Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 6-1176

van Jean-Jacques De Gucht (Open Vld) d.d. 15 december 2016

aan de eerste minister

Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen

internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite

Chronologie

15/12/2016Verzending vraag (Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord

Ook gesteld aan : schriftelijke vraag 6-1177
Ook gesteld aan : schriftelijke vraag 6-1178
Ook gesteld aan : schriftelijke vraag 6-1179
Ook gesteld aan : schriftelijke vraag 6-1180
Ook gesteld aan : schriftelijke vraag 6-1181
Ook gesteld aan : schriftelijke vraag 6-1182
Ook gesteld aan : schriftelijke vraag 6-1183
Ook gesteld aan : schriftelijke vraag 6-1184
Ook gesteld aan : schriftelijke vraag 6-1185
Ook gesteld aan : schriftelijke vraag 6-1186
Ook gesteld aan : schriftelijke vraag 6-1187
Ook gesteld aan : schriftelijke vraag 6-1188
Ook gesteld aan : schriftelijke vraag 6-1189
Ook gesteld aan : schriftelijke vraag 6-1190
Ook gesteld aan : schriftelijke vraag 6-1191
Ook gesteld aan : schriftelijke vraag 6-1192
Ook gesteld aan : schriftelijke vraag 6-1193

Vraag nr. 6-1176 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

Antwoord ontvangen op 18 januari 2017 :

1) & 4) Er zijn dagelijks pogingen tot aanvallen van het DDOS-type op onze websites. De aanvallen zijn meestal volumetrisch van aard en overbelasten de capaciteit van het materiaal. Het dichtslibben van het netwerk dat zo veroorzaakt wordt, verhindert in een klein aantal gevallen de toegang tot de website. Geen enkele diefstal, beschadiging van gegevens of illegale toegang tot onze infrastructuur werd tot op heden vastgesteld.

De lijst van de gevraagde websites is gevoegd in bijlage.

2) Het bijkomend risico (afluisteren van de communicatie) van het gebruik van een hotspot wordt beheerst door het geheel van de genomen veiligheidsmaatregelen om de globale informatieveiligheid te garanderen.

3) Het gebruik van HTTPS, zijnde de encryptie van de communicatie tussen de webserver en de surfer, wordt aanbevolen omdat dit toelaat de verspreiding van de informatie te vermijden tijdens de verbinding. Deze methode beveiligt niettemin niet de server of de surfer-klant die zelf kwetsbaar blijven.

5) & 6) De kanselarij biedt zijn diensten aan aan zijn partners of klanten met hoge kwaliteits-, veiligheids- en ondersteuningscriteria die aan een passende monitoring onderworpen zijn. In de mate van het mogelijke worden steeds de meest recente versies van protocollen toegepast.

Wat de dienstverlening van Fedict betreft, verwijs ik naar het antwoord van de minister bevoegd voor de Digitale Agenda, aan wie de vraag eveneens werd gesteld.

7) De beschermingsinspanning is continu om de beveiliging van onze data en applicaties te verhogen. Meerdere beschermingslijnen werden voorzien rond onze infrastructuur om een globale beveiliging te waarborgen, waaronder deze van websites.

Binnen ICT Shared Services van de horizontale federale overheidsdiensten werden ondermeer volgende beschermingsmaatregelen genomen :

updates van de werkposten, met name van de beveiligingsinstrumenten, zijn geautomatiseerd en de installatie van een recente antivirus-software is verplicht ;

– de verschillende servers zijn eveneens up to date en beveiligd ;

– de gebruikte netwerkuitrustingen zijn eveneens voorzien van beschermingsmiddelen ;

– de paswoorden voor de toegang tot applicaties en gegevens zijn versterkt en gebruiken bij voorkeur een sterke authenticatie (twee factoren) als authenticatiemiddel ;

– de gegevensopslag gebruikt eveneens bijzondere beschermingsinstrumenten ;

– de applicaties en de gegevens gebruiken een fysieke infrastructuur die geïnstalleerd is in de datacenters van de kanselarij en uitgebaat door daartoe aangewezen en gemachtigde interne en externe ploeg ;

backups worden op tape uitgevoerd en worden gecrypteerd ;

– veiligheidsaudits en indringingstesten worden regelmatig uitgevoerd : zij geven aanleiding tot herstel- en verbeterplannen.

