|
|
Overheidssites - Hacking - Cijfers - Beveiliging - Maatregelen
elektronische post
overheidsadministratie
informatiebeveiliging
computerpiraterij
internetsite
| 7/3/2023 | Verzending vraag (Einde van de antwoordtermijn: 6/4/2023) |
| 5/4/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1929
Ook gesteld aan : schriftelijke vraag 7-1930
Hoewel de Nederlandse overheid regelmatig getroffen wordt door phishing-aanvallen, toch lijkt de verbetering van de beveiliging van e-mail en websites geen prioriteit te zijn. Uit de laatste meting van Forum Standaardisatie blijkt dat de helft van alle domeinnamen nog steeds niet voldoet aan verplichte security-standaarden.
In november 2022 werden er meer dan 2 500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Slechts 53 % van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid.
Voor e-mail is dat percentage nog lager: slechts 44 % voldoet aan de afspraken. De «deadlines» voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken.
Uit een soortgelijk onderzoek van twee jaar geleden bleek dat Belgische sites met eenzelfde problematiek kampten. Uit onderzoek bleek dat hackers gemakkelijk konden binnendringen in bijna een op de vijf websites van Belgische bedrijven en overheden. De Belgische overheidswebsites liepen het grootste risico. Criminelen konden bij een op de vier sites van gemeenten en lokale politiediensten illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privédata stelen.
De grootste boosdoener is volgens de consultant BDO, dat zelf geen cyberbeveiliging aanbiedt, de verouderde technologie die veel websites in België gebruiken. «Vier op de tien websites maken nog gebruik van onbeveiligde http-adressen», legt een expert uit (cf. https://www.demorgen.be/nieuws/een-op-de-vijf-belgische-websites-kwetsbaar-voor-cyberaanval~b4d7da30/).
Francis Oostvogels van BDO: «Vier op de tien websites in ons land maken nog gebruik van FTP. Hackers kunnen via die niet-geëncrypteerde technologie eenvoudig paswoorden onderscheppen. En wat te denken van de 15 % websites die nog steeds onbeveiligde http-adressen gebruiken? Tot slot blijkt ook dat een op de zes van de Belgische websitedomeinen kwetsbaar zijn voor e-mailspoofing. Cybercriminelen kapen de domeinnaam en maken zo eenvoudig e-mailadressen na. Het is een populaire techniek bij «CEO fraude», waarbij een hacker zich voordoet als CEO om geld te verduisteren» (cf. https://www.bdo.be/nl-be/nieuws/2021/liefst-1-op-de-5-bedrijfs-en-overheidswebsites-in-belgie-kwetsbaar-voor-cybera).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Hoeveel van de Belgische overheidssites zijn gehackt sinds 2021? Wat waren de zwakheden? Welke site van welke dienst betrof het? Werden er gevoelige data gestolen (persoonsgegevens, paswoorden, enz.)?
2) Zijn er in België voor overheidssites verplichte beveiligingsstandaarden? Zo ja, welke? Kan u ook procentueel inschatten hoeveel van dergelijke sites op dit ogenblik voldoen aan deze richtlijnen? Zo niet, zou u kunnen meedelen in hoeverre men is wat betreft de sites die onder uw bevoegdheid vallen?
3) Kan u meedelen of er sinds het bericht hierover aanpassingen zijn gedaan omtrent de beveiliging van de sites? Wordt er voor het merendeel van de overheidssites intussen nog steeds gebruik gemaakt van de onveilige HTTP-encryptie? Zo ja, waarom? Zo neen, welke andere maatregelen wat betreft beveiliging staan er nog in de steigers?
4) Zou u kunnen zeggen of er richtlijnen bestaan over de beveiliging rond e-mailstandaarden? Zo ja, welke en zijn ze reeds geïmplementeerd? Zo neen, waarom niet?
5) Zijn er ondertussen maatregelen getroffen die respectievelijk de verouderde FTP-aanpak verbeteren? Zo ja, welke maatregelen werden er getroffen en hoe? Zo neen, waarom niet?
6) In hoeverre zijn de overheidssites kwetsbaar voor zogenaamde «e-mailspoofing»? Zijn hier reeds voorvallen rond bekend? Zo ja, hoeveel? Werden er reeds maatregelen getroffen om deze veiligheidsrisico's tegen te gaan? Zo ja, welke? Zo neen, waarom niet?
1) Aangezien er geen meldingsplicht is beschikt de administratie niet over cijfers. De meldingsplicht betreft aanbieders van essentiële diensten op grond van de wet NIS van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid.
2) Momenteel zijn er geen verplichte beveiligingsnormen voor overheidssites. Onder de NIS2-richtlijn inzake netwerk- en informatiebeveiliging, die de NIS-wet zal opvolgen, zal deze kwestie deel uitmaken van de handhaving van de beveiliging van essentiële diensten van overheidsdiensten. De EU-richtlijn is op 14 december 2022 gepubliceerd en zal eind 2024 in nationale wetgeving zijn omgezet onder coördinatie van het Centre for cybersecurity Belgium (CCB). Pas dan zullen deze verplichtingen in werking treden.
3) Het CCB laat weten niet over de informatie te beschikken om een correct antwoord op deze vraag te geven.
4) Er zijn geen concrete richtlijnen. De federale overheidsdienst Beleid en Ondersteuning (FOD BOSA) beheert het SECaaS-programma in het kader waarvan de veiligheidsnormen voor e-mail (SPF, DMARC, DKIM, anti-malware en anti-spam oplossingen, enz) uitgevoerd kunnen worden voor de diensten bestemd voor overheidsadministraties. Elke overheid is verantwoordelijk voor haar eigen e-mailinfrastructuur.
5) Het CCB raadt het gebruik van FTP ten zeerste af en beveelt aan over te schakelen op veiliger oplossingen zoals SFPT (Secure File Transfer). Meer informatie is beschikbaar op https://cyberguide.ccb.belgium.be/nl.
6) Er worden regelmatig pogingen ondernomen om federale internetdomeinen te spoofen. De Kanselarij van de eerste minister heeft in overleg met het CCB een project gelanceerd om bijkomende beschermingsmaatregelen voor federale internetdomeinen in te voeren. Aangezien elke regering verantwoordelijk is voor haar eigen e-mailinfrastructuur, moet de aanpak goed gecoördineerd worden. Concreet gaat het om de correcte configuratie van SPF, DKIM en DMARC. Deze bescherming maakt het mogelijk om e-mails te weigeren van een IP-adres dat niet geautoriseerd is voor het betreffende domein.