Internet - Overheidssites - Beveiliging
overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid
29/1/2010 | Verzending vraag (Einde van de antwoordtermijn: 4/3/2010) |
9/3/2010 | Antwoord |
Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6672
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685
Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".
Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.
Ik heb dan ook volgende vragen:
1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?
2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?
3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?
4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?
5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?
Voor de Federale Overheidsdienst (FOD), verwijs ik naar het antwoord van de minister van Buitenlandse Zaken
Voor BTC:
1 - De website wordt geherbergd door een privébedrijf dat gebruik maakt van een hoge toegankelijkheid firewall systeem dat steunt op twee routers/gatekeepers onder Linux 2.4. Het bedrijf staat in voor:
Scan van poorten, IP spoofing, DoS TCP, ICMP worden automatisch gescand
De firewalloplossing steunt op een Linux 2.4. kern dat geoptimaliseerd werd voor een gebruik als router/gatekeeper.
Het spreekt voor zich dat al de elementen (Linux kern, ip-tables, ip-route, enz.) permanent getest worden op veiligheid.
BTC maatregelen geven aanvullende veiligheden:
strikte scheiding publieke en interne gegevens
beperkte monitoring van webserver
2.
Onbekend, vermoedelijk geen.
3. Geen
tellingen van beschikbaar.
Dit wordt op dagelijkse wijze
opgevolgd maar er zijn zeer veel (soms 15 000 en meer) pogingen
per 24 uur.
Verdere analyse is nodig om te weten over hoeveel
aanvallers het gaat (veel minder dan het aantal pogingen).
4.
Neen. We achten het niet nodig met SSL-certificaten of digitaal slot
te werken. Het is de doelstelling de website erg toegankelijk te
houden.
5. Neen. De BTC-website is een autonoom instrument en
essentieel als marketing element en heeft geen andere onderliggende
tools die een strategisch belang kennen in de werking van de
organisatie.