Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-1185

van Jean-Jacques De Gucht (Open Vld) d.d. 15 december 2016

aan de minister van Middenstand, Zelfstandigen, KMO's, Landbouw en Maatschappelijke Integratie

Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen

internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite

Chronologie

15/12/2016Verzending vraag (Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord

Ook gesteld aan : schriftelijke vraag 6-1176
Ook gesteld aan : schriftelijke vraag 6-1177
Ook gesteld aan : schriftelijke vraag 6-1178
Ook gesteld aan : schriftelijke vraag 6-1179
Ook gesteld aan : schriftelijke vraag 6-1180
Ook gesteld aan : schriftelijke vraag 6-1181
Ook gesteld aan : schriftelijke vraag 6-1182
Ook gesteld aan : schriftelijke vraag 6-1183
Ook gesteld aan : schriftelijke vraag 6-1184
Ook gesteld aan : schriftelijke vraag 6-1186
Ook gesteld aan : schriftelijke vraag 6-1187
Ook gesteld aan : schriftelijke vraag 6-1188
Ook gesteld aan : schriftelijke vraag 6-1189
Ook gesteld aan : schriftelijke vraag 6-1190
Ook gesteld aan : schriftelijke vraag 6-1191
Ook gesteld aan : schriftelijke vraag 6-1192
Ook gesteld aan : schriftelijke vraag 6-1193

Vraag nr. 6-1185 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

Antwoord ontvangen op 18 januari 2017 :

I. Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) – Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA)

A) FAVV

Uit de context van de vraag begrijpt het FAVV dat de definitie van « veiligheidsrisico’s » in deze parlementaire vraag zich focust op « de beveiliging van de dataverkeer van en naar websites ». De vragen zullen bijgevolg in deze context worden beantwoord.

1) Het FAVV is van mening dat de beveiliging van het dataverkeer van en naar websites voldoende gegarandeerd is.

Het FAVV beheert rechtstreeks vier dataflows bereikbaar via het Internet :

Een in « HTTP » en een in HTTPS, elk naar :

– favv-afsca.be ;

– foodweb.be.

HTTP wordt enkel ingezet voor websites met data die publiek toegankelijk mogen zijn. HTTPS wordt opgelegd voor flows die beveiligd moeten worden voor niet publieke gegevens.

Vervolgens een lijst van de URL’s :

Domain / URL’s waarvoor HTTPS moet worden gebruikt :

Domain / URL’s waarvoor HTTP kan worden gebruikt :

Voor *.favv-afsca.be zijn dat (vervang * door naam) :

Voor *.foodweb.be zijn dat (vervang * door naam) :

Al de andere


esp-connect

login

extranet

afscafin

becert

boodsan

boxi

cdmomail

dsbrd

b2b-teste

eid

foodnet

foodweb

pwm

intracdmo

intralab

intranet

kraken

narval

stor2

operator

foodteste

protime

pswdmgmt

b2b-edu

vetmail

vibe

foodteste

bi4

intracontrol

b2cpub

scicom

jira

stats

finfood-edu

finfood-teste

owa

webmail

autodiscover


www

afscafin

becert   

eid

operator

finfood


Bijkomend worden ook het domein Sanitel en het domein afscafin respectievelijk gehost door de externe firma’s HPE en Smals. De beveiliging hiervan is uitbesteed onder de verantwoordelijkheid van de leverancier volgens lastenboek.

2) Het risico dat de communicatie met overheidssites bij het gebruik van hotspots kan worden ingelezen is niet groter of kleiner dan het risico bij gebruik van een eigen verbinding.

Voor gevoelige websites waarop ingelogd wordt, is het verkeer immers versleuteld (HTTPS / certificaatbeheer) en is er een wachtwoordbeleid. Voor verkeer naar websites via HTTP zou via de hotspot wel data kunnen worden ingelezen, maar het betreft hier dan ook slechts publiekelijk toegankelijke informatie.

3) Technisch blijft er een mogelijk beveiligingsrisico door bijvoorbeeld gebruik te maken van HTTPS iframes op HTTP pagina’s. Dit laat iframe injection toe en op die manier zou malware kunnen werken of zouden wachtwoorden kunnen worden onderschept.

Bij het FAVV worden dergelijke technieken echter niet gebruikt. Wij hebben ook geen weet van dergelijke technieken op sites bij andere overheidsinstellingen.

4) Gezien bij het FAVV al de configuratie centraal gebeurt, is deze lijst dezelfde als die uit antwoord 1).

