Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-27

van Lode Vereeck (Open Vld) d.d. 30 oktober 2014

aan de minister van Pensioenen

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

Chronologie

30/10/2014Verzending vraag (Einde van de antwoordtermijn: 4/12/2014)
4/12/2014Antwoord

Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36

Vraag nr. 6-27 d.d. 30 oktober 2014 : (Vraag gesteld in het Nederlands)

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Antwoord ontvangen op 4 december 2014 :

In antwoord op zijn vragen heb ik de eer om het geachte lid het volgende mee te delen :

1) Een gerichte aanval op de databases van de Rijksdienst voor pensioenen (RVP) en de Pensioendienst voor de overheidssector (PEDOS) werd tot op heden nog niet vastgesteld – noch extern, noch intern.

2) De RVP en de PEDOS hebben nog niet te maken gehad met een datalek en beschikken niet over statistieken met betrekking tot incidenten inzake beveiliging doe door andere instellingen werden vastgesteld.

3) De RVP en de PEDOS beschikken niet over inlichtingen over klachten of juridische acties.

4) Met betrekking tot de gegevens van de RVP en de PEDOS werd er geen enkele klacht ingediend bij de Commissie voor de bescherming van de persoonlijke levensfeer.

5) De huidige beveiligingsinfrastructuur van de Rijksdienst voor pensioenen bestaat uit de volgende componenten : firewall gateway en management, authentication services (met of zonder e-ID, maar steeds wel met sterke authenticatie), VPN, intrusion detection and prevention, load balancing voor webservers, forward proxy, URL filtering, reverse proxy of web application firewall, mailrelay, antivirus of anti-malware.

De eigen personeelsleden van de RVP staan in voor het dagdagelijks beheer. De ondersteuning en het onderhoud van deze infrastructuur wordt verzorgd door een bedrijf gespecialiseerd in informaticabeveiliging. Hiervoor werd een contract voor vijf jaar in 2009 (verlengd met een jaar tot begin 2015) afgesloten, via een aanbestedingsprocedure met beperkte offerteaanvraag.

De uitwisseling van vertrouwelijke data tussen instellingen of bedrijven gebeurt steeds via aparte beveiligde netwerken. Indien het gaat om sociale persoonsgegevens, dan dient dit hetzij via de KSZ of hetzij rechtstreeks na machtiging van het Sectoraal Comité te geschieden. De verbindingen zijn steeds met sterke encryptie en certificaten (X.509 van Fedict) beschermd.

De uitwisseling van vertrouwelijke data tussen de RVP en de (kandidaat) gepensioneerde kan via de beveiligde site https://www.mypension.be. De beveiliging geschiedt hier met authenticatie op het sociale zekerheidsportaal (e-ID) en web application firewall. De (kandidaat) gepensioneerde kan enkel zijn eigen gegevens raadplegen op basis van de e-ID die werd aangeboden.

De databank, de opslagsystemen en de applicatieservers bevinden zich in beveiligde datacenter ruimtes die enkel mits toegangsbadges kunnen worden betreden.

In 2015 wordt een nieuwe veiligheidsinfrastructuur uitgewerkt op basis van een opdrachtcentrale. Omwille van besparingen, management, efficiëntie, technische evolutie en ook samenwerking met andere organismen, wordt de verschillende functionaliteiten betreffende ICT-veiligheid geconsolideerd, naar volgende drie onderdelen :

Als primaire instelling van de Sociale Zekerheid is de PDOS met het Internet verbonden via het Extranet van de Sociale Zekerheid. Een gespecialiseerde firma garandeert een veilige toegang via een firewall, een reverse proxy en een scanning van alle mailverkeer.

In het kader van de synergie tussen de verschillende pensioeninstellingen, gebruikt de PDOS het netwerk en de telecommunicatielijnen van de Rijksdienst voor pensioenen om zich met het Extranet te verbinden. De PDOS betaalt de RVP voor het beheer van zijn serverpark. De verbindingen tussen de servers en het Extranet worden beveiligd door een interne firewall en het gebruik van de DMZ (gedemilitariseerde zone) wat zorgt voor een dubbele beveiliging van de toegang tot de servers.

De update van de werkstations van de PDOS gebeurt door geautomatiseerde procedures. Op het vlak van anti-virus software kunnen enkel de PC’s met geactualiseerde anti-virus definities zich met de servers verbinden. Het is technisch onmogelijk om zich met het netwerk van de PDOS te verbinden via een laptop die op het netwerk niet gekend is.

In het kader van het telewerk zijn volgende bijkomende maatregelen voorzien: gebruik van een PC die door de PDOS ter beschikking wordt gesteld, identificatie van de gebruiker via zijn elektronische identiteitskaart, gebruik van een beveiligde VPN verbinding zodat de encryptie van de gegevensuitwisseling tussen de gebruiker en de servers kan worden gerealiseerd.

6) In het kader van de synergie met de Rijksdienst voor pensioenen, voorziet de PDOS eveneens in een onderaanneming voor de beveiliging van zijn servers en de toegangen tot deze servers. Zoals reeds vermeld organiseert een gespecialiseerd firma de beveiliging van de toegang tot het publieke Internet door middel van het Extranet van de Sociale Zekerheid.

Het is in ieder geval onmogelijk om de specifieke kost voor de PDOS af te zonderen. De investeringskost kan voorzichtig geraamd worden op ongeveer 100 000 euro (zonder BTW) voor wat de beveiliging door de RVP voor de PDOS betreft, verhoogd met een jaarlijkse kost van 38 000 euro (zonder BTW) voor de specifieke beveiliging die noodzakelijk is voor de PDOS.

RVP cijfers :

Van 2009 tot en met 2014 werd 2 345 746,86 euro geïnvesteerd.

Firewall gateway en management

103 407,80

Authentication services

13 569,41

VPN

94 939,20

Loadbalancer

96 469,74

Intrusion detection and prevention

71 677,90

Forward proxy

111 675,33

Web application firewall

57 430,38

Mailrelay

159 208,30

SLA

138 550,80

Project management

30 200,00

Verlenging maintenance 1 jaar

88 618,00

Personeelskost RVP (6 jaar)

1 380 000,00

Totaal

2 345 746,86



Van 2015 tot en met 2018 zal 1 670 072,13 euro worden geïnvesteerd.

Firewall

159 753,33

ADC

501 498,80

Nac

88 820,00

Personeelskost RVP (4 jaar)

920 000,00

Totaal

1 670 072,13



7) De huidige veiligheidsmaatregelen worden beoordeeld als voldoende. Vooral op het vlak van log-management en ­correlatie, database activity monitoring, advanced persistent threats zijn er nog verbeteringen mogelijk. Er wordt geen tijdpad vooropgesteld, zolang er geen zekerheid is of er wel kan worden in geïnvesteerd.