Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-10019

van Nele Lijnen (Open Vld) d.d. 4 oktober 2013

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen

Cybercrime - Mobiele toestellen - Beveiliging - Overzicht

computercriminaliteit
mobiele telefoon
gegevensbescherming
computervirus
mobiele communicatie

Chronologie

4/10/2013Verzending vraag
18/12/2013Rappel
30/1/2014Rappel
5/3/2014Herkwalificatie
21/3/2014Antwoord

Ook gesteld aan : schriftelijke vraag 5-10013
Ook gesteld aan : schriftelijke vraag 5-10014
Ook gesteld aan : schriftelijke vraag 5-10015
Ook gesteld aan : schriftelijke vraag 5-10016
Ook gesteld aan : schriftelijke vraag 5-10017
Ook gesteld aan : schriftelijke vraag 5-10018
Ook gesteld aan : schriftelijke vraag 5-10020
Ook gesteld aan : schriftelijke vraag 5-10021
Ook gesteld aan : schriftelijke vraag 5-10022
Ook gesteld aan : schriftelijke vraag 5-10023
Ook gesteld aan : schriftelijke vraag 5-10024
Ook gesteld aan : schriftelijke vraag 5-10025
Ook gesteld aan : schriftelijke vraag 5-10026
Ook gesteld aan : schriftelijke vraag 5-10027
Ook gesteld aan : schriftelijke vraag 5-10028
Ook gesteld aan : schriftelijke vraag 5-10029
Ook gesteld aan : schriftelijke vraag 5-10030
Ook gesteld aan : schriftelijke vraag 5-10031
Geherkwalificeerd als : vraag om uitleg 5-4865

Vraag nr. 5-10019 d.d. 4 oktober 2013 : (Vraag gesteld in het Nederlands)

De jongste jaren is cybercrime aan een ware opmars bezig over de hele wereld. Daar waar voorheen vooral computers het primaire slachtoffer van deze criminelen waren, merken verschillende experts op dat cybercriminelen hun activiteit ook naar de mobiele toestellen (gsm , tablet, ) verplaatsen. Uit het zogenaamde Norton Report 2013, een toonaangevend rapport inzake cyberbeveiliging, blijkt dat zo'n 48 % van de smartphone- en tabletgebruikers geen maatregelen neemt om hun mobiele toestellen te beveiligen. Dit valt toch aan te raden, omdat hackers mogelijk hierdoor toegang hebben tot allerlei persoonlijke en professionele data.

Graag had ik volgende vragen gesteld:

1) Zijn er de jongste drie jaar reeds vaststellingen gedaan met betrekking tot besmette smartphones of tablets door een virus/malware/spyware/enz.? Kunt u deze cijfers meedelen?

2) Hebt u een beeld van het aantal personeelsleden die via hun smartphone of tablet toegang hebben tot professionele data (bijvoorbeeld via cloud computing)? Kunt u deze cijfers meedelen?

3) Indien neen op de vorige vraag: acht u het nodig om het gebruik van smartphones en tablets door uw personeel beter in kaart te brengen, aangezien hun toestellen mogelijk een toegangspoort voor cybercriminelen kunnen zijn naar professionele gegevens? Kunt u toelichten waarom wel of niet?

4) Wordt er toegezien op de koppeling van tablets of smartphones met de informatica van op het werk? Waarom wel of niet?

5) Indien uw diensten informatie krijgen over het beveiligen van de informatica en de gevaren hieromtrent, is er dan ook aandacht voor de beveiliging van mobiele apparaten, zoals tablets of smartphones? Indien ja, op welke manier? Indien neen, acht u dit nodig?

6) Hebt u cijfers over het aantal personeelsleden die een smartphone of tablet gekregen hebben van hun werkgever, en kunt u deze cijfers meedelen?

7) Zijn uw informatici voldoende op de hoogte van deze trend? Indien neen, is dit volgens u noodzakelijk? Indien ja, op welke manier spelen zij hierop in?

Antwoord ontvangen op 21 maart 2014 :

1) Er is nooit een panne of slechte werking door een mogelijke cyberaanval via mobiele telefonie vastgesteld of gesignaleerd noch door de beheerders van systemen noch door de gebruikers.

