SÉNAT Question écrite n° 6-29 - SENAAT Schriftelijke vraag nr. 6-29

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2014-2015

Zitting 2014-2015

________

23 octobre 2014

23 oktober 2014

________

Question écrite n° 6-29

Schriftelijke vraag nr. 6-29

de Lode Vereeck (Open Vld)

van Lode Vereeck (Open Vld)

au ministre des Classes moyennes, des Indépendants, des PME, de l'Agriculture, et de l'Intégration sociale

aan de minister van Middenstand, Zelfstandigen, KMO's, Landbouw en Maatschappelijke Integratie

________

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

________

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

________

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
27/11/2014	Antwoord

23/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
27/11/2014	Antwoord

________

Aussi posée à : question écrite 6-19
Aussi posée à : question écrite 6-20
Aussi posée à : question écrite 6-21
Aussi posée à : question écrite 6-22
Aussi posée à : question écrite 6-23
Aussi posée à : question écrite 6-24
Aussi posée à : question écrite 6-25
Aussi posée à : question écrite 6-26
Aussi posée à : question écrite 6-27
Aussi posée à : question écrite 6-28
Aussi posée à : question écrite 6-30
Aussi posée à : question écrite 6-31
Aussi posée à : question écrite 6-32
Aussi posée à : question écrite 6-33
Aussi posée à : question écrite 6-34
Aussi posée à : question écrite 6-35
Aussi posée à : question écrite 6-36

________

Question n° 6-29 du 23 octobre 2014 : (Question posée en néerlandais)

Vraag nr. 6-29 d.d. 23 oktober 2014 : (Vraag gesteld in het Nederlands)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Réponse reçue le 27 novembre 2014 :

Antwoord ontvangen op 27 november 2014 :

Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA)

1) Durant toute cette période, une seule attaque des données digitales de l’AFSCA a été enregistrée.

Elle est passée à travers notre « pare-feu » et a été identifiée comme venant de Chine. Les pirates n'ont pas pu s'emparer de données.

2) Pour l'AFSCA, la réponse est : non.

a) Sans objet.

b) Sans objet.

c) Sans objet.

d) Sans objet.

e) Sans objet.

f) Sans objet.

g) Sans objet.

3) Sans objet.

4) Sans objet. Seule la Commission de la vie privée pourrait répondre à cette question.

5) Un pare-feu d'entreprise a été installé à l’AFSCA, grâce auquel toute l'infrastructure ICT locale est sécurisée contre les attaques via le réseau.

Sur chaque ordinateur portable pouvant opérer indépendamment du réseau central, un pare-feu a également été installé. Celui-ci ne peut pas être modifié par l'utilisateur final. De cette manière, les ordinateurs portables sont également protégés contre les attaques via le réseau.

Un programme antivirus et antispam a été installé sur chaque appareil. Ils ne peuvent pas être modifiés par l'utilisateur final. De ce fait, les techniques courantes utilisées par les hackers (comme les chevaux de Troie, etc.) sont bloqués.

Sur les appareils mobiles, des mots de passe sont utilisés. Même si ces appareils n'appartiennent pas à l’AFSCA, l’accès doit être limité via un mot de passe. En cas de perte accidentelle d'appareils, l'accès à l'information est ainsi bloqué.

Un monitoring Internet installé sur les proxi servers scanne les consultations de sites web indésirables et bloquent l'accès à ces sites. De tels sites sont souvent utilisés par les hackers pour obtenir l'accès aux informations se trouvant sur l'ordinateur de la personne qui consulte Internet.

Actuellement, un outil RBAC central (Role Based Access Control) est implémenté et permet de réduire l'accès à l'information (y compris pour notre propre personnel) à une base « need to know ». L'accès à l'information peut de cette manière être accordé uniquement via un supérieur hiérarchique, qui est au courant des besoins d'information de son personnel. Cela n'empêche pas que des fuites puissent survenir, mais cela empêche l'accès à des informations non nécessaires et réduit donc bien les risques de fuites.

Un audit externe mettant l'accent sur la sécurisation de l'information a été demandé.

Le but est d'obtenir un avis indépendant sur les points d''amélioration possibles dans notre approche de la sécurisation de l'information avant de les reprendre dans le scope des projets pour 2015.

Enfin, il y a aussi une sécurisation physique des bâtiments et de l'infrastructure, avec une surveillance vingt-quatre heures sur vingt-quatre et sept jours sur sept.

