SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2014-2015 Zitting 2014-2015
________________
24 octobre 2014 24 oktober 2014
________________
Question écrite n° 6-19 Schriftelijke vraag nr. 6-19

de Lode Vereeck (Open Vld)
van Lode Vereeck (Open Vld)

au premier ministre
aan de eerste minister
________________
Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen 
________________
protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique
gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut
________ ________
24/10/2014Verzending vraag
(Einde van de antwoordtermijn: 27/11/2014)
27/11/2014Antwoord
24/10/2014Verzending vraag
(Einde van de antwoordtermijn: 27/11/2014)
27/11/2014Antwoord
________ ________
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36		 Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36
________ ________
Question n° 6-19 du 24 octobre 2014 : (Question posée en néerlandais) Vraag nr. 6-19 d.d. 24 oktober 2014 : (Vraag gesteld in het Nederlands)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

 

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

 
Réponse reçue le 27 novembre 2014 : Antwoord ontvangen op 27 november 2014 :

1) Aucune attaque orientée spécifiquement sur nos bases de données n’a été relevée depuis 2009. Toutefois, la pression de la cybercriminalité et les attaques sur l’infrastructure de l’lCT Shared Services des services publics fédéraux horizontaux sont quotidiennes. Ainsi, des actions pour maintenir le niveau de protection doivent régulièrement être prises.

Une plainte a été déposée auprès du procureur fédéral le 18 octobre 2013 pour une attaque de notre infrastructure en août 2012 et en octobre 2013.

2) et 3) Il n’y a pas eu de perte de données personnelles depuis 2009.

4) La question relève des compétences du secrétaire d'État à la Protection de la vie privée, à qui la question a également été posée.

5) L’effort de protection est continu afin d’augmenter dans la limite des budgets disponibles la sécurité des données et des applications. Plusieurs lignes de protections de l’infrastructure sont ainsi constituées afin de garantir la sécurité globale.

En outre, les mesures suivantes ont été prises au sein du ICT Shared Services des services publics fédéraux horizontaux :

  • les mises à jours des postes de travail, notamment les patches de sécurité, sont automatisées et la présence d’un software antivirus récent est obligatoire ;

  • les différents serveurs sont à jour et sécurisés ;

  • les équipements réseaux exposés sont également munis de moyens de protection ;

  • les mots de passe pour l’accès aux applications et aux données sont renforcés et utilisent de préférence une authentification forte (deux facteurs) comme moyen d’authentification ;

  • la couche stockage des données utilise également des instruments de protection spécifiques ;

  • les applications et les données utilisent une infrastructure physique installée dans les datacenters de la Chancellerie et exploité par une équipe interne et des externes dédicacés et habilités ;

  • les backups sont réalisés sur bande et sont cryptés ;

  • des audits de sécurité et des tests de pénétration sont régulièrement réalisés : ils donnent lieu à des plans de remédiation ou d’amélioration.

6) et 7) Il m’apparait opportun, pour des raisons de sécurité et afin de ne pas affaiblir nos protections, de ne pas rendre public le détail des moyens mis en œuvre ou qui seront mis en œuvre prochainement afin de garantir la sécurité du système et des données.

En matière de cybersécurité, l’accord de gouvernement définit trois objectifs stratégiques :

a. la Belgique visera un cyberespace sûr et fiable qui respecte les valeurs et droits fondamentaux de la société moderne ;

b. la Belgique visera une sécurisation et une protection optimales des infrastructures et systèmes publics critiques contre la cybermenace ;

c. la Belgique désire développer ses propres capacités en cybersécurité.

L’idée est d’opérationnaliser la stratégie qui a été décidée durant la précédente législature – stratégie générale qu’il s’agit de traduire en objectifs concrets.

Enfin, une attention prioritaire sera portée à la poursuite de l’opérationnalisation du Centre pour la cybersécurité Belgique. Dans la mesure où nous préparons un dossier avec des estimations précises des crédits nécessaires pour la mise en place du Centre cybersécurité Belgique (personnel, fonctionnement, investissement, etc.), le centre sera opérationnel dans le courant de 2015.

1) Sinds 2009 werd geen enkele aanval specifiek gericht op onze databanken vastgesteld. Er is echter wel een dagelijkse druk van cybercriminaliteit en aanvallen op infrastructuur van ICT Shared Services van de horizontale federale overheidsdiensten. Er moet dus wel regelmatig actie ondernomen worden om het beschermingsniveau te handhaven.

Op 18 oktober 2013 werd een klacht neergelegd bij de federaal procureur voor een aanval tegen de infrastructuur in augustus 2012 en oktober 2013.

2) en 3) Sinds 2009 is er geen verlies van persoonlijke gegevens geweest.

4) Deze vraag behoort tot de bevoegdheden van de staatssecretaris voor Privacy, aan wie de vraag eveneens is gesteld.

5) De beschermingsinspanning is continu om binnen de perken van de beschikbare middelen de beveiliging van onze data en applicaties te verhogen. Meerdere beschermingslijnen werden voorzien rond onze infrastructuur om een globale beveiliging te waarborgen.

Bovendien werden binnen ICT Shared Services van de horizontale federale overheidsdiensten volgende beschermingsmaatregelen genomen :

  • updates van de werkposten, met name van de beveiligingsinstrumenten, zijn geautomatiseerd en de installatie van een recente antivirus-software is verplicht ;

  • de verschillende servers zijn eveneens up to date en beveiligd ;

  • de gebruikte netwerkuitrustingen zijn eveneens voorzien van beschermingsmiddelen ;

  • de paswoorden voor de toegang tot applicaties en gegevens zijn versterkt en gebruiken bij voorkeur een sterke authenticatie (twee factoren) als authenticatiemiddel ;

  • de gegevensopslag gebruikt eveneens bijzondere beschermingsinstrumenten ;

  • de applicaties en de gegevens gebruiken een fysieke infrastructuur die geïnstalleerd is in de datacenters van de Kanselarij en uitgebaat door daartoe aangewezen en gemachtigde interne en externe ploeg ;

  • backups worden op tape uitgevoerd en worden gecrypteerd ;

  • veiligheidsaudits en indringingstesten worden regelmatig uitgevoerd : zij geven aanleiding tot herstel- en verbeterplannen.

6) en 7) Het lijkt me aangewezen, omwille van veiligheidsredenen en om onze bescherming niet aan te tasten, om niet de detailbeschrijving openbaar te maken van de middelen die ingezet of binnenkort ingezet zullen worden om te beveiliging van het systeem en de gegevens te waarborgen.

Inzake cyberveiligheid definieert het regeerakkoord drie strategische doelstellingen :

a. België zal streven naar een veilige en betrouwbare cyberspace met respect voor de fundamentele rechten en waarden van de moderne samenleving ;

b. België zal streven naar een optimale beveiliging en bescherming van kritieke infrastructuren en overheidssystemen tegen de cyberdreiging ;

c. België wenst eigen cybersecurity-capaciteit te ontwikkelen.

Bedoeling is de strategie waartoe tijdens de vorige legislatuur werd beslist, te operationaliseren – een algemene strategie die moet vertaald worden in concrete doelstellingen.

Tenslotte zal prioritaire aandacht worden besteed aan de uitbouw van het Centrum voor cybersecurity België. Rekening houdend met het feit dat nu een dossier wordt voorbereid met precieze ramingen van de nodige kredieten voor de uitbouw van het Centrum voor cybersecurity België (personeel, werking, investeringen, enz.) zal het Centrum in de loop van 2015 operationeel zijn.