van
de servers, van elk werkstation als op het niveau van het lokale
netwerk.
Het lokale netwerk is alleen met de buitenwereld verbonden via de
netwerken van de sociale zekerheid (netwerk KSZ en extranet van de
sociale zekerheid) die eveneens beschermd zijn door meerdere
geschikte voorzieningen.
De diverse geïnstalleerde systemen maken het mogelijk om
te beschikken over zowel sporen als cijfers wat betreft aanvallen en
andere verdachte activiteiten.
Gezien de zeldzaamheid van de problemen worden deze cijfers
momenteel echter niet samengebracht noch geconsolideerd, maar het
uitvoeren van deze operaties is gepland.
In tegenstelling tot de door het grote publiek gebruikte
toepassingen zijn de beveiligingsprogramma's van het FBZ
professionele versies van deze hulpmiddelen die in het bijzonder een
gecentraliseerd beheer bevatten.
Op alle hardware die op het netwerk van het FBZ kan worden
aangesloten, worden de standaardveiligheidsvoorzieningen toegepast
en hun niveau gecontroleerd.
Tot nu toe, behoudens zeldzame gekende en beheerde
uitzonderingen, is de algemene regel dat alle hardware die kan
worden aangesloten bij het FBZ eigendom is van de instelling en door
haar wordt beheerd. Die hardware is slechts bruikbaar in het
beroepskader of binnen de perken toegestaan en gecontroleerd door
het FBZ (filteren van webtoegang bijvoorbeeld).
Alle informatie-uitwisselingen, eventueel volgens de soort
gegevens, in het bijzonder medische, gebeuren uitsluitend via de
beveiligde kanalen van de sociale zekerheid en met de meest strikte
naleving van de veiligheidsregels die gelden in dit kader, alsook
met de naleving van de wetten op de bescherming van het privéleven.
Als zich een specifiek geval voordoet dat een bijzondere behandeling
nodig heeft, dan wordt dit opgelost met naleving van de opgestelde
afwijkingsprocedures.
Het betrokken personeel is bekwaam op dit terrein en zal
eventueel een beroep doen op externe competentie indien nodig.
Veiligheidsincidenten die zich voordoen, worden zo veel als
technisch mogelijk automatisch gesignaleerd aan de betrokkenen.
Zoals reeds vermeld, zijn er cijfers beschikbaar en worden ze
regelmatig geraadpleegd door m.n. de interne veiligheidsdienst en de
verantwoordelijken voor de systemen, maar de zeldzaamheid van de
incidenten heeft tot nu toe niet de invoering van gerichte
onderzoeksprocedures gerechtvaardigd. Het individuele risico van
elke OISZ is aanzienlijk beperkt en bedwongen door de naleving van
de minimale veiligheidsnormen en de belangrijke middelen
geïnstalleerd in de gemeenschappelijke netwerken (KSZ en
extranet).
Rijksdienst voor Kinderbijslag voor Werknemers.
Alle RKW PC’s zijn uitgerust met anti-virus software
(Symantec Enterprise Protection). De anti-virus definities worden
minstens één maal per dag bijgewerkt.
De anti-virus systemen houden logs bij met informatie over de
pogingen tot inbreuken op de veiligheid. Alle dataverkeer voor de
gebruikers (o.a. email, internet) loopt over de verbinding met het
netwerk van de Sociale Zekerheid (Extranet) dat beheerd wordt door
Smals. Smals scant de binnenkomende emails op bedreigingen (en spam)
en heeft ook een intrusion detection system.
De Microsoft Exchange servers van de RKW bevatten nog een aparte
antivirus beveiliging (Microsoft ForeFront Endpoint Protection).
Bovenop de standaard antivirus beveiliging heeft de RKW ook
een Webfilter toepassing (van Websense). Deze filtering laat toe om
de toegang tot websites die malware content bevatten te blokkeren.
De uitwisseling van vertrouwelijke data gebeurt via een apart
Secure FTP platform.
Conform de vastgelegde normen van de beveiliging van persoonlijke
gegevens, is er in trivia (Kadaster) een logging systeem die elke
consultatie van het RijksRegister vastlegt met de naam van de
persoon die de consultatie heeft uitgevoerd.
Het personeel van de RKW wordt niet opgeleid om om te gaan
met deze mogelijke bedreigingen. De antivirus systemen van de RKW
melden wel elke mogelijke inbreuk op de beveiliging automatisch aan
de Service Desk die hiervoor dan de nodige acties onderneemt
met de gebruiker.
|