|
|
Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
| 3/11/2014 | Verzending vraag (Einde van de antwoordtermijn: 4/12/2014) |
| 5/12/2014 | Antwoord |
Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-22
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36
Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.
De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.
Ik heb volgende vragen :
1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.
2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :
a) het tijdstip en de duur van het datalek ;
b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;
c) een omschrijving van de gelekte gegevens ;
d) de oorzaak van het datalek ;
e) de getroffen maatregelen ten gevolge van het datalek ;
f) het aantal klachten die desgevallend werden ingediend per datalek ;
g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.
3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?
4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?
5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?
6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.
7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?
Het geachte lid vindt hieronder het antwoord op zijn vragen.
Inleidende nota.
De hierna vermelde incidenten zijn enkel incidenten met als rechtstreeks gevolg een verlies aan vertrouwelijkheid van gevoelige gegevens. Incidenten die niet worden gemeld aan de Veiligheidsadviseur zijn niet gekend.
Al deze incidenten hebben ofwel geresulteerd in het ter beschikking stellen van gegevens aan niet gemachtigde derden, ofwel in een gebruik van deze gegevens voor doeleinden die niet compatibel zijn met de verwerking waaraan ze werden ontleend. Het concept datalek wordt dus in ruime zin geïnterpreteerd.
Zeer weinig incidenten werden ‘geëxternaliseerd’, met andere woorden kenbaar gemaakt aan het publiek of geleid tot gerechtelijke stappen.
Vraag 1 : Omschrijving van de geregistreerde incidenten
|
Nr. |
waar |
wanneer |
wat |
|
1 |
Federale overheidsdienst (FOD) VVVL |
02/2009 |
Contactgegevens worden ontleend aan operationele databases voor een promotiemailing voor een wedstrijd waaraan een personeelslid van de FOD deelneemt. |
|
2 |
FOD VVVL |
11/2011 |
Ongeoorloofde installatie (verschillende niet voldoende beveiligde laptops) van medische gegevens door een ambtenaar van de FOD. |
|
3 |
FOD VVVL |
01/2013 |
Een lijst met gegevens van alle medewerkers van de FOD wordt aangetroffen op een website waar documenten worden gedeeld, de lijst is gereferentieerd en toegankelijk via Google. |
|
4 |
FOD VVVL |
04/2014 |
Een lijst van medewerkers van de FOD wordt bezorgd aan personen die niet belast zijn met het HR-beheer. |
|
5 |
FOD VVVL |
07/2014 |
Een PC werd gestolen, die een database bevatte met daarin persoonlijke professionele en privégegevens van partners van de FOD |
Opmerking : over een veiligheidsincident waarbij gegevens werden gestolen door een identiteitsdiefstal loopt momenteel een gerechtelijke procedure die gedekt wordt door het geheim van het onderzoek.
Vraag 2 :
a) Tijdstip en duur :
Alle incidenten, met uitzondering van 3, zijn doelgericht en impliceren geen terbeschikkingstelling of toegangsmogelijkheid gedurende een lange periode.
Wat incident 3 betreft, is het onmogelijk om de termijn gedurende dewelke deze gegevens beschikbaar waren te bepalen, ze werden van de website gehaald van zodra het incident werd gemeld.
b) Aantal betrokken personen : zie tabel.
c) Welke gegevens : zie tabel.
d) Reden : zie tabel.