2) In het kader van het huidige veiligheidsbeleid is er geen toegang mogelijk tot professionele data in niet-toegestane “cloud computing systems”.

De toegang tot de interne systemen wordt gerealiseerd voor 207 verschillende e-mailaccounts.

3) Sinds 2011 is de dienst Exchange ActiveSync geactiveerd en kan deze worden gebruikt door elke ambtenaar die beschikt over een mobiele terminal (smartphone of tablet) om zich in te loggen op zijn professioneel e-mailadres.

4) Er wordt een gelimiteerde toegang voorzien voor tablets en smartphones via Wi-Fi en SSLVPN. Via Wi-Fi gebeurt e-mail synchronisatie en via SSLVPN is er toegang tot de intranet site en de gedeelde shares. Alle vreemde en mobiele toestellen krijgen toegang tot het gelimiteerde toegangsniveau mits voldaan is aan een (beperkt) aantal beveiligingsregels en mits het besturingssysteem wordt ondersteund door de Federale Overheidsdienst (FOD). De toestellen worden door een firewall afgeschermd van de rest van het interne netwerk. Het is de bedoeling dat in de toekomst zowel de beveiliging als de aangeboden services sterk zal worden uitgebreid door gebruik van Netwerk Access Control (NAC) en Mobile Device Management (MDM).

5) De technische diensten van de FOD voeren permanent een technologisch toezicht uit en worden gesensibiliseerd voor de risico’s die gepaard gaan met de nieuwe technologieën.

Verschillende technische informatiebronnen die de openbare veiligheid bevorderen, worden permanent gevolgd, en in geval van alarmering, worden de aanbevelingen dringend toegepast.

6) Volgens de officiële communicatieprofielen van de logistieke dienst zijn 184 ambtenaren uitgerust met een smartphone of tablet. Sinds 2011 zijn er 384 verschillende mobiele terminals aangesloten, waarvan er in 2013 nog 297 actief zijn voor in totaal ongeveer 200 ambtenaren.

7) Mobiel telewerk is een maatschappelijke noodzaak geworden, in het bijzonder voor de functies waarvoor een permanente aansluiting vereist is (topmanagers, communicatie, inspectie, risicobeheersing en wachtdiensten, enz.).

De risico’s worden momenteel geëvalueerd en zullen er binnenkort technische controleoplossingen op afstand voor mobiele toestellen worden geëvalueerd.

De technici van de ondersteunende diensten zullen ook op het vlak van de nieuwe producten en technieken moeten worden opgeleid teneinde het kwaliteitsniveau van de dienst en een optimale veiligheid van de gegevens die in de mobiele terminals worden ingevoerd te garanderen.

FOD Sociale Zekerheid. 

1)  De laatste drie jaar, zijn er, voor zover we weten, geen vaststellingen gedaan. 

2)  Ja, 165 personeelsleden van de FOD hebben op hun smartphone of tablet toegang tot professionele data die zich op de mailserver bevinden: elektronische berichten, contacten en kalender.

Voorts geeft de FOD dezelfde dienstverlening aan de ombudsdienst Pensioenen en aan kabinetsmedewerkers van de Minister van Pensioenen en van de Staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een Handicap: 39 personen. 

3)  NVT 

4)  Ja, De FOD laat koppeling toe van tablets en smartphones met de interne mailserver. Toezicht op deze koppeling laat o.a. toe om bepaalde policies af te dwingen, zoals het verplichten van het gebruik van een wachtwoord op het mobiel toestel. Ook is het zo mogelijk om in het geval van een incident (verlies, diefstal, enz.) de koppeling te verbreken en gegevens op het mobiel toestel van op afstand te wissen. 

5)  Ja, er is aandacht voor de beveiliging van mobiele toestellen. Mobiele toestellen kunnen enkel verbinding maken met de mailserver, ze hebben geen toegang tot het interne netwerk van de FOD en dus ook niet tot applicaties en gegevens. 

6)  Ja, 150 personeelsleden. 

7) Ja, de informatici van de FOD zijn op goed op de hoogte van deze trend. Verschillende seminaries hieromtrent werden gevolgd. Zo worden de mogelijkheden van bestaande hard- en software maximaal benut qua beveiliging. Voorts werd een studie uitgevoerd i.v.m. mobile device management. 

