|
|
Overheidssites - Hacking - Cijfers - Beveiliging - Maatregelen
internetsite
computerpiraterij
overheidsadministratie
elektronische post
informatiebeveiliging
| 7/3/2023 | Verzending vraag (Einde van de antwoordtermijn: 6/4/2023) |
| 6/4/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1929
Ook gesteld aan : schriftelijke vraag 7-1931
Hoewel de Nederlandse overheid regelmatig getroffen wordt door phishing-aanvallen, toch lijkt de verbetering van de beveiliging van e-mail en websites geen prioriteit te zijn. Uit de laatste meting van Forum Standaardisatie blijkt dat de helft van alle domeinnamen nog steeds niet voldoet aan verplichte security-standaarden.
In november 2022 werden er meer dan 2 500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Slechts 53 % van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid.
Voor e-mail is dat percentage nog lager: slechts 44 % voldoet aan de afspraken. De «deadlines» voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken.
Uit een soortgelijk onderzoek van twee jaar geleden bleek dat Belgische sites met eenzelfde problematiek kampten. Uit onderzoek bleek dat hackers gemakkelijk konden binnendringen in bijna een op de vijf websites van Belgische bedrijven en overheden. De Belgische overheidswebsites liepen het grootste risico. Criminelen konden bij een op de vier sites van gemeenten en lokale politiediensten illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privédata stelen.
De grootste boosdoener is volgens de consultant BDO, dat zelf geen cyberbeveiliging aanbiedt, de verouderde technologie die veel websites in België gebruiken. «Vier op de tien websites maken nog gebruik van onbeveiligde http-adressen», legt een expert uit (cf. https://www.demorgen.be/nieuws/een-op-de-vijf-belgische-websites-kwetsbaar-voor-cyberaanval~b4d7da30/).
Francis Oostvogels van BDO: «Vier op de tien websites in ons land maken nog gebruik van FTP. Hackers kunnen via die niet-geëncrypteerde technologie eenvoudig paswoorden onderscheppen. En wat te denken van de 15 % websites die nog steeds onbeveiligde http-adressen gebruiken? Tot slot blijkt ook dat een op de zes van de Belgische websitedomeinen kwetsbaar zijn voor e-mailspoofing. Cybercriminelen kapen de domeinnaam en maken zo eenvoudig e-mailadressen na. Het is een populaire techniek bij «CEO fraude», waarbij een hacker zich voordoet als CEO om geld te verduisteren» (cf. https://www.bdo.be/nl-be/nieuws/2021/liefst-1-op-de-5-bedrijfs-en-overheidswebsites-in-belgie-kwetsbaar-voor-cybera).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Hoeveel van de Belgische overheidssites zijn gehackt sinds 2021? Wat waren de zwakheden? Welke site van welke dienst betrof het? Werden er gevoelige data gestolen (persoonsgegevens, paswoorden, enz.)?
2) Zijn er in België voor overheidssites verplichte beveiligingsstandaarden? Zo ja, welke? Kan u ook procentueel inschatten hoeveel van dergelijke sites op dit ogenblik voldoen aan deze richtlijnen? Zo niet, zou u kunnen meedelen in hoeverre men is wat betreft de sites die onder uw bevoegdheid vallen?
3) Kan u meedelen of er sinds het bericht hierover aanpassingen zijn gedaan omtrent de beveiliging van de sites? Wordt er voor het merendeel van de overheidssites intussen nog steeds gebruik gemaakt van de onveilige HTTP-encryptie? Zo ja, waarom? Zo neen, welke andere maatregelen wat betreft beveiliging staan er nog in de steigers?
4) Zou u kunnen zeggen of er richtlijnen bestaan over de beveiliging rond e-mailstandaarden? Zo ja, welke en zijn ze reeds geïmplementeerd? Zo neen, waarom niet?
5) Zijn er ondertussen maatregelen getroffen die respectievelijk de verouderde FTP-aanpak verbeteren? Zo ja, welke maatregelen werden er getroffen en hoe? Zo neen, waarom niet?
6) In hoeverre zijn de overheidssites kwetsbaar voor zogenaamde «e-mailspoofing»? Zijn hier reeds voorvallen rond bekend? Zo ja, hoeveel? Werden er reeds maatregelen getroffen om deze veiligheidsrisico's tegen te gaan? Zo ja, welke? Zo neen, waarom niet?
1) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modi operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de plaatsbestemming, enz.
De onderstaande tabel bevat het aantal door de politiediensten geregistreerde feiten inzake «hacking» met als plaatsbestemming «bestuurlijk gebouw», zoals geregistreerd in de ANG op basis van de processen-verbaal, voor de periode 2018-2021 alsook het eerste semester van 2022 en dit op het nationale niveau.
Deze gegevens zijn afkomstig van de databankafsluiting van 18 november 2022. De cijfers voor het tweede semester van 2022 zijn momenteel nog niet beschikbaar.
Tabel: aantal geregistreerde feiten inzake «hacking» met als plaatsbestemming «bestuurlijk gebouw»
|
|
2018 |
2019 |
2020 |
2021 |
SEM1 2022 |
|
|
Bestuurlijk gebouw |
Ambassade/kanselarij/consulaat |
1 |
|
|
|
|
|
Gebouw Europese Unie |
|
|
3 |
1 |
|
|
|
Gemeente |
6 |
10 |
9 |
8 |
|
|
|
Ministerie |
|
3 |
1 |
1 |
1 |
|
|
Niet nader bepaald |
4 |
3 |
3 |
4 |
2 |
|
|
Totaal: |
11 |
16 |
16 |
14 |
3 |
|
Bron: federale politie.
2), 3), 4), 5) & 6) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert.