Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 4-6677

van Bart Tommelein (Open Vld) d.d. 29 januari 2010

aan de minister voor Ondernemen en Vereenvoudigen

Internet - Overheidssites - Beveiliging

overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid

Chronologie

29/1/2010Verzending vraag (Einde van de antwoordtermijn: 4/3/2010)
11/3/2010Antwoord

Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6672
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6680
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685

Vraag nr. 4-6677 d.d. 29 januari 2010 : (Vraag gesteld in het Nederlands)

Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".

Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Ik heb dan ook volgende vragen:

1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?

2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?

3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?

4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?

5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?

Antwoord ontvangen op 11 maart 2010 :

Wat betreft de site van de Federale Overheidsdienst (FOD) Economie, K.M.O., Middenstand en Energie

  1. De servers die de webdiensten leveren, worden allemaal beschermd in aangepaste netwerkzones (DMZ, S-DMZ). Proxy’s beperken ook de toegang. De webservers die enkel publieke gegevens bevatten, zijn toegankelijk via het http-protocol (voorbeeld : de internetsite van de FOD Economie) en alle webservers die gevoelige gegevens bevatten, zijn enkel toegankelijk via de https-protocol (voorbeeld : Kruispuntbank van ondernemingen, e-datenq, enz.).

  2. Tot nu toe werd er geen diefstal van privégegevens of van gevoelige gegevens vastgesteld.

  3. Er worden dagelijks verschillende inbraakpogingen vastgesteld, die telkens worden onderschept door onze veiligheidsinfrastructuur (firewall) en door de systematische sluiting van de gekende veiligheidsgebreken van de verschillende gebruikte producten. Er kan moeilijk worden nagegaan of die pogingen als uiteindelijk doel de diefstal van informatie beogen of enkel een heroïsche of een ludieke doelstelling nastreven.

  4. Een centraal SSL-certificaat wordt gebruikt voor onze domeinnaam. Bovendien is er voor sommige van onze sites die enkel toegankelijk zijn via het https-protocol een “sterke” authentificatie vereist voor de gebruikers (via de e-ID-kaart of Fedict-token).

  5. Een verdeling van de DMZ-zone in verschillende segmenten gekoppeld aan de verdeling van de systemen welke enerzijds de front-end-toepassingen en anderzijds de systemen met de gegevensbestanden bevatten, biedt de mogelijkheid om de veiligheid en de controle van het verkeer tussen de systemen nog te verhogen. De FOD Economie is momenteel bezig met een dergelijke reorganisatie van zijn systemen.

Wat betreft site van Fedict en de site Quickonomie

1. Om het hackers niet gemakkelijk(er) te maken is een gedetailleerde uitleg over de genomen maatregelen niet aangewezen.

Er gebeuren geregelde updates van systeem- en applicatiesoftware.

Bescherming op netwerkniveau via “firewalls”, “intrusion detection” en “intrusion prevention” systemen.

Geregelde “vulnerability scans” (om “gekende zwakheden” te controleren) en, waar nodig, daaruit volgende correctieve acties

Isolatie van applicaties en applicatielagen in verschillende silo’s (met een strikte scheiding via firewalls tussen de verschillende lagen).

2. Geen

3. Er worden dagelijks verschillende inbraakpogingen vastgesteld, die telkens worden onderschept door onze veiligheidsinfrastructuur (firewall en intrusion prevention systeem) en door de systematische sluiting van de gekende veiligheidsgebreken van de verschillende gebruikte producten. Er kan moeilijk worden nagegaan of die pogingen als uiteindelijk doel de diefstal van informatie beogen of enkel de bedoeling hebben om de overheid voor schut te zetten. Er is geen klacht ingediend omdat er geen diefstal is geweest van gegevens en de identiteit van de aanvallers moeilijk met zekerheid kan achterhaald worden (veelal worden hiervoor andere, “gekraakte” computers gebruikt).

4. De meeste sites die op de Fedictinfrastructuur draaien, maken geen gebruik van een SSL-certificaat of ander digitaal slot voor leveren van pagina’s. Daar de site enkel publiek toegankelijke informatie bevat is een dergelijke beveiliging niet relevant.

Volgende sites gebruiken wél een SSL-certificaat: mybelgium.be (exclusieve toegang via eID), www.policeonweb.be.

De serverinfrastructuur maakt wel gebruik van SSL-versleuteling voor communicatie met backend systemen. Alle onderhoudsinterventies gebeuren ook via SSL-versleutelde kanalen en ook de applicatie voor de redactie van de pagina’s is enkel toegankelijk via SSL-versleutelde kanalen, gebruik makend van de eID-kaart van de redacteur voor sterke authenticatie.

5. Indien er functionaliteit wordt toegevoegd die authenticatie vereist (pagina’s die slechts voor bepaalde gebruikersgroepen beschikbaar zijn) moet SSL of een andere adequate versleuteling worden toegepast.