3-60

3-60

Sénat de Belgique

Annales

JEUDI 27 MAI 2004 - SÉANCE DE L'APRÈS-MIDI

(Suite)

Demande d'explications de M. Hugo Vandenberghe au premier ministre, au vice-premier ministre et ministre du Budget et des Entreprises publiques et au secrétaire d'État à l'Informatisation de l'État sur «la sécurité informatique des services publics fédéraux» (nº 3-267)

De heer Hugo Vandenberghe (CD&V). - Recent heeft voor de zoveelste maal een internetworm, het Sasservirus, ettelijke computers besmet, met de nodige vertragingen bij bedrijven en instellingen tot gevolg. Het duurde enkele dagen voor alles weer genormaliseerd was. Wij vernemen ook dat het Sasservirus de FOD Financiën kon binnendringen via de laptop van een medewerker en zo een aantal computers besmette.

Uit een enquête van het Verbond van Belgische Ondernemingen blijkt dat bedrijven het meest beducht zijn voor informaticamisdrijven. Dit soort misdrijven kan een bedrijf immers veel langer lamleggen dan bijvoorbeeld een diefstal of een collectieve actie. Uit de bevraging kwam ook tevoorschijn dat bedrijven nu de helft meer budget besteden aan veiligheid dan vijf jaar geleden.

Een Amerikaans internetbedrijf, Websense, heeft via haar jaarlijkse enquête ontdekt dat 29% van de bedrijfscomputers besmet zijn door `zogenaamde' spionsoftware. Deze software installeert zich ongemerkt op de harddisk van een computer via programma's zoals KaZaA. Computermisdadigers kunnen zo toegang krijgen tot gevoelige bedrijfsinformatie.

In dit kader lijkt het mij belangrijk om even stil te staan bij de computerbeveiliging van de federale overheidsdiensten, denken we maar aan het spectaculaire voorbeeld van Electrabelgate. Gezien de meeste overheidsdiensten in hun databanken toch over `gevoelige' informatie van de burger beschikken, zoals de belastingsaangiftes bij de FOD Financiën, wil ik toch graag weten of deze informatie afdoende beschermd is.

Hoe wordt de computerbeveiliging, zowel op het vlak van internettoegang, als op het vlak van systemen, servers, en pc's georganiseerd in de verschillende overheidsdiensten. Is er een globaal beleid? Bestaan er verschillen in beveiligingsniveaus, m.a.w. zijn sommige federale overheidsdiensten beter beveiligd dan andere?

Wat zijn de concrete maatregelen die genomen werden na het Sasservirus om overheidscomputers beter te beschermen? Hebben nog andere overheidsdiensten buiten de FOD Financiën geleden onder het virus? Wat is het budget dat besteed wordt aan informaticabeveiliging, in euro en in personeel (fulltime equivalent)? Wat zijn de consignes aan het personeel van de diensten voor het surfen op internet, het gebruiken van programma's zoals KaZaA en het binnenbrengen in overheidsdiensten van eigen computers en software?

De heer Peter Vanvelthoven, staatssecretaris voor Informatisering van de Staat, toegevoegd aan de minister van Leefmilieu, Consumentenzaken en Duurzame Ontwikkeling. - Binnen de federale overheid is iedere overheidsdienst zelf verantwoordelijk voor het gevoerde ICT-beleid. Dat geldt onder meer voor informatiebeveiliging (firewalls, antivirus, inbraakdetectie) als voor de keuze van systemen (servers, pc's, software).

Als horizontale overheidsdienst biedt mijn administratie FEDICT bouwstenen aan die ingezet kunnen worden bij de ontwikkeling van betere diensten aan burgers, bedrijven of ambtenaren. Via de ministerraad dringen we er herhaaldelijk bij alle overheidsdiensten uitdrukkelijk op aan ook effectief gebruik te maken van onze bouwstenen.

Wat zijn deze bouwstenen? De federale portaalsite: hier zijn alle mogelijke maatregelen genomen om de informatie te beschermen (antivirus, inbraakdetectie, firewalls). Het gebruikersbeheer: ook hier waken we er constant voor dat er geen lekken zijn, in geen enkele richting, zodat de privé-gegevens van de gebruikers optimaal worden beschermd. Het gebruikersbeheer zorgt voor de identificatie en de authenticatie van de burger of de onderneming.