5) Voor de sites van het FAVV heeft Fedict geen actie hoeven te ondernemen. Het FAVV heeft dit zelf geïmplementeerd met gebruikmaking van de certificaten van QuoVadis.

Voor de extern gehoste sites kan het FAVV bevestigen dat :

– HPE dit heeft geïmplementeerd voor de testomgeving van Sanitel en het aan het implementeren is voor de Sanitel productieomgeving ;

– Smals dit heeft geïmplementeerd voor de omgeving Afscafin.

6) Enkel voor de productiesite van Sanitel (gehost door HPE) is dit protocol nog in gebruik zoals ook aangegeven in het antwoord op vorige vraag.

7) Er werden geen specifieke maatregelen genomen als gevolg van de betreffende studie.

Een aantal verbeteringen die door het FAVV reeds gepland waren, werden echter intussen ingevoerd :

– vernieuwing Corporate Firewall met meer performantie om IPS (intrusion prevention) actief te houden zonder merkbare impact op de nuttige flows ;

– verhoogde veiligheid door in FAVV Internet Access Street oude protocollen / cipher suites uit te schakelen.

B) CODA

1) Vanaf het moment dat een « Public » website op het Internet wordt gepubliceerd, zijn er risico’s. De enige maatregelen die kunnen worden genomen zijn :

– HTTPS-verbinding gebruiken met TL.S protocol ;

– basisregels van de veiligheid respecteren en de gevoelige data beschermen via login, wachtwoord, versleuteling, enz. (indien deze via het Internet bereikbaar moeten zijn).

http://www.CODA-CERVA.be (HTTP en niet HTTPS).

2) Er zijn altijd risico’s bij het aanbieden van een verbindingstoegang via wifi-hotspot. Nogmaals, de basisregels van de netwerkveiligheid moeten door administrators gerespecteerd worden (beveiliging op het niveau van mappen, bestanden en documenten) en ook beschermingen tegen malwares (virus, Trojan, enz.) is nodig.

3) HTTPS met het gebruik van nieuwe protocols (TLS 1.2) om te communiceren tussen twee partijen is zeker een zeer goede oplossing ! Dat is niet alles, alle andere aspecten in verband met beveiliging moeten ook in kaart gebracht worden (bijvoorbeeld : « Administrator password » moet sterke beveiligingsvoorwaarden volgen, enz.).

Site van het CODA heeft geen HTTPS verbinding vandaag.

Er is geen vertrouwelijke informatie op de webserver van het CODA opgeslagen maar wat Extranet betreft, zou het beter zijn (resultaten van de analyses van de klanten). Er bestaat toch een login en wachtwoordproces om toegang tot Extranet te krijgen !

4) http://www.coda-cerva.be.

http://neonet.coda-cerva.be/Neonet/Login.aspx.

5) Geen SSL verbindingen.

6) Geen SSL verbindingen.

7) Het CODA is nu bezig met de fusie van het CODA met het WIV (oprichting SCIENSANO).

In dit kader heeft het CODA al geïnvesteerd in « reverse proxies met load balancing » om zeker te zijn dat het CODA de laatste protocolversies kan ondersteunen met mogelijkheid van updates van servers in productie gedurende tijdens de werkuren.

II. Federale overheidsdienst (FOD) Economie – Kleine en Middelgrote Ondernemingen (KMO)-beleid

Wat betreft de FOD Economie, KMO, Middenstand en Energie verwijs ik het geachte lid naar het antwoord van mijn collega, de minister van Economie, op de schriftelijke vraag nr. 6-1177.

III. Sociaal statuut der zelfstandigen

A) Rijksinstituut voor de sociale verzekeringen der zelfstandigen (RSVZ)

1) Het RSVZ is verantwoordelijk voor de algemene website van het RSVZ (www.rsvz.be / www.inasti.be / www.lisvs.be / www.nisse.be) en de website van de Nationale Hulpkas (www.nationale-hulpkas.be / www.caisse-nationale-auxiliaire.be / www.nationale-hilfskasse.be / www.national-fund.be ).

Deze websites maken geen gebruik van SSL en bevatten enkel publieke en vrij toegankelijke informatie over het sociaal statuut der zelfstandigen.

2) Zonder voorwerp. Zie antwoord op vraag 1).

3) Zonder voorwerp. Zie antwoord op vraag 1).

4) Zie antwoord op vraag 1).

5) Zonder voorwerp. Zie antwoord op vraag 1).

6) Zonder voorwerp. Zie antwoord op vraag 1).

7) Zonder voorwerp. Zie antwoord op vraag 1).

B) FOD Sociale Zekerheid – DG Zelfstandigen

Aangezien ik enkel inhoudelijk bevoegd ben voor de DG Zelfstandigen van de FOD Sociale Zekerheid, beschik ik niet over de gevraagde gegevens. Voor alle andere onderwerpen (personeel, logistiek, budget, ICT, enz.) met betrekking tot de FOD Sociale Zekerheid, en dus ook tot de DG Zelfstandigen, is het de minister van Sociale Zaken die bevoegd is.

IV. Programmatorische overheidsdienst (POD) Maatschappelijke Integratie

1) Mijn administratie, de POD Maatschappelijke Integratie, beheert momenteel slechts één website, in het domein mi-is.be, op het adres www.mi-is.be.

Deze website wordt al meerdere jaren, en vooral in de laatste versie die momenteel online is, beschermd door een versleutelde verbinding van het type HTTPS.

Deze beveiligde verbinding maakt meer bepaald gebruik van een versleutelingsalgoritme SHA-2 (sha256) met een zeer hoog veiligheidsniveau (SHA-1 werd dit jaar afgevoerd).

Bovendien wordt de website van de POD Maatschappelijke Integratie gehost op een technologisch platform dat beheerd wordt door FEDICT en de onderaannemers die hij aanduidt, zowel voor de technologische infrastructuur als voor het onderhoud van de applicatie :

Fast2web is de oplossing van Fedict voor de creatie van op Drupal gebaseerde websites. Dit omvat enerzijds de hosting, de ondersteuning van de redacteurs en het platform, en anderzijds de CMS-, Search- en statistische functies.

De website van de POD Maatschappelijke Integratie geniet dus van alle beveiligingsmaatregelen genomen door de federale diensten tegen indringing of DOS-aanvallen om het platform Fast2web te beschermen, en beantwoordt aan de geavanceerde veiligheidscriteria verdedigd door FEDICT.

2) Profiteren van een niet-beveiligde wifi (van het type hotspot) om een communicatie te onderscheppen tussen een gebruiker en de website is onmogelijk door de versleuteling van de HTTPS-verbinding (zie boven).

Bovendien zijn de mogelijkheden voor het verzenden van informatie naar de website van de POD Maatschappelijke Integratie momenteel zeer beperkt. Er worden geen persoonsgegevens uitgewisseld via dit middel.

3) De HTTPS-verbinding van de website van de POD Maatschappelijke Integratie steunt op een versleuteling van klasse SHA-2 (zie boven) die momenteel het hoogste veiligheidsniveau biedt voor het type van transactie dat op de website wordt gebruikt.

4) De POD Maatschappelijke Integratie beheert momenteel slechts één website : www.mi-is.be.

5) Omdat de website van de POD Maatschappelijke Integratie gehost wordt door FEDICT op zijn platform dat gedeeld wordt met andere federale websites in het kader van Fast2web (zie boven), maakt het beheer van de veiligheid van de websites gehost op dit platform, het voorwerp uit van voortdurende wijzigingen door de onderaannemers aangeduid door de FOD.

6) De verbinding met de website www.mi-is.be maakt geen gebruik van het SSL3-protocol, maar van het betere TLS 1.2- protocol.

7) FEDICT, de host en Internetprovider van de POD Maatschappelijke Integratie, heeft de veiligheid van de verbinding met de website van de POD Maatschappelijke Integratie versterkt en blijft die voortdurend versterken. Recent nog werden er wijzigingen doorgevoerd ter verbetering van de veiligheid van het FEDMAN-netwerk en van alle systemen die daar gebruik van maken, met name tegen DOS-aanvallen (Denial Of Service) die de federale websites in 2016 gedurende enkele uren hebben geblokkeerd.

V. Spoor Regulering

De website van de dienst Regulering is een statische website die geen login-mogelijkheid voorziet voor derden.

De enige login als administrator is beveiligd met een gebruikersnaam en paswoord. Er werd geen enkele andere beveiligingsmaatregel voorzien.

De DVIS en het Onderzoeksorgaan beschikken niet over een eigen website en worden bijgevolg gehost op de website van de FOD Mobiliteit & Vervoer. Voor deze twee organen verwijs ik u naar het antwoord van de minister van Mobiliteit op schriftelijke vraag nr. 6-1189.