Rijksinstituut voor Ziekte- en Invaliditeitsverzekering 

1.) Er is geen enkele vaststelling gedaan terzake. 

2.) Er is geen rechtstreekse toegang mogelijk tot cloud diensten vanuit het netwerk van het RIZIV. De webfilters blokkeren de toegang tot sites zoals DropBox, en het automatisch doorsturen van professionele e-mail naar privé accounts is eveneens geblokkeerd. Desalniettemin kan een gebruiker altijd via omwegen professionele bestanden in de publieke Cloud bewaren.

Daarvoor is een gedragspolicy eveneens noodzakelijk en geïmplementeerd in het RIZIV.

Een beperkt aantal smartphones heeft toegang tot de professionele e-mail.

Een 50-tal gebruikers heeft een BlackBerry waarop de integratie met het professionele e-mailsysteem gebeurt door een specifieke BlackBerry Enterprise Server. Dit platform wordt binnenkort afgebouwd.

Een 15-tal gebruikers heeft toegang tot de professionele e-mail op Android en iOS via het MobileIron platform dat door Smals wordt beheerd. 

3.) In het kader van de afbouw van het BlackBerry platform wordt een nieuwe “mobile policy” voorbereid, waarin o.a. de modaliteiten voor toegang tot de professionele systemen vanaf mobiele toestellen worden vastgelegd. 

4.) Er is geen rechtstreekse toegang mogelijk van tablets of smartphones met het netwerk van het RIZIV. Er is hoogstens (op aanvraag) een toegang tot Internet mogelijk via WiFi, die geen gebruik maakt van het netwerk van het RIZIV.

Een beperkte doelgroep kan toegang krijgen tot het professionele mailsysteem via het MobileIron platform van de Smals. Deze toegang is gekoppeld aan beveiligingsmaatregelen op niveau van de smartphone/tablet zoals:

5.) Ja, zie ook antwoord op punt 4 van de vraag.

De technologische evolutie wordt door onze ICT dienst van nabij opgevolgd. Er is een nauwe samenwerking met de Smals op dit vlak.  

6.) Er zijn een 50-tal BlackBerries in gebruik.

Er zijn een 10-tal iPad’s in gebruik.

Daarnaast zijn er nog een 5-tal iPad’s en Android smartphones van gebruikers zelf (Bring you own device - BYOD) die toegang hebben gekregen tot de professionele e-mail via MobileIron van de Smals (zie antwoord op punt 4 van de vraag). 

7.) De technologische evolutie en de trends inzake “mobile” worden door de ICT dienst van het Rijksinstituut van nabij opgevolgd. Er is een nauwe samenwerking met de Smals op dit vlak.

Er is een “mobile policy” in voorbereiding die de modaliteiten concreet moet beschrijven rekening houden met de noden en de behoeften, de beveiliging en het beschikbare budget. 

Rijksdienst voor Sociale Zekerheid  

1.) Tot op heden heeft de Rijksdienst geen besmettingen van enige aard op zijn smartphones/tablets vastgesteld. 

2) Op dit ogenblik zijn er 16 gebruikers binnen de RSZ die middels een Blackberry en/of Ipad enkel toegang hebben tot hun professionele mail van de RSZ. Deze toegang verloopt via beveiligde servers bij de Smals. De datatrafiek tussen de Smals en de RSZ verloopt via een leased line van Belgacom.

Er is één gebruiker die voor het nut van externe vergaderingen gebruik maakt van de cloudservice “Dropbox” op een Ipad. De bestanden in dit account worden er enkel opgeslagen voor de duurtijd dat hij ze nodig heeft zodat het risico op blootstelling minimaal is.

Van zodra de Smals zijn eigen sharepoint systeem in productie heeft, zal er worden overgestapt naar hun omgeving. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4) De koppeling van tablets of smartphones met het informaticanetwerk van de RSZ is zeer strikt gereguleerd. De RSZ hanteert tot op heden geen BYOD-policy zodat ze als instelling steeds de controle behouden over de aard van de smartphones/tablets die toegang verwerven. Dit laat Rijksdienst toe reeds op hardwarematig niveau toestellen die een verhoogd risicoprofiel bieden uit de risicoanalyse te houden.

