SÉNAT Question écrite n° 6-21 - SENAAT Schriftelijke vraag nr. 6-21

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2014-2015

Zitting 2014-2015

________

23 octobre 2014

23 oktober 2014

________

Question écrite n° 6-21

Schriftelijke vraag nr. 6-21

de Lode Vereeck (Open Vld)

van Lode Vereeck (Open Vld)

au vice-premier ministre et ministre de la Sécurité et de l'Intérieur, chargé de la Régie des bâtiments

aan de vice-eersteminister en minister van Veiligheid en Binnenlandse Zaken, belast met de Regie der gebouwen

________

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

________

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

________

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
4/2/2015	Rappel
29/4/2015	Antwoord

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
4/2/2015	Rappel
29/4/2015	Antwoord

________

Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-29
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36

________

Question n° 6-21 du 23 octobre 2014 : (Question posée en néerlandais)

Vraag nr. 6-21 d.d. 23 oktober 2014 : (Vraag gesteld in het Nederlands)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Réponse reçue le 29 avril 2015 :

Antwoord ontvangen op 29 april 2015 :

L’honorable membre trouvera ci-après la réponse à ses questions :

1. En février 2011, le site www.poldoc.be de la police fédérale a fait l’objet d’un hacking. En janvier 2013, le site www.police.ac.be a fait l’objet d’un « defacement ». En avril 2014, le site www.policefederale.be a fait l’objet d’une tentative d’attaque en « bruteforce » et en septembre 2014, des soupçons d’une « attaque DDOS » (Distributed Denial Of Service) ont été posé pour le site www.poldoc.be.

2 a. Un jour dans les différents cas.

2 b. Pas de personnes privées ni de données personnelles.

2 c. Les sites concernés ne contenant que de l’information publique ou de gestion, aucune information sensible n’a pu être subtilisée par les pirates informatiques.

2 d. Notamment l’exploitation de faiblesses de sécurité.

2 e. Les mesures techniques ad hoc ont été prises pour corriger les failles en question.

2 f. Dans les différents cas, une plainte a été déposée auprès de la police fédérale judiciaire.

2 g. Nous n’avons pas été informés des suites judiciaires.

3. Cf. question 2g.

4. Je vous réfère à la Commission de la protection de la vie privée pour cette question.

5. Afin de maximiser les efforts et les moyens disponibles, la police fédérale en collaboration avec les zones de police a établi une synergie avec différents services publics fédéraux (SPF) et en particulier la Chancellerie du premier ministre et le FEDICT. En 2015, de nouvelles synergies portant sur des mesures d’organisation et des mesures techniques seront aussi recherchées avec d’autres SPF et le renouvellement et la modernisation de l’infrastructure ICT des services de police seront lancés.

6. La sécurisation des informations est un objectif prioritaire repris dans le programme stratégique « Information et ICT » du Plan national de sécurité 2012-2015. Cet objectif parcourt tous les domaines de l’ICT. Il n’est pas possible d’établir une distinction entre les coûts de sécurisation et les coûts de gestion, de développement et de renouvellement des applications, banques de données et infrastructures.

L’élément sécurisation est pris en compte lors de chaque renouvellement, développement et adaptation.

Des moyens supplémentaires ont été fournis en 2014 dans le cadre du budget spécifique de lutte contre la cybercriminalité afin de détecter au plus vite les nouvelles formes d’attaques (APT- Advanced Persistent Threat).

7. Oui, on ne peut jamais trop sécuriser ses systèmes ICT. Nous ne pouvons pas donner des détails concernant les mesures à prendre ; en rendant les points faibles publics, on affaiblirait la position de piratage de l’infrastructure.

Het geachte lid vindt hieronder het antwoord op zijn vragen :

1. Wat de federale politie betreft : in februari 2011 werd de site www.poldoc.be gehackt. In januari 2013 werd de site www.police.ac.be « gedefaced ». In april 2014 werd geprobeerd de site www.policefederale.be te hacken via een « brute force cracking » en in september 2014 kreeg de site www.poldoc.be te maken met een vermeende « DDOS-aanval » (Distributed Denial Of Service).

2 a. Een dag in de verschillende gevallen.

2 b. Geen privé-personen, geen persoonlijke gegevens.

2 c. Aangezien de betrokken sites slechts publieke informatie of informatie inzake beheer bevatten, kon geen enkele gevoelige informatie door de hackers worden ontvreemd.

2 d. Voornamelijk de exploitatie van zwakheden in de beveiliging.

2 e. Er werden technische adhoc-maatregelen genomen om deze zwakheden te corrigeren.

2 f. In de verschillende gevallen werd een klacht ingediend bij de federale gerechtelijke politie.

2 g. Wij werden niet geïnformeerd over het gerechtelijk gevolg.

3. Cf. vraag 2g.

4. Hiervoor verwijzen we u door naar de Privacycommissie.

5. Om de inspanningen en beschikbare middelen optimaal te kunnen inzetten, is de federale politie samen met de politiezones een samenwerkingsverband aangegaan met verschillende federale overheidsdiensten (FOD’s) en in het bijzonder de Kanselarij van de eerste minister en het FEDICT. In 2015 willen we nieuwe samenwerkingsverbanden aangaan met andere FOD’s met betrekking tot de organisatorische en technische maatregelen en van start gaan met de vernieuwing en modernisering van de ICT-infrastructuur van de politiediensten.

6. De beveiliging van informatie is een prioritaire doelstelling die is opgenomen in het strategisch programma « Informatie en ICT » van het Nationaal Veiligheidsplan 2012-2015. Die doelstelling doorloopt alle domeinen van ICT. Het is niet mogelijk een onderscheid te maken tussen de beveiligingskosten en de kosten voor beheer, ontwikkeling en vernieuwing van applicaties, databanken en infrastructuren.

Er wordt extra aandacht geschonken aan beveiliging bij elke vernieuwing, ontwikkeling en aanpassing.

In 2014 werden bijkomende middelen voor strijd tegen cybercriminaliteit ter beschikking gesteld om de nieuwe vormen van aanvallen zo snel mogelijk te detecteren (APT- Advanced Persistent Threat).

7. Ja, men kan zijn ICT-systemen nooit genoeg beveiligen. We kunnen echter geen details geven van de geplande maatregelen; door de zwakheden openbaar te maken zouden we onze infrastructuur enkel kwetsbaarder maken voor aanvallen.