6) Les coûts par mesure pertinente de 2009 à aujourd'hui sont les suivants :

– pare-feu, proxys, antivirus, antispam : 350 000 euros ;

– Role Based Access Control : 200 000 euros ;

– audits indépendants de la sécurité : 150 000 euros.

7) Oui. L'évolution de la technologie offre toujours de nouvelles possibilités de piratage d’ordinateurs et les fuites qui peuvent en découler. L'évaluation et une implémentation adéquate des mesures de contrôle est par conséquent un processus continu.

Les initiatives suivantes sont prévues dans le courant de l'année 2015 :

– le cryptage des données sur des médias externes permettra d'empêcher le vol d'informations à partir d'appareils perdus ;

– le cryptage de données sur les disques durs des appareils portables permettra d'empêcher le vol d'informations à partir d'appareils perdus, même après que ces appareils auraient été démantelés par un spécialiste ;

– la poursuite du développement d'une politique de sécurisation de l'information contribue à augmenter une conscientisation générale et un sentiment de responsabilité.

D’autres initiatives sont possibles en fonction du résultat de l'audit interne.

Centre d'étude et de recherches vétérinaires et agrochimiques (CERVA)

1) Aucun. Le CERVA travaille uniquement sur LAN. Le site web a déjà été piraté mais il n’héberge aucune donnée sensible.

2) à 5) Pas d’application pour le CERVA.

6) Le CERVA a une protection via « Check Point Manager » en ce qui concerne le LAN, Barracuda comme anti-spam, Trends Micro comme antivirus qui effectue chaque jour un scan de chaque PC. Jusqu’à présent, le système de monitoring est Zabbix.

7) Oui.

Institut national d’assurances sociales pour travailleurs indépendants (INASTI)

1) Nous n’avons pas connaissance de cas d’attaques visant des données ou bases de données numériques de l’INASTI.

2) Ce type de problème ne s’est pas encore présenté à l’INASTI.

3) Sans objet. Voir la réponse à la question 2.

4) Sans objet.

5) Les mesures pour prévenir toute fuite de données cadrent dans l’ensemble de la politique de sécurité appliquée par l’INASTI en conformité avec les règles de sécurité de la BCSS. Elle comprend de nombreuses mesures telles que la protection des informations sensibles, le logging de l’utilisation des données, la protection physique des serveurs, la sensibilisation des utilisateurs, etc.

6) Voici les dépenses liées à la mise en œuvre des adaptations visant à améliorer la sécurité des applications métier spécifiques :

– 2009 : 153 876 euros ;

– 2010 : 28 527 euros ;

– 2011 : nihil ;

– 2012 : 243 562 euros ;

– 2013 : 839 651 euros ;

– 2014 : 388 094 euros.

Voici les dépenses destinées à l’infrastructure de sécurité :

– 2009 : 240 151 euros ;

– 2010 : 6 553 euros ;

– 2011 : 191 624 euros ;

– 2012 : 55 646 euros ;

– 2013 : 27 092 euros ;

– 2014 : 46 392 euros.

L’INASTI est connecté au réseau Internet via le réseau Extranet de la sécurité sociale et n’a donc pas besoin de logiciel spécifique pour le monitorage de sécurité. Il est fait appel, dans ce cadre, aux dispositifs développés de l’Extranet de la sécurité sociale.

7) Nos systèmes de sécurité sont régulièrement remis à niveau. Par ailleurs, on examine la possibilité de libérer des moyens, dans le cadre du budget 2015, pour réaliser une analyse de vulnérabilité et un audit de sécurité.

Service public fédéral (SPF) Économie – DG PME

Je renvoie l’honorable membre à la réponse donnée à cette même question par Monsieur le vice-premier ministre, en charge de l'Économie, de l’Emploi et des Consommateurs (n°6-20).

SPF Sécurité sociale – DG Indépendants

Je renvoie l’honorable membre à la réponse donnée à cette même question par Madame la ministre des Affaires sociales et de la Santé publique (n°6-26).

Service public fédéral de programmation Intégration sociale (SPP IS)

1) En ce qui concerne des attaques informatiques contre ses bases de données et en particulier celles qui contiennent des données à caractère personnel, le SPP Intégration sociale n’a pas été confronté, entre 2009 à aujourd’hui, à des agressions réussies.

2) En ce qui concerne le détournement de données, le SPP Intégration sociale n’a pas été confronté entre 2009 à aujourd’hui à ce type de problème.

3)Comme le SPP Intégration sociale n’a pas été victime de détournement avéré de ses données, aucune plainte n’a été introduite.

