Do we all remember the
dataleak on the Belgian Defense website early this year?
Seems that 6 months after this incident, some politician, Bert Anciaux, started to think about it. And it took more than 1 month before he got
an answer from Pieter Decrem. It surprises me that an incident that was handled 6 months ago, could not be answered in a shorter timeframe.
The investigation and conclusions should have been documented and more easy to be consulted by the government. Or did our politicians get their answer from NSA?
SÉNAT DE BELGIQUE | BELGISCHE SENAAT |
________ | ________ |
Session 2012-2013 | Zitting 2012-2013 |
________ | ________ |
19 juillet 2013 | 19 juli 2013 |
________ | ________ |
Question écrite n° 5-9608 | Schriftelijke vraag nr. 5-9608 |
de Bert Anciaux (sp.a) | van Bert Anciaux (sp.a) |
au vice-premier ministre et ministre de la Défense | aan de vice-eersteminister en minister van Landsverdediging |
________ | ________ |
les conséquences d'une fuite de données à la Défense | de gevolgen van een datalek bij Defensie |
________ | ________ |
armée informatique protection des données | krijgsmacht informatica gegevensbescherming |
________ | ________ |
19/7/2013 | Verzending vraag |
23/8/2013 | Antwoord |
|
19/7/2013 | Verzending vraag |
23/8/2013 | Antwoord |
|
________ | ________ |
Requalification de : demande d'explications 5-2884 | Requalification de : demande d'explications 5-2884 |
________ | ________ |
Question n° 5-9608 du 19 juillet 2013 : (Question posée en néerlandais) | Vraag nr. 5-9608 d.d. 19 juli 2013 : (Vraag gesteld in het Nederlands) |
La presse a récemment mentionné un problème dans les banques de données de la SNCB. Les données personnelles de quasi un million et demi de clients se sont retrouvées sur internet sans protection. Le même article renvoie à un problème similaire à la Défense où un annuaire téléphonique du département des Ressources