Daarnaast is iedere gebruiker van deze technologie gebonden door een deontologische code die, wanneer nodig, wordt aangepast. 

5) De courante pers en gespecialiseerde sites worden regelmatig nagekeken.

De Smals waarschuwt de RSZ wanneer deze bepaalde risico’s dreigt te lopen. Hiertoe behoort tevens de veiligheid van de mobiele toestellen (bijvoorbeeld veiligheidsrisico dat gebonden was aan het consulteren van pdf documenten via een daartoe bestemde adobe app op Blackberrytoestellen, de veiligheidsrisico’s die een onmiddellijke upgrade naar IOS 7.0 inhielden op de ipads).

Genomen maatregelen:

6) 16 gebruikers beschikken over een smartphone van het type Blackberry, 8 onder hen hebben tevens de beschikking over een tablet van het type Ipad. 

7) Ja, hier wordt op ingespeeld:

Hulpkas voor ziekte- en invaliditeitsverzekering 

1.) Neen, er werden geen gevallen vastgesteld. 

2.) Er is 1 persoon die via smartphone of tablet toegang heeft tot professionele data. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4.) Neen. Het veiligheidsbeleid sluit dergelijke praktijken uit. De werkposten zijn reeds beveiligd met een antivirus. 

5.) De toestellen van de HZIV beschikken thans over een geïntegreerde beveiliging. Bij de vernieuwing van deze toestellen, zal de nodige aandacht besteed worden aan de beveiliging ervan. 

6.) 42 personeelsleden hebben een smartphone of tablet gekregen van de HZIV. 

7.) Neen, de Hulpkas vindt dat zijn informatici niet voldoende op de hoogte zijn van deze trend. De instelling denkt dan ook dat het daadwerkelijk noodzakelijk is om haar informatici nog meer bewust te maken van deze problematiek. 

Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten 

1.) Er werd nooit een panne of stoornis vastgesteld of gemeld door de systeemadministrateurs of gebruikers in verband met een mogelijke cybercrime via mobielen. 

2.) De RSZPPO gebruikt geen Cloud Computing. Bepaalde gebruikers hebben toegang tot hun emails via Blackberry. 

3.) Nee, de Blackberries hebben geen rechtstreekse toegang tot het netwerk van de RSZPPO. 

4.) De RSZPPO beschikt over een Blackberry-server die gekoppeld is aan het netwerk. De gebruiker kan zijn emails enkel via deze specifieke server voor Blackberry raadplegen. 

5.) De technische diensten van de Rijksdienst gebruiken een technologische bewakingsdienst en worden bewust gemaakt van de risico’s die aan de (2 keer ‘de’) nieuwe technoligieën gebonden zijn.Verschillende technische informatiebronnen met een beveiligingskarakter worden permanent opgevolgd, en bij alarmtoestand worden de dringende aanbevelingen toegepast. 

6.) De RSZPPO beschikt over 26 Blackberry smartphones. 

7.) Werken met een mobiel is voor vele personeelsleden een realiteit geworden, in het bijzonder voor de functies die een permanente aansluiting vereisen (top managers, crisisbeheer en bewaking, enz.).

De technici van de supportdiensten zullen ook opgeleid worden in de nieuwe producten en technieken teneinde optimaal een kwaliteitsniveau en een beveiliging van de gegevensfluxen te garanderen. 

Hulp- en Voorzorgskas voor Zeevarenden 

1.) De HVKZ heeft geen smartphones of tablets in gebruik. 

2.) De personeelsleden hebben met hun eigen smartphone geen toegang tot professionele data.  

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

4.) Er wordt niet specifiek toegezien op de koppeling van tablets of smartphones met de informatica aangezien deze niet in gebruik zijn binnen de HVKZ. Indien de erkende veiligheidsdienst van de HVKZ adviezen zou formuleren tot betere beveiliging inzake gebruik van smartphones of tablets zal de HVKZ deze adviezen opvolgen.  

5.) De HVKZ is aangesloten bij de erkende veiligheidsdienst van Smals. De aanbevelingen van de erkende veiligheidsdienst worden uitgevoerd.  