4) La question est sans objet pour le SPP Intégration sociale.

5) Le SPP Intégration sociale a sous-traité l’ensemble de son réseau informatique vers deux partenaires IT de référence :

– les Shared Services de la Chancellerie pour l’ensemble de sa bureautique – les services IT et réseaux concernés vont du mail aux espaces de partage de fichiers, en incluant notamment les services de protection comme antivirus, anti-spam et système anti-intrusion ; et

– SMALS pour ses applications et services en lien avec la sécurité sociale, son domaine d’activité privilégié : ces dernières applications sont exposées sur le portail de la sécurité sociale et bénéficient de ce fait des mesures de protection de l’ensemble du portail, avec une identification forte et log de toutes les transactions.

Le SPP IS s’appuie donc pour sa sécurité IT sur ses deux partenaires, Shared Services et SMALS. Ceux-ci gèrent les deux réseaux dont il a l’utilisation et assurent et renforcent de manière constante la sécurité informatique de ses systèmes et bases de données par des mesures d’amélioration continue.

Par ailleurs, le SPP IS n’utilise pas de Cloud de manière régulière, mis à part la plateforme documentaire fédérale beConnected, qui est protégée par le service public fédéral Technologie de l'information et de la communication (FEDICT) et son opérateur SMALS.

Les télétravailleurs ne peuvent se connecter au réseau interne du SPP Intégration sociale que via les systèmes VPN fournis par les gestionnaires de ses plateformes : VPN FEDICT (pour les Shared Services) et VPN SMALS pour l’accès à l’Extranet de la Sécurité sociale, utilisant une identification forte (carte d’identité électronique).

Enfin, le site Internet est lui hébergé par un sous-traitant et bénéficie des protections mises en place par celui-ci ainsi que par le sous-traitant qui gère techniquement le site.

Au point de vue plus général du contrôle humain, le SPP IS applique et fait respecter les règles de sécurité édictées par la BCSS pour la protection et l’usage des données à caractère personnel.

6) Les coûts d’investissement et de maintenance pour les outils qui permettent de garantir la sécurité des données du SPP IS sont inclus dans les coûts de maintenance et de gestion des réseaux que paie le SPP IS à ses partenaires Shared Services et SMALS. Il n’est donc pas possible de donner un chiffre précis pour les mesures liées à la sécurisation des système informatiques. Seul le logiciel utilisé comme anti-virus est directement à sa charge : son coût est inclus dans le coût de ses licences Microsoft.

Le SPP IS est particulièrement conscient de l’importance et reste constamment attentif au problème de la sécurité informatique, particulièrement des risques de détournement de données, vu la nature de ses missions qui utilisent des données personnelles de particuliers. Le SPP IS a pris la décision de migrer son site Internet hébergé.

Federaal Agentschap voor de veiligheid van de voedselketen (FAVV)

1) In heel deze periode werd slechts één aanval op de digitale gegevens van het FAVV geregistreerd.

Deze is niet doorheen onze firewall geraakt en werd geïdentificeerd als komende vanuit China. Gegevens werden niet bemachtigd.

2) Voor het FAVV is het antwoord : neen.

a) Niet van toepassing.

b) Niet van toepassing.

c) Niet van toepassing.

d) Niet van toepassing.

e) Niet van toepassing.

f) Niet van toepassing.

g) Niet van toepassing.

3) Niet van toepassing.

4) Niet van toepassing. Deze vraag zou alleen mogen kunnen beantwoord worden via de Privacycomissie.

5) Een corporate firewall is geïnstalleerd bij het FAVV, waardoor alle lokale ICT infrastructuur beveiligd is tegen aanvallen via het netwerk.

Op elke portable computer, die kan opereren los van het centrale netwerk, is ook een firewall geïnstalleerd. Deze kan niet worden gewijzigd door de eindgebruiker. Op deze manier zijn ook portable computers beschermd tegen aanvallen via het netwerk.

Op elk toestel is een antivirus- en antispam programma geïnstalleerd. Deze kunnen niet worden gewijzigd door de eindgebruiker. Hierdoor worden courante technieken, gebruikt door hackers (zoals trojan horses, enz.), verhinderd.

Op mobiele toestellen worden paswoorden gebruikt. Ook indien deze toestellen niet het eigendom zijn van het FAVV, de toegang moet via een paswoord beperkt worden. In geval van accidenteel verlies van toestellen wordt op deze manier de toegang tot informatie verhinderd.