|
Nr. |
Aantal |
Wat |
Reden |
|
1 |
5 000 |
Mailadres |
Promotie / reclame voor de deelname van een lid van de FOD aan een wedstrijd. |
|
2 |
+ 10 000 |
Medische gegevens (behandelingen en medicatie) |
Versoepelen van het beheer van en de toegang tot de gegevens gebruikt door de dienst. |
|
3 |
1 500 |
Identiteit, logins, functies en taken, contactgegevens. |
Terbeschikkingstelling van de lijst aan een onderaannemer, het bestand werd vergeten (niet gewist). |
|
4 |
80 |
Identiteit en persoonlijke contactgegevens, functies en taken |
Mededeling aan de deelstaten van de identiteit en de contactgegevens van de personen in mutatie door regionalisering. De mails werden verstuurd naar een mailinglijst waarop niet gemachtigde personen voorkwamen. |
|
5 |
1 600 |
Identiteit en login, werkgevers, privégegevens waaronder de bankrekening, expertisedomeinen en publicaties |
De omstandigheden wijzen erop dat enkel de PC het doel was van de diefstal. Er lijkt geen gebruik te zijn gemaakt van de gegevens. |
e) Getroffen maatregelen :
– interne incidenten hebben geleid tot een advies van de Veiligheidsadviseur ;
– systematisch worden de personen die betrokken zijn bij het incident herinnerd aan de goede praktijken ;
– de kopies van de gegevens worden gewist en de dragers zo nodig vernietigd ;
– in één geval werd de eigenaar van de zoekmotor gesommeerd om de referentiëring en de « cache copies » te wissen ;
– ernstige lekken worden gemeld aan de betrokken personen waarbij tips worden gegeven om een verergering van de situatie te voorkomen ;
– organisatorische maatregelen worden geëvalueerd en toegepast om te vermijden dat een dergelijk incident zich opnieuw zou voordoen.
f) Geen enkele formele klacht, noch bij de veiligheidsadviseur, noch bij de CBPL, noch bij Justitie.
g) Geen juridische stappen.
Vraag 3 : Klachten en gerechtelijke procedures :
Geen gerechtelijke klachten.
Vraag 4 : Aantal datalekken aangegeven bij de CBPL :
Deze vraag geldt niet voor de FOD.
Vraag 5 : Genomen maatregelen :
Technieken :
– beveiliging van het netwerk (firewall, web-content filtering, enz.) ;
– beveiliging van de systemen (antivirus, anti-spam, technische policies van de werkstations, enz.) ;
– beveiliging van de toegangen (gecentraliseerde LDAP, rollenbeheer, enz.) ;
– inventaris van de informaticasystemen ;
– automatische installatie en centralisatie van « bug fixes » ;
– beveiliging en bewaking van de gevoelige lokalen ;
– systeem voor het publiceren van teksten en informatie in verband met het informatieveiligheidsbeheer (intranetpagina’s).
Methodes :
– change management ;
– beheer van de softwareversies ;
– incidentenbeheer en servicedesk ICT.
Organisatorisch :
– risicoanalyse en interne audits ;
– onthaalprocedure voor bezoekers ;
– beveiligde ontmanteling van het verouderd materiaal en de verouderde informatiedragers ;
– handvest van de gebruiker ;
– verschillende veiligheidspolicies ;
– stuurcomité voor het informatieveiligheidsbeheer (adviesorgaan van het directiecomité).
Vraag 6 : Kosten
Er is geen budget voorzien voor de informatieveiligheid, de kosten van de veiligheidsmaatregelen worden afgewenteld naar de functionele budgetten van de opdrachtgevers. Het is dan ook quasi onmogelijk om de bedragen van deze interventies te bepalen. De globale kostprijs voor de beveiliging van de federale overheidsdienst (FOD) kan geraamd worden op 50 000 euro per jaar, voor alle websites en diensten samen.
Vraag 7 : Mogelijke extra maatregelen :
– sensibilisatieacties voor de hoge hiërarchie ;
– invoeren van procedures voor overleg (technisch/business/veiligheid) bij het uitwerken van projecten ;
– interne opleidingsprogramma’s voor alle medewerkers ;
– een uitgebreider team voor het veiligheidsbeheer ;
– invoering van een business continuity management inclusief een DRP ;
– aanschaf van een IDS/IPS systeem en herziening van de informaticaveiligheidsstrategie ;
– invoering van een network access control ;
– invoering van een toezichtsysteem voor de externe gegevensstromen ;
Reeds gepland of aan de gang :
– sensibilisatieseminarie voor de diensthoofden ;
– sensibilisatiecampagne voor alle medewerkers ;
– procedure voor het beheer van veiligheidsincidenten en instrument voor het registreren en opvolgen van incidenten ;
– nieuwe veiligheidspolicies in verband met het gebruik van de communicatiemiddelen.