6.) Geen enkel personeelslid van de HVKZ heeft een smartphone of tablet gekregen van het werk.  

7.) De HVKZ heeft 1 interne en 1 externe ICT-medewerker. Zij zijn op de hoogte van de nieuwe de nieuwe trends. Zij worden steeds betrokken bij de ICT-veiligheid. 

Dienst voor de Overzeese Sociale Zekerheid 

1.) De DOSZ beschikt niet over smartphones of tablets. 

2.) De personeelsleden van de DOSZ hebben geen toegang tot professionele data via hun smartphone of tablet. 

3.) Het kan nuttig zijn het gebruik van smartphones en tablets in kaart te brengen. 

4.) Via een regelmatige scan van het interne LAN netwerk wordt er nagegaan of er smartphones of tablets aangesloten zijn. 

5.) Ja, de controle gebeurt via de informatieveiligheidsconsulent van de DOSZ die er op toeziet dat er aan de minimale normen voor informatieveiligheid (opgelegd door de KSZ) wordt beantwoord. 

6.) Geen enkel personeelslid heeft een smartphone of tablet gekregen van het werk. 

7.) Ja, informatici van de DOSZ zijn voldoende op de hoogte van deze trend, de problematiek rond BYOD (Bring Your Own Device) is goed gekend.

Regelmatig wordt er een scan van het interne LAN netwerk uitgevoerd om deze devices eventueel te detecteren en ze nadien te ontkoppelen. 

Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen 

1.) Geen enkel personeelslid van de Controledienst voor de ziekenfondsen en de landsbonden van ziekenfondsen gebruikt een smartphone of een tablet om professionele doeleinden. 

2 en 4.) De toegang tot het informaticanetwerk van de Controledienst wordt beveiligd door een authentificatiesysteem die elk toegang tot dit netwerk met een tablet of een smartphone onmogelijk maakt. 

3) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

5.) De Controledienst heeft tot op heden geen specifieke informatie omtrent de beveiliging van mobiele apparaten zoals tablets of smartphones. Een dergelijke informatie is momenteel niet nodig aangezien geen enkel personeelslid van de Controledienst voor de ziekenfondsen en de landsbonden van ziekenfondsen een smartphone of een tablet om professionele doeleinden gebruikt. Indien echter in de toekomst tablets of smartphones zouden ter beschikking worden gesteld van alle of een deel van de personeelsleden, spreekt het vanzelf dat de nodige aandacht zal besteed worden aan de beveiliging van deze tablets en smartphones. 

6.) Geen enkel personeelslid van de CDZ heeft een smartphone of tablet gekregen van het werk.  

7.) Ja. Om rekening te houden met het verhoogd gevaar van besmetting via onder andere een tablet of een smartphone werden een permanent inventaris van de softwares aanwezig op alle computers, alsook een permanente controle van de updates van de antivirussen en van de aanvallendetectoren geïmplementeerd. 

Kruispuntbank van de Sociale Zekerheid + eHealth-platform 

1.) De Kruispuntbank van de Sociale Zekerheid en het eHealth-platform stelt vooralsnog geen smartphones of tablets ter beschikking van hun medewerkers voor het uitvoeren van hun professionele taken. 

2.) De medewerkers van de KSZ kunnen zich geen toegang verschaffen  tot het interne professionele netwerk van de KSZ via hun eigen private smartphone of tablet. Dit wordt via technische middelen afgedwongen (systeem van toegangsbeheer). 

3 en 4.) Niet van toepassing gezien het antwoord op punt 2 van de vraag. 

5 en 7.) In het kader van het ISMS (Information Security Management System) binnen de sociale zekerheid heeft de werkgroep Informatieveiligheid, opgericht in de schoot van het Algemeen Coördinatiecomité van de KSZ, reeds een policy opgesteld (de policy ISMS.046 ) die richtlijnen omvat voor het gebruik van mobiele toestellen binnen de instellingen van sociale zekerheid en dit voor beroepsdoeleinden. Deze policy geldt zowel voor de mobiele toestellen die door de instelling ter beschikking worden gesteld als voor private mobiele toestellen. 

6.) Geen enkel personeelslid heeft een smartphone of tablet gekregen van het werk.