In 2017 zou de federale overheidsdienst (FOD) Kanselarij bovendien volgende bijkomende maatregelen nemen :

– betere bescherming van de onderlinge netwerkverbindingen : specifieke beveiligings-hardware, centralisatie en correlatie van de alarmmeldingen, interventieploeg in geval van alarm ;

– betere beveiliging van de applicaties via veralgemening van sterke authenticatie en virtualisatie van de werkposten ;

– invoering van maatregelen voor de fysieke bescherming van informaticamateriaal ;

– meer mogelijkheden om de rechten en de toegang tot documenten te traceren en aldus de veiligheidsaudits te verbeteren.

www

HTTPS

HTTP

*.shareappst.be

Y

N

*.sharedapps.be

Y

N

*.sharedappsa.be

Y

N

*.shsappsb.be

Y

N

*.shsappsba.be

Y

N

*.shsappsbt.be

Y

N

*.shsappsf.be

Y

N

*.shsappsfa.be

Y

N

*.shsappsft.be

Y

N

*.shsappsk.be

Y

N

*.shsappska.be

Y

N

*.shsappskt.be

Y

N

16.yourict.be

Y

N

2010.yourict.be

Y

N

20142018.yourict.be

Y

N

20142018test.yourict.be

Y

N

2031.oceanic.belgium.be

N

Y

2045.oceanic.belgium.be

N

Y

2071.oceanic.belgium.be

N

Y

2116.oceanic.belgium.be

N

Y

acfo.yourict.be

Y

N

administrator.fedpol-staging.yourict.be

Y

N

administrator.lokalepolitie.be

N

Y

administrator.lokalepolizei.be

N

Y

administrator.p.pol-fr.be

N

Y

administrator.s.pol-de.be

N

Y

administrator.s.pol-fr.be

N

Y

administrator.s.pol-nl.be

N

Y

alleato.yourict.be

Y

N

alleatotest.yourict.be

Y

N

alovernagedacht.be

N

Y

apps.bpolb.eu

Y

N

appstest.bpolb.eu

Y

N

archive.dirupo.belgium.be

N

Y

auditcomite.belgium.be

N

Y

autodiscover.police.belgium.eu

Y

N

bacquelaine.belgium.be

N

Y

be16.yourict.be

Y

N

be16acc.yourict.be

Y

N

be16acctemp.yourict.be

Y

N

be16temp.yourict.be

Y

N

be16test.yourict.be

Y

N

be16testtemp.yourict.be

Y

N

becarto14-18.be

N

Y

begroting.be

N

Y

belgianfederalpolice.eu

N

Y

belgie1418.be

N

Y

belgielex.be

N

Y

belgischefederalepolitie.eu

N

Y

belgischefoderalepolizei.eu

N

Y

belgiumbeyondexpectations.be

N

Y

belgiuminshangai.be

N

Y

belgopocket.be

N

Y

bellot.belgium.be

N

Y

bibforum.fgov.be

N

Y

binnenlucht.be

N

Y

bmc.fedcom.be

Y

N

bo.fedcom.be

Y

N

borsus.belgium.be

N

Y

budgetfederal.be

N

Y

cas.yourict.be

Y

N

ccb.belgium.be

N

Y

cg.yourict.be

Y

N

cgacc.yourict.be

Y

N

cgoo.yourict.be

Y

N

cgooacc.yourict.be

Y

N

cgootest.yourict.be

Y

N

cgtest.yourict.be

Y

N

cidh-ichr.be

N

Y

clinicamp.be

N

Y

clm.fedcom.be

Y

N

club35.be

N

Y

collab-famhp.yourict.be

Y

N

collab-famhpacc.yourict.be

Y

N

collab-famhptest.yourict.be

Y

N

collaborate.bpolb.eu

Y

N

collaboratetest.bpolb.eu

Y

N

collaboration.abh-ace.be

Y

N

commnet-kmnet.belgium.be

N

Y

config.shanghai2010.be

Y

N

connect.fedcom.be

N

Y

cpc.yourict.be

Y

N

crisis.ibz.be

N

Y

csd-oudenaarde.yourict.be

Y

N

csd-oudenaardeacc.yourict.be

Y

N

csd-oudenaardetest.yourict.be

Y

N

ctg.yourict.be

Y

N