Internet monitoring is geïnstalleerd op proxy servers die scannen op surfgedrag naar ongewenste websites, en die de toegang hiertoe blokkeren. Dergelijke sites worden dikwijls gebruikt door hackers om toegang te krijgen tot de informatie die zich bevindt op de computer van de surfer.

Op dit ogenblik wordt een centraal RBAC tool (Role Based Access Control) geïmplementeerd dat toelaat om de logische toegang tot informatie (ook voor eigen personeel) te reduceren tot een « need to know basis ». De toegang tot informatie kan op die manier slechts worden verleend via een hiërarchische verantwoordelijke, die vertrouwd is met de informatienoden van zijn/haar personeel. Dit verhindert niet dat lekken kunnen ontstaan maar verhindert de toegang tot onnodige informatie en reduceert dus wel degelijk de kans op lekken.

Een externe audit met focus op informatie beveiliging werd aangevraagd.

Het is de bedoeling om een onafhankelijk advies te krijgen over mogelijke verbeteringspunten in onze aanpak over informatiebeveiliging, alvorens deze op te nemen in de scope van de projecten voor 2015.

Tot slot is er ook een fysieke beveiliging van de gebouwen en infrastructuur, met een 24/7 bewaking.

6) Grootteorde van kosten per relevante maatregelen van 2009 tot heden zijn de volgende :

– firewalls ; proxy’s ; antivirus ; antispam : 350 000 euro ;

– Role Based Access Control : 200 000 euro ;

– onafhankelijke Security Audits : 150 000 euro.

7) Ja. De evolutie van de technologie biedt steeds nieuwe mogelijkheden tot inbraak en daaruit volgende datalekken. De evaluatie en adequate implementatie van controlemaatregelen is bijgevolg een continu proces.

Volgende initiatieven zijn voorzien in de loop van 2015 :

– data encryptie op externe media, zal toelaten dat geen informatie kan worden ontvreemd uit verloren toestellen ;

– data encryptie op hard disks van portable toestellen, zal toelaten dat geen informatie kan worden ontvreemd uit verloren toestellen, zelfs niet nadat deze door een specialist zouden zijn ontmanteld ;

– Verder uitbouwen van een corporate informatiebeveiligings policy, helpt het verhogen van een algemeen bewustzijn en verantwoordelijkheidsgevoel.

Andere initiatieve zijn mogelijk volgens de resultaten van de Interne Audit.

Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA)

1) Geen enkele opgemerkt. Het CODA werkt alleen op LAN. De website van het CODA werd al gehackt, maar die bevat geen gevoelige gegevens.

2) tot 5) Niet van toepassing voor het CODA.

6) Het CODA heeft een bescherming via « Check Point Manager » wat het LAN betreft, BARRACUDA als anti-spam, Trends Micro als antivirus die dagelijks een scan van elke pc maakt. Tot nu toe gebruikt het CODA ZABBIX als monitoring systeem.

7) Ja.

Rijksinstituut voor de sociale verzekeringen der zelfstandige (RSVZ)

1) Er zijn ons geen gevallen bekend van aanvallen gericht op de digitale gegevens of database(s) van het RSVZ.

2) Het RSVZ is daar nog niet mee geconfronteerd geweest.

3) Niet van toepassing. Zie antwoord op vraag 2.

4) Niet van toepassing.

5) De maatregelen tegen datalekken kaderen in de algehele veiligheidspolitiek welke toegepast wordt door het RSVZ, in overeenstemming met de veiligheidsnormen van de KSZ. Dit omvat tal van maatregelen zoals het afschermen van gevoelige informatie, logging van het gebruik van gegevens, fysieke bescherming van de servers, sensibiliseren van de gebruikers, enz.

6) Uitgaven voor het uitvoeren van aanpassingen ter verbetering van de beveiliging van de bedrijfsspecifieke toepassingen :

– 2009 : 153 876 euro ;

– 2010 : 28 527 euro ;

– 2011 : nihil ;

– 2012 : 243 562 euro ;

– 2013 : 839 651 euro ;

– 2014 : 388 094 euro.

Uitgaven voor beveiligingsinfrastructuur :

– 2009 : 240 151 euro ;

– 2010 : 6 553 euro ;

– 2011 : 191 624 euro ;

– 2012 : 55 646 euro ;

– 2013 : 27 092 euro ;

– 2014 : 46 392 euro.

