Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 4-6665

van Bart Tommelein (Open Vld) d.d. 29 januari 2010

aan de vice-eersteminister en minister van Financiën en Institutionele Hervormingen

Internet - Overheidssites - Beveiliging

overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid

Chronologie

29/1/2010Verzending vraag (Einde van de antwoordtermijn: 4/3/2010)
31/3/2010Antwoord

Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6672
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685

Vraag nr. 4-6665 d.d. 29 januari 2010 : (Vraag gesteld in het Nederlands)

Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".

Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Ik heb dan ook volgende vragen:

1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?

2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?

3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?

4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?

5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?

Antwoord ontvangen op 31 maart 2010 :

Het geachte lid vindt hieronder de gevraagde gegevens:

1) De belangrijkste diensten die via internet aan de bevolking worden aangeboden, zijn “Tax-on-web” en “myminfin”. De gegevensstroom die daarmee verband houdt, wordt beschermd door de SSL-procedure.

De belastingplichtige die verbinding maakt met deze toepassingen moet zich identificeren en zijn identiteit waarmerken.

Twee procedures voor identificatie/waarmerking worden ondersteund:

- het gebruik van het certificaat in de elektronische identiteitskaart;

- het gebruik van een token dat door de Federale Overheidsdienst (FOD) Fedict wordt afgeleverd. Met dit token kan de identiteit van de gebruiker worden gewaarmerkt met behulp van een veranderlijk wachtwoord. Om verbinding te maken, moet de burger zijn gebruikersnaam, zijn wachtwoord en een door het token bepaald veranderlijk gegeven meedelen. Elk token is persoonlijk en omvat verschillende gegevens.

De toepassing Tax-on-web is eveneens toegankelijk voor “mandatarissen” die belastingaangiften opstellen in naam van hun klanten. Ze zijn opgenomen in de Kruispuntbank van ondernemingen en hun identiteit wordt gecontroleerd via het portaal van de Sociale Zekerheid.

De informatica-infrastructuur die aan de basis ligt van deze diensten bestaat uit een informatieketen waarvan de belangrijkste elementen deel uitmaken van het interne netwerk van de FOD Financiën, dat wordt beschermd door een omvangrijke veiligheidsinfrastructuur (firewall en bijkomende uitrusting) en een frontaal element (het enige dat vanuit het internet zichtbaar is) is ingebed in een DMZ (gedemilitariseerde zone tussen het netwerk van Financiën en het internet, beschermd door twee firewall-lagen).

Deze infrastructuur wordt door de FOD Financiën beheerd (het gaat niet om diensten die bij een provider gehost zijn).

2) en 3) De FOD Financiën heeft geen weet van een groot aantal aanvallen die geslaagd zouden zijn of die de infrastructuur en de gegevens in gevaar zouden hebben gebracht.

4) zie vraag 1

5) De Stafdienst ICT beschikt over een gespecialiseerde cel voor de beveiliging van de informatie van de FOD Financiën die gebruikmaakt van de modernste technologische middelen die daarvoor beschikbaar zijn.