ctgacc.yourict.be

Y

N

ctgtest.yourict.be

Y

N

dam16.yourict.be

Y

N

databases.belgium.be

N

Y

dav-asa.yourict.be

Y

N

dav-asatest.yourict.be

Y

N

deblock.belgium.be

N

Y

decroo.belgium.be

N

Y

digitalematuriteit.belgium.be

N

Y

docs.yourict.be

Y

N

duurzaamevenement.belgium.be

N

Y

ebmc.fedcom.be

Y

N

edocs.yourict.be

Y

N

edocs2test.yourict.be

Y

N

edocsacc.yourict.be

Y

N

edocsacctemp.yourict.be

Y

N

edocstemp.yourict.be

Y

N

edocstest.yourict.be

Y

N

edocstesttemp.yourict.be

Y

N

edrl.yourict.be

Y

N

edrltest.yourict.be

N

Y

edu.igo-ifj.be

N

Y

eengeneesmiddelisgeensnoepje.be

N

Y

e-essentialtest.yourict.be

Y

N

efpf.yourict.be

Y

N

efpftest.yourict.be

Y

N

epremier.fed.be

Y

N

eustats.yourict.be

Y

N

excom.yourict.be

Y

N

excomtest.yourict.be

Y

N

extranet.begroting.be

Y

N

extranet.p-o.be

Y

N

extranetacc.begroting.be

Y

N

extranetacc.p-o.be

Y

N

extranetacctemp.begroting.be

Y

N

extranettemp.begroting.be

Y

N

extranettest.begroting.be

Y

N

extranettest.p-o.be

Y

N

extranettesttemp.begroting.be

Y

N

fedcom.be

Y

N

fedcomdocs.fed.be

Y

N

fedcomdocs.yourict.be

Y

N

fedcomdocsacc.yourict.be

Y

N

fedcomdocstest.yourict.be

Y

N

federale-regering.be

N

Y

fedict.yourict.be

Y

N

francken.belgium.be

N

Y

govcamp.org

N

Y

iam.yourict.be

N

Y

icm12.yourict.be

Y

N

icm12_prod

Y

N

icm12t.yourict.be

Y

N

iedereenonline.be

N

Y

iforum.yourict.be

Y

N

igo-ifj.be

N

Y

influenza.be

N

Y

info.bpolb.eu

Y

N

infoacc.bpolb.eu

Y

N

infoacctemp.bpolb.eu

Y

N

infotemp.bpolb.eu

Y

N

infotest.bpolb.eu

Y

N

infotesttemp.bpolb.eu

Y

N

institutionele.fed.be

N

Y

interviewing-symposium.be

N

Y

intranet.begroting.be

Y

N

isis.police.belgium.eu

Y

N

ISIS.yourict.be

Y

N

ISISacc.yourict.be

Y

N

ISIStest.yourict.be

Y

N

itrp-abh-ace.yourict.be

Y

N

itrp-apetra.yourict.be

Y

N

itrpassets0.yourict.be

Y

N

itrpassets1.yourict.be

Y

N

itrp-budget.yourict.be

Y

N

itrp-fagg.yourict.be

Y

N

itrp-fedict.yourict.be

Y

N

itrp-fedpol.yourict.be

Y

N

itrp-fpb.yourict.be

Y

N

itrp-igo.yourict.be

Y

N

itrp-kabinetten.yourict.be

Y

N

itrp-kabonkelinx.yourict.be

Y

N

itrp-kabvandelanottecrombez.yourict.be

Y

N

itrp-kabverbo.yourict.be

Y

N

itrp-kabwathelet.yourict.be

Y

N

itrp-kanselarij.yourict.be

Y

N

itrp-kenniscentrum.yourict.be

Y

N

itrp-kp-rp.yourict.be

Y

N

itrplogin.yourict.be

Y

N

itrp-mi.yourict.be

Y

N

itrp-ngi-ign.yourict.be

Y

N

itrp-pno.yourict.be

Y

N

itrp-pzg.yourict.be

Y

N

itrp-shared-services.yourict.be

Y

N

itrp-sme.yourict.be

Y

N

jambon.belgium.be

N

Y

kanselarij.belgium.be

N

Y

logon.epremier.fed.be

Y

N

lokalepolitie.be

N

Y

lokalepolizei.be

N

Y

magnette.yourict.be

Y

N

magnettetest.yourict.be

Y

N

mail.bpolb.eu

Y

N

mail.fed.be

Y

N

mail.yourict.be

Y

N

medicaments-par-internet.be

N

Y

memopoint.yourict.be

Y

N

memopointacc.yourict.be

Y

N