De elektronische identiteitskaart beantwoordt aan de strengste veiligheidsnormen die wereldwijd gelden en is absoluut koploper op het gebied van beveiliging.

De FedMAN, het netwerk waarop we alle overheidsdiensten aansluiten, is beveiligd. In 2004 leveren we extra inspanningen om de beveiliging nog verder uit te bouwen (centraal antivirussysteem, centrale firewalls, centrale inbraakdetectie). Voorts zal FEDICT richtlijnen uitwerken voor een optimale afstemming van FOD-specifieke infrastructuur op de centrale infrastructuur.

De UME, de Universal Messaging Engine, die als postbode fungeert om berichten uit te wisselen, wordt voortdurend gemonitored, zodat ook daar inbraak onmogelijk is. Momenteel wordt trouwens gewerkt aan een nieuwe geavanceerde versie die nog extra beveiligingsmogelijkheden biedt.

Thuiswerken voor ambtenaren: FEDICT werkt aan een beveiligde oplossing voor ambtenaren die van thuis uit toegang hebben tot overheidsinformatie. Ze zullen via een internetverbinding werken, maar het is duidelijk dat we moeten vermijden dat eventuele virussen via hun computer het overheidsnetwerk binnendringen. Hiervoor worden antivirus- en firewall-richtlijnen uitgewerkt.

We moeten dus een duidelijk onderscheid maken tussen de bouwstenen waarvoor we een maximale veiligheid garanderen en het individuele ICT-beleid van een overheidsdienst waarbij ik niet altijd betrokken ben.

De regering onderzoekt de oprichting van een federaal agentschap voor informatieveiligheid. Dit agentschap kan een wezenlijke bijdrage leveren tot de verdere beveiliging van de gegevensuitwisseling tussen de verschillende overheidsdiensten en de overheidsdiensten en hun klanten. Waar de gegevensuitwisseling tussen de verschillende instellingen reeds sterk is ingeburgerd, namelijk in de sociale sector, heeft de informatiebeveiliging reeds haar diensten bewezen. De Kruispuntbank voor de sociale zekerheid zorgt er voor dat miljoenen gegevens zonder problemen worden uitgewisseld op het hele netwerk van de sociale zekerheid.

We leveren alle mogelijke inspanningen om onze bouwstenen maximaal te beveiligen, zowel tegen aanvallen, virussen als eventuele andere schadelijke invloeden van buitenaf. Als overheid hebben we een grotere verantwoordelijkheid dan een bedrijf, dat in eerste instantie bedrijfsinformatie moet beschermen. Wij gaan om met privé-gegevens van mensen en we kunnen ons daarbij geen enkele misstap veroorloven.

Er zijn binnen de overheden verschillende beveiligingsniveaus, maar die zijn niet zozeer afhankelijk van de overheidsdienst, als wel van het soort toepassing of van de gevoeligheidsgraad van de informatie. Als bijvoorbeeld een computer bij de FOD Financiën door het Sasservirus is besmet, betekent dit niet dat de gegevens die via Tax-on-web worden verzameld, gecompromitteerd worden, aangezien gebruik wordt gemaakt van de meest recente encryptietechnieken.

Gelet op de onafhankelijkheid van de verschillende overheidsdiensten kan ik momenteel nog niet zeggen welke extra maatregelen genomen zijn na de infectie van een aantal computers door het Sasservirus. Ik kan ook niet zeggen welke FOD's schade zouden hebben geleden door dit virus.

Wat het algemene budget betreft dat wordt uitgetrokken voor beveiliging, heb ik een uitvoerige studie laten voeren naar de graad van informatisering van alle overheidsdiensten. Na de zomer zullen alle resultaten van die studie geconsolideerd zijn en kunnen we zien welke inspanningen onder meer op het gebied van beveiliging zijn genomen en waar eventueel extra inspanningen nodig zijn.

De heer Hugo Vandenberghe (CD&V). - Het antwoord van de staatssecretaris getuigt in ieder geval van zeer veel goede wil. Ik zie mij echter genoodzaakt om een aantal vragen te richten tot de verschillende departementen, die elk bevoegd zijn voor hun eigen beveiligingsbeleid. Er moet inderdaad nog werk worden gemaakt van een totaalbenadering. Ik wacht met spanning op de resultaten van de aangekondigde studie.