Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1929

van Tom Ongena (Open Vld) d.d. 7 maart 2023

aan de vice-eersteminister en minister van Ambtenarenzaken en Overheidsbedrijven, Telecommunicatie en Post

Overheidssites - Hacking - Cijfers - Beveiliging - Maatregelen

internetsite
computerpiraterij
overheidsadministratie
elektronische post
informatiebeveiliging

Chronologie

7/3/2023Verzending vraag (Einde van de antwoordtermijn: 6/4/2023)
31/3/2023Antwoord

Ook gesteld aan : schriftelijke vraag 7-1930
Ook gesteld aan : schriftelijke vraag 7-1931

Vraag nr. 7-1929 d.d. 7 maart 2023 : (Vraag gesteld in het Nederlands)

Hoewel de Nederlandse overheid regelmatig getroffen wordt door phishing-aanvallen, toch lijkt de verbetering van de beveiliging van e-mail en websites geen prioriteit te zijn. Uit de laatste meting van Forum Standaardisatie blijkt dat de helft van alle domeinnamen nog steeds niet voldoet aan verplichte security-standaarden.

In november 2022 werden er meer dan 2 500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Slechts 53 % van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid.

Voor e-mail is dat percentage nog lager: slechts 44 % voldoet aan de afspraken. De «deadlines» voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken.

Uit een soortgelijk onderzoek van twee jaar geleden bleek dat Belgische sites met eenzelfde problematiek kampten. Uit onderzoek bleek dat hackers gemakkelijk konden binnendringen in bijna een op de vijf websites van Belgische bedrijven en overheden. De Belgische overheidswebsites liepen het grootste risico. Criminelen konden bij een op de vier sites van gemeenten en lokale politiediensten illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privédata stelen.

De grootste boosdoener is volgens de consultant BDO, dat zelf geen cyber­beveiliging aanbiedt, de verouderde technologie die veel websites in België gebruiken. «Vier op de tien websites maken nog gebruik van onbeveiligde http-adressen», legt een expert uit (cf. https://www.demorgen.be/nieuws/een-op-de-vijf-belgische-websites-kwetsbaar-voor-cyberaanval~b4d7da30/).

Francis Oostvogels van BDO: «Vier op de tien websites in ons land maken nog gebruik van FTP. Hackers kunnen via die niet-geëncrypteerde technologie eenvoudig paswoorden onderscheppen. En wat te denken van de 15 % websites die nog steeds onbeveiligde http-adressen gebruiken? Tot slot blijkt ook dat een op de zes van de Belgische websitedomeinen kwetsbaar zijn voor e-mailspoofing. Cybercriminelen kapen de domeinnaam en maken zo eenvoudig e-mailadressen na. Het is een populaire techniek bij «CEO fraude», waarbij een hacker zich voordoet als CEO om geld te verduisteren» (cf. https://www.bdo.be/nl-be/nieuws/2021/liefst-1-op-de-5-bedrijfs-en-overheidswebsites-in-belgie-kwetsbaar-voor-cybera).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoeveel van de Belgische overheidssites zijn gehackt sinds 2021? Wat waren de zwakheden? Welke site van welke dienst betrof het? Werden er gevoelige data gestolen (persoonsgegevens, paswoorden, enz.)?

2) Zijn er in België voor overheidssites verplichte beveiligingsstandaarden? Zo ja, welke? Kan u ook procentueel inschatten hoeveel van dergelijke sites op dit ogenblik voldoen aan deze richtlijnen? Zo niet, zou u kunnen meedelen in hoeverre men is wat betreft de sites die onder uw bevoegdheid vallen?

3) Kan u meedelen of er sinds het bericht hierover aanpassingen zijn gedaan omtrent de beveiliging van de sites? Wordt er voor het merendeel van de overheidssites intussen nog steeds gebruik gemaakt van de onveilige HTTP-encryptie? Zo ja, waarom? Zo neen, welke andere maatregelen wat betreft beveiliging staan er nog in de steigers?

4) Zou u kunnen zeggen of er richtlijnen bestaan over de beveiliging rond e-mailstandaarden? Zo ja, welke en zijn ze reeds geïmplementeerd? Zo neen, waarom niet?

5) Zijn er ondertussen maatregelen getroffen die respectievelijk de verouderde FTP-aanpak verbeteren? Zo ja, welke maatregelen werden er getroffen en hoe? Zo neen, waarom niet?

6) In hoeverre zijn de overheidssites kwetsbaar voor zogenaamde «e-mailspoofing»? Zijn hier reeds voorvallen rond bekend? Zo ja, hoeveel? Werden er reeds maatregelen getroffen om deze veiligheidsrisico's tegen te gaan? Zo ja, welke? Zo neen, waarom niet?

Antwoord ontvangen op 31 maart 2023 :

Vraag 1) valt onder de bevoegdheid van mijn collega Annelies Verlinden, minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing.

Vragen 2) tot en met 6) vallen onder de bevoegdheid van mijn collega Alexander De Croo, eerste minister als voordijminister over het Centrum voor cybersecurity België (CCB).