Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 4-6670

van Bart Tommelein (Open Vld) d.d. 29 januari 2010

aan de minister van Pensioenen en Grote Steden

Internet - Overheidssites - Beveiliging

overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid

Chronologie

29/1/2010Verzending vraag (Einde van de antwoordtermijn: 4/3/2010)
26/3/2010Antwoord

Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6672
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685

Vraag nr. 4-6670 d.d. 29 januari 2010 : (Vraag gesteld in het Nederlands)

Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".

Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Ik heb dan ook volgende vragen:

1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?

2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?

3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?

4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?

5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?

Antwoord ontvangen op 26 maart 2010 :

In antwoord op uw vragen kan ik u het volgende meedelen.

A. Rijksdienst voor Pensioenen.

De website van de RVP is in eigen beheer en wordt niet gehost.

1. Zoals elke sociale zekerheidsinstelling van het primaire netwerk is de RVP verplicht, volgens de richtlijnen van de Kruispuntbank voor de Sociale Zekerheid, alle TCP/IP-verkeer te laten verlopen via het Extranet van de sociale zekerheid. Het Extranet van de sociale zekerheid is een beveiligd communicatienetwerk tussen de instellingen van sociale zekerheid.

Naast de veiligheidsmaatregelen van het Extranet van de sociale zekerheid heeft de RVP nog volgende maatregelen genomen.

Het interne netwerk van de RVP wordt afgeschermd van de buitenwereld door een apart veiligheidsnetwerk ook wel perimeternetwerk genoemd. Dit perimeternetwerk is gecompartimenteerd naargelang de functionaliteiten en omvat de volgende componenten:

- IDPS (Intrusion detection & prevention system);

- firewall;

- WAF (web application firewall);

- Authenticatieserver;

- Antivirusserver.

Indien de communicatie privégegevens bevat, neemt de RVP de volgende maatregelen:

- sterke authenticatie met «token» of EID;

- gebruik van HTTPS, FTPS (beide met ssl-certificaat).

Ook indien het gaat om uitwisseling van gepersonaliseerde gegevens tussen instellingen worden dezelfde principes gehanteerd.

2. Tot nu toe heeft de RVP enkel websites met algemene informatie in productie staan.

Echte pogingen tot diefstal werden tot nu toe nog niet vastgesteld. De RVP heeft wel vastgesteld dat haar websites worden gescand en afgetast naar kwetsbaarheden. De RVP heeft hiertegen geen klacht ingediend omdat geen echte schade werd geleden. Als men bovendien de landen bekijkt van waaruit het gebeurt, geeft dit nauwelijks hoop op een positief resultaat: Kyrgyzstan, Oezbekistan, China, Rusland, …

4. Voor de nieuwe gepersonaliseerde website MyPension beschikt de RVP over meerdere ssl-certificaten. In de komende weken zal dit iedereen toelaten om zijn eigen pensioendossier te raadplegen.

5. Naast de maatregelen die vermeld werden in punt 1 worden er andere maatregelen aangewend of zal dit nog gebeuren (authenticatieserver, WAF…).

B. Pensioendienst voor de Overheidssector

De website van de PDOS wordt gehost bij de Kanselarij van de Eerste minister, die de volgende garanties biedt.

1. Voor de beveiliging van websites, welke algemene en publieke informatie verspreiden en die geen persoonsgegevens bevatten, worden de ‘best practices’ toegepast, zoals daar zijn: gebruik maken van de meest recente softwareversies en veiligheidspatches, geen rechtstreekse toegang tot de databanken, etc. Bovendien worden de websites, naargelang hun inhoud, periodiek of meerdere malen per jaar door gespecialiseerde firma’s aan een veiligheidsaudit onderworpen.

2 en 3: Tot op heden is er geen weet van een diefstal van privégegevens, noch van pogingen hiertoe.

4. De websites die algemene en publieke informatie verspreiden en die geen persoonsgegevens bevatten hebben geen nood aan strengere beveiligingsmaatregelen dan de huidige.

5. Om onophoudelijk de kwaliteit van de beveiliging te verbeteren is de monitoring, die voorheen gericht gebeurde, veranderd in een continue, veralgemeende monitoring.