memopointtest.yourict.be

Y

N

mobile.yourict.be

Y

N

multimedia.yourict.be

Y

N

my.begroting.be

Y

N

my.bpolb.eu

Y

N

my.yourict.be

Y

N

mya.begroting.be

Y

N

mya.bpolb.eu

Y

N

mya.yourict.be

Y

N

myp.yourict.be

Y

N

myt.begroting.be

Y

N

myt.bpolb.eu

Y

N

myt.yourict.be

Y

N

new.police.be

N

Y

officeapps.yourict.be

Y

N

omz-circ.yourict.be

Y

N

operations.yourict.be

Y

N

owavip.fed.be

Y

N

p.pol-de.be

N

Y

p.pol-fr.be

N

Y

p.pol-nl.be

N

Y

pacteculturel.be

N

Y

parlement.yourict.be

Y

N

parlementtest.yourict.be

Y

N

pasdincendiechezmoi.be

N

Y

passwordregistration.bpolb.eu

Y

N

passwordreset.bpolb.eu

Y

N

patientenrechten.be

N

Y

persopoint.be

N

Y

photos-monarchie.be

N

Y

poc-dri.yourict.be

Y

N

poc-fedar1.yourict.be

Y

N

poc-locpz1.yourict.be

Y

N

poc-police.yourict.be

Y

N

pod-mi.yourict.be

Y

N

pod-miacc.yourict.be

Y

N

pod-mitest.yourict.be

Y

N

p-o-events.belgium.be

N

Y

polfed-fedpol.be

N

Y

police.be

N

Y

police-organisationapprenante.be

N

Y

politie.be

N

Y

politie-lerendeorganisatie.be

N

Y

polizei.be

N

Y

pre.epremier.fed.be

Y

N

pre.login.epremier.fed.be

Y

N

premier.be

N

Y

preview.shanghai2010.be

N

Y

psi.yourict.be

Y

N

publish.bpolb.eu

Y

N

publishtest.bpolb.eu

Y

N

pz-schoten.yourict.be

Y

N

pz-schotenacc.yourict.be

Y

N

pz-schotentest.yourict.be

Y

N

quality.fedcom.be

Y

N

raadvandegelijkekansen.be

N

Y

rd.yourict.be

Y

N

rdacc.yourict.be

Y

N

rdtest.yourict.be

Y

N

repo.shanghai2010.be

Y

N

ria-air.fed.be

N

Y

risquenucleaire.be

N

Y

s.pol-de.be

N

Y

s.pol-fr.be

N

Y

s.pol-nl.be

N

Y

seveso.be

N

Y

shared-services.yourict.be

Y

N

share-if.yourict.be

Y

N

share-ifacc.yourict.be

Y

N

share-ifacctemp.yourict.be

Y

N

share-iftemp.yourict.be

Y

N

share-iftest.yourict.be

Y

N

share-iftesttemp.yourict.be

Y

N

shsplace.yourict.be

N

Y

site1test.yourict.be

Y

N

site2test.yourict.be

Y

N

sobane.be

N

Y

sp.begroting.be

N

Y

sp.persopoint.be

Y

N

sp.p-o.be

Y

N

spacc.persopoint.be

Y

N

spacc.p-o.be

Y

N

spp.yourict.be

Y

N

sptest.persopoint.be

Y

N

sptest.p-o.be

Y

N

ssp.owavip.fed.be

Y

N

support.bpolb.eu

Y

N

supporttest.bpolb.eu

Y

N

talent.yourict.be

Y

N

test-budget.yourict.be

Y

N

test-fedict.yourict.be

Y

N

testiforum.yourict.be

Y

N

test-kanselarij.yourict.be

Y

N

test-shared-services.yourict.be

Y

N

training.fedcom.be

Y

N

trinicom.mi-is.be

N

Y

vandeput.belgium.be

N

Y

vanovertveldt.belgium.be

N

Y

vclp-cppl.yourict.be

Y

N

vclp-cpplacc.yourict.be

Y

N

vclp-cppltest.yourict.be

Y

N

veiligheidvanartsen.be

N

Y

verbo.yourict.be

Y

N

verbotest.yourict.be

Y

N

vereenvoudiging.be

N

Y

wac13.yourict.be

Y

N

wac13a.yourict.be

Y

N

wac13t.yourict.be

Y

N

webguide.belgium.be

N

Y

webmail.ngi.be

Y

N

wetloi.yourict.be

Y

N

wilmes.belgium.be

N

Y

work.bpolb.eu

Y

N

worktest.bpolb.eu

Y

N

yourict.be

Y

N