Het RSVZ is verbonden is met het internet via het extranet van de sociale zekerheid en heeft bijgevolg geen nood aan eigen software voor security monitoring. Er wordt hiervoor beroep gedaan op de uitgebreide voorzieningen van het extranet van de sociale zekerheid.

7) Onze veiligheidssystemen worden op regelmatige basis geüpgraded. Verder wordt er in het kader van de begroting 2015 nagegaan of er middelen beschikbaar kunnen gemaakt worden voor een vulnerability assesment, alsook voor een algemene veiligheidsaudit.

Federale overheidsdienst (FOD) Economie–DG KMO

Zie het antwoord van de vice-eerste minister en minister van Werk, Economie en Consumenten op de vraag nr. 6-20.

DG Zelfstandigen

Zie het antwoord van de minister van Sociale Zaken en Volksgezondheid op de vraag nr. 6-26.

Programmatische federale overheidsdienst Maatschappelijke Integratie (POD MI)

1) Sinds 2009 heeft de POD Maatschappelijke Integratie niet te maken gehad met geslaagde aanvallen op zijn databases en in het bijzonder de databases met persoonsgegevens.

2) Sinds 2009 heeft de POD Maatschappelijke Integratie niet te maken gehad met een datalek.

3) Aangezien de POD Maatschappelijke Integratie geen slachtoffer is geweest van een bewezen datalek, zijn er geen gerechtelijke stappen ondernomen.

4) De vraag is niet relevant voor de POD Maatschappelijke Integratie.

5) De POD Maatschappelijke Integratie heeft zijn ganse informaticanetwerk naar twee referentiepartners inzake IT geoutsourcet :

– de Shared Services van de Kanselarij voor zijn ganse bureautica – het betreft IT-diensten en -netwerken, gaande van mails tot ruimtes voor het delen van bestanden, en beschermingsdiensten, zoals antivirus, antispam en anti-inbraaksysteem ; en

– Smals voor zijn applicaties en diensten inzake sociale zekerheid, zijn bevoorrecht activiteitsdomein: deze laatste applicaties staan op de portaalsite van de sociale zekerheid en genieten daardoor beschermingsmaatregelen voor de ganse portaalsite, met een sterke identificatie en log van alle transacties.

De POD MI steunt dus voor zijn IT-beveiliging op zijn twee partners, Shared Services en Smals. Zij beheren de twee netwerken waarvan de POD MI gebruik maakt, en verzorgen en versterken voortdurend de IT-beveiliging van zijn systemen en databases door voortdurend verbeteringen aan te brengen.

De POD MI maakt overigens niet op regelmatige basis gebruik van Cloud, behalve van het federale documentatieplatform beConnected, dat door de federale overheidsdienst Informatie- en Communicatie Technologie (FEDICT) en zijn operator Smals wordt beveiligd.

Telewerkers kunnen zich enkel op het interne netwerk van de POD Maatschappelijke Integratie inloggen door middel van VPN-systemen die worden verschaft door de beheerders van zijn platformen : VPN FEDICT (voor de Shared Services) en VPN SMALS voor de toegang tot het extranet van de Sociale Zekerheid, waarbij gebruik wordt gemaakt van een sterke identificatie (elektronische identiteitskaart).

De website ten slotte wordt gehost door een onderaannemer, en geniet de beveiliging die laatstgenoemde heeft geïnstalleerd met de onderaannemer die de website technisch beheert.

Vanuit algemener oogpunt, wat het menselijk toezicht betreft, leeft de POD MI de KSZ-beveiligingsregels voor het beschermen en gebruiken van de persoonsgegevens na, en ziet hij toe op de naleving ervan.

6) De investerings- en onderhoudskosten voor de tools om de beveiliging van de gegevens van de POD MI te waarborgen zijn inbegrepen in de onderhouds- en beheerskosten voor de netwerken waarvoor de POD MI zijn partners Shared Services en Smals betaalt. Er kan dus geen exact cijfer voor de maatregelen inzake de beveiliging van de IT-systemen worden gegeven. De POD MI betaalt enkel de directe kosten voor het gebruik van antivirussoftware : de kosten ervan zijn inbegrepen in de kosten van zijn Microsoftlicenties.

De POD MI is zich bijzonder bewust van het belang hiervan en volgt het probleem van de IT-beveiliging op de voet, in het bijzonder de risico’s op een datalek, gelet op de aard van zijn opdrachten waarbij persoonsgegevens van particulieren worden gebruikt. De POD MI heeft beslist zijn gehoste website te migreren.