Internet - Overheidssites - Beveiliging
overheidsadministratie
ministerie
internet
internetsite
computercriminaliteit
gegevensbescherming
computerpiraterij
elektronische overheid
29/1/2010 | Verzending vraag (Einde van de antwoordtermijn: 4/3/2010) |
12/2/2010 | Antwoord |
Ook gesteld aan : schriftelijke vraag 4-6664
Ook gesteld aan : schriftelijke vraag 4-6665
Ook gesteld aan : schriftelijke vraag 4-6666
Ook gesteld aan : schriftelijke vraag 4-6667
Ook gesteld aan : schriftelijke vraag 4-6668
Ook gesteld aan : schriftelijke vraag 4-6669
Ook gesteld aan : schriftelijke vraag 4-6670
Ook gesteld aan : schriftelijke vraag 4-6671
Ook gesteld aan : schriftelijke vraag 4-6672
Ook gesteld aan : schriftelijke vraag 4-6673
Ook gesteld aan : schriftelijke vraag 4-6674
Ook gesteld aan : schriftelijke vraag 4-6675
Ook gesteld aan : schriftelijke vraag 4-6676
Ook gesteld aan : schriftelijke vraag 4-6677
Ook gesteld aan : schriftelijke vraag 4-6678
Ook gesteld aan : schriftelijke vraag 4-6679
Ook gesteld aan : schriftelijke vraag 4-6681
Ook gesteld aan : schriftelijke vraag 4-6682
Ook gesteld aan : schriftelijke vraag 4-6683
Ook gesteld aan : schriftelijke vraag 4-6684
Ook gesteld aan : schriftelijke vraag 4-6685
Het Nederlandse Government Computer Emergency Response Team (GOVCERT), het adviesorgaan van de Nederlandse overheid op informaticagebied, meldt in haar jaarlijkse rapportage dat " de risico's op misbruik van overheids- en burgergegevens toenemen ".
Twee maanden na het verschijnen van het GOVCERT-rapport werd de veiligheid van Nederlandse overheidssites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse Information and Communication Technologies (ICT)-bedrijf signaleerde de afwezigheid van een digitaal slot bij het merendeel van de overheidssites, het zogenaamde Secure Sockets Layer (SSL)-certificaat. Dit certificaat, herkenbaar aan de code " https " in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.
Ik heb dan ook volgende vragen:
1. Wat wordt er gedaan om uw website alsook de websites van de federale overheidsdiensten of andere diensten die onder u ressorteren en een website hebben, te beschermen tegen hackers?
2. Welke voorvallen van diefstal van privé-gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, zijn bekend en hoeveel persoons- of andere gegevens werden bij de respectieve incidenten gestolen?
3. Hoeveel pogingen van diefstal van persoons- of andere gegevens via de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen, vonden plaats? Hebt u klacht ingediend en zo neen, waarom niet? Zo ja, werden de daders gevat?
4. Beschikken de websites van uw beleidscel, uzelf of de federale overheidsdiensten en andere diensten en agentschappen die onder uw bevoegdheid vallen alle over een SSL-certificaat of een ander digitaal slot? Zo neen, waarom niet en tegen wanneer zou dit wel het geval zijn?
5. Meent u dat andere, nieuwe maatregelen nodig zijn om de overheidssites verder te beschermen en zo ja, welke?
1. De website wordt op regelmatige basis aangepast aan de laatste nieuwe versie van het Content Management Systeem waarop de website draait. Ook de modules die in gebruik zijn worden steeds up-to-date gehouden wanneer er nieuw versies verschijnen. Dit beschermt de site tegen aanvallen van buitenaf. De server waarop de website draait wordt onderhouden en beveiligd door een belangrijke speler in de Benelux, wat betreft hosting, namelijk IN bvba. Zij zorgen er onder meer voor dat de server steeds de laatste versie draait van de geïnstalleerde software zoals PHP, MySQL, Ensim. Dit zorgt ervoor dat de uptime van de versie gegarandeerd is en dat de server waarop de website gehost staat beveiligd is tegen aanvallen van buitenaf.
2.en 3. Er zijn geen gevallen van diefstal noch pogingen tot diefstal van privé-gegevens bekend.
4. De website zelf beschikt niet over een SSL-certificaat en loopt dus niet via een https verbinding, maar wel via een http connectie. Het controlepaneel waarmee de hosting en de website beheerd wordt gebruikt wel een SSL connectie met een gepersonaliseerde gebruikersnaam en wachtwoord. De inhoud van de site is niet van die aard dat zij een beveiligde verbinding vereist.
5. Website en hosting beschikken momenteel over voldoende beveiligingstechnieken. Om de kwaliteit van de beveiliging nog te verbeteren wordt, vanuit de diensten van de Kanselarij, de vroeger gerichte monitoring gegeneraliseerd naar een continue monitoring van alle websites.