|
|
Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
| 28/10/2014 | Verzending vraag (Einde van de antwoordtermijn: 27/11/2014) |
| 27/11/2014 | Antwoord |
Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.
De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.
Ik heb volgende vragen :
1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.
2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :
a) het tijdstip en de duur van het datalek ;
b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;
c) een omschrijving van de gelekte gegevens ;
d) de oorzaak van het datalek ;
e) de getroffen maatregelen ten gevolge van het datalek ;
f) het aantal klachten die desgevallend werden ingediend per datalek ;
g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.
3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?
4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?
5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?
6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.
7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?
1) De federale overheidsdienst (FOD) Financiën heeft geen weet van enige geslaagde gegevensdiefstal in het raam van een cyberaanval.
De FOD Financiën heeft nog nooit een klacht ontvangen over grote datalekken.
Geen enkel groot datalek werd ooit aan de FOD Financiën gesignaleerd.
De grootste risico's worden gevormd door virusaanvallen. Normaal gezien worden deze door diverse antivirussystemen die de FOD Financiën heeft geïnstalleerd, opgespoord en verwijderd.
In februari 2012 werd de FOD Financiën getroffen door het computervirus « Sality.gen.z », dat een weerslag heeft gehad op een aantal werkposten zonder echter de werking van het Departement te verlammen. Daarbij heeft de FOD Financiën nooit een datalek vastgesteld of er kennis van gehad.
Twee pogingen van « SQL-Injection » werden vastgesteld, in maart 2013 (applicatie « Tarweb » (douanetarief)) en in oktober 2013. De beveiligingssystemen functioneerden naar behoren en er werd geen enkele schade of diefstal van gegevens vastgesteld.
2) De Stafdienst ICT van de FOD Financiën heeft nog nooit te maken gehad met grote gegevenslekken.
3) De Stafdienst ICT van de FOD Financiën heeft nog nooit te maken gehad met grote gegevenslekken. De Stafdienst ICT heeft nooit klachten gekregen als resultaat van grote gegevenslekken.
4) Aangezien de Stafdienst ICT van de FOD Financiën nog niet te maken heeft gehad met grote gegevenslekken, heeft deze dienst er ook nog geen gemeld aan de Commissie voor de bescherming van de persoonlijke levenssfeer.
5) Het volledige netwerk van de FOD Financiën wordt van het internet afgeschermd door een beveiligingsinfrastructuur die diverse voorzieningen omvat :
– firewall ;
– inbraakdetectie ;
– beveiligd tussenstation in berichtendienst ;
– antivirusbescherming ;
– filtering van webpagina's volgens diverse criteria ;
– controle van toegang op afstand met krachtige authenticatie.
Het geheel van deze voorzieningen maakt het mogelijk de informatie-uitwisseling met het internet te controleren, de stromen die een risico inhouden te blokkeren, en geautoriseerde stromen te filteren op basis van bepaalde gekende risico's.
De strategische servers van de FOD Financiën zijn geïnstalleerd op een intern netwerk dat met behulp van de bovengenoemde beveiligingsinfrastructuur wordt afgeschermd van het internet. Geen enkele internetgebruiker kan hiertoe doordringen, tenzij via de beveiligde tussenliggende systemen.
De servers die een dienstverlening aan het publiek verzorgen, zijn geïnstalleerd op een intermediair netwerk, DMZ geheten, dat toegankelijk is via het internet en dat losstaat van het interne netwerk van de FOD Financiën. Deze servers vormen het voorwerp van een gepaste bescherming. Ze kunnen eventueel dienen als beveiligde relais naar de servers die de informatie bevatten.
Het interne netwerk van de FOD Financiën vormt het voorwerp van een reeks beveiligingsmaatregelen waaronder :
– een centraal systeem voor identificatie van de gebruikers en controle op de toegang tot de applicaties ;
– een antivirusbescherming voor de werkposten, met centraal beheerde updating ;
– een antivirusbescherming voor de servers ;
– een antivirusbescherming voor het departementaal e-mailsysteem ;
– centraal toezicht op de patches voor de beveiliging van de werkposten ;
– centrale back-up voor de data op de pc's.
De toegang tot de gevoelige gegevens wordt enkel bestemd tot de ambtenaren in de mate dat dit nodig is voor de uitoefening van hun specifieke functie. Het artikel 10 van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de federale overheidsdienst Financiën in het kader van zijn opdrachten bevestigt dit principe.
Een procedure analyseert de code van de « e-govtoepassingen » (toepassingen die diensten leveren aan burgers en ondernemingen) om zwakkere schakels in de beveiliging op te sporen.
Een « Security Officer » heeft de leiding over het globale beveiligingsbeleid en een gespecialiseerde afdeling van de Stafdienst ICT beheert de technische en operationele aspecten.
6) De gegevens waarover wij beschikken, zijn opgenomen in bijgevoegde tabel.
7) De FOD Financiën neemt een reeks veiligheidsmaatregelen en beschikt over een beveiligingsinfrastructuur die het mogelijk maakt zijn informatica-infrastructuur te beschermen tegen de gekende of redelijkerwijs te verwachten aanvallen. Deze maatregelen en deze beveiligingsinfrastructuur worden aangepast naargelang van het niveau van bedreiging, ofwel door de update van beveiligingspatches, antivirussen, …, ofwel door nieuwe investeringen als er nieuwe bedreigingen opduiken.
De volgende projecten zijn ingeschreven op de begroting van 2014 (uitvoering in 2015):
– ontwikkeling van een strategisch plan voor de informatiebeveiliging ;
– ontwikkeling van een reeks policies voor de informatiebeveiliging.
Voor 2015 is de vernieuwing van een centrale infrastructuur gepland die de identificatie van de gebruikers en de authenticatie van hun identiteit evenals de controle van de toegang tot de applicatie waarborgt (IAM-systeem = Identity and Access Management).
|
Belangrijkste uitgaven van de informatice beveiligingssystemen van de FOD Financiën (BTW inbegrepen) |
||||||||
|
Investeringen |
|
2008 |
2009 |
2010 |
2011 |
2012 |
2013 |
2014 (Bedragen al vastgelegd) |
|
Firewall |
Materiaal |
|
|
|
992 684,36 |
|
|
|
|
|
Software |
|
|
|
244 422,14 |
|
|
|
|
|
Onderhoud en diensten |
|
|
|
970 546,87 |
|
|
|
|
|
Sub-totaal |
|
|
|
2 207 653,37 |
|
|
|
|
Antivirus (PC+servers) |
Materiaal |
|
|
|
|
|
|
|
|
|
Software |
|
|
|
138 306,80 |
|
|
|
|
|
Onderhoud en diensten |
|
|
|
96 239,86 |
|
|
|
|
|
Sub-totaal |
|
|
|
234 546,66 |
|
|
|
|
IAM (interne identificatie) |
Diensten |
|
|
|
715 836,00 |
|
|
|
|
FedIAM (federale identificatie) |
Investeringen |
|
391 485,82 |
|
|
|
199 534,96 |
299 813,80 |
|
|
Onderhoud en diensten |
|
2 108 512,69 |
|
|
|
|
|
|
|
Sub-totaal |
|
2 499 998,51 |
|
|
|
199 534,96 |
299 813,80 |
|
NAC (beveiligd netwerk) |
Sub-totaal |
|
|
|
|
199 637,49 |
|
|
|
Totaal investeringen |
|
0,00 |
2 499 998,51 |
0,00 |
3 158 036,03 |
199 637,49 |
199 534,96 |
299 813,80 |
|
Jaarlijkse uitgaven (onderhoud, licenties, diensten) |
2008 |
2009 |
2010 |
2011 |
2012 |
2013 |
2014 |
|
|
Firewall |
Materiaal |
71 404,56 |
75 924,46 |
75 924,46 |
75 924,46 |
209 467,25 |
209 467,25 |
209 467,25 |
|
|
Software |
17 518,56 |
18 627,49 |
155 970,45 |
155 970,45 |
148 175,34 |
148 175,35 |
148 175,35 |
|
|
Onderhoud en diensten |
483 801,36 |
514 425,98 |
514 425,98 |
514 425,98 |
593 634,81 |
636 468,80 |
588 068,80 |
|
|
Sub-totaal |
572 724,48 |
608 977,93 |
746 320,89 |
746 320,89 |
951 277,40 |
994 111,40 |
945 711,40 |
|
Antivirus (PC+servers) |
Materiaal |
|
|
|
|
|||
|
|
Software |
|
|
|
|
138 306,80 |
136 336,15 |
134 139,39 |
|
|
Onderhoud en diensten |
50 993,08 |
50 993,08 |
50 993,08 |
14 883,00 |
14 883,00 |
35 453,00 |
14 883,00 |
|
|
Sub-totaal |
50 993,08 |
50 993,08 |
50 993,08 |
14 883,00 |
153 189,80 |
171 789,15 |
149 022,39 |
|
IAM (vastlegging per 2 jaar) |
Onderhoud hardware |
|
|
|
|
|
|
507 125,12 |
|
|
Diensten |
|
|
|
|
|
|
231 940,18 |
|
Sub-totaal |
0,00 |
793 639,00 |
0,00 |
875 062,32 |
0,00 |
356 871,35 |
739 065,30 |
|
|
FedIAM |
Sub-totaal (onderhoud) |
|
|
|
680 682,00 |
|
|
|
|
Beheer van patchen |
Sub-totaal |
68 970,00 |
68 970,00 |
68 970,00 |
|
|
|
|
|
Totaal jaarlijkse uitgaven (onderhoud, licenties, diensten) |
692 687,56 |
1 522 580,01 |
866 283,97 |
2 316 948,21 |
1 104 467,20 |
1 522 771,90 |
1 833 799,09 |
|
|
Algemeen TOTAAL |
|
692 687,56 |
4 022 578,52 |
866 283,97 |
5 474 984,24 |
1 304 104,69 |
1 722 306,86 |
2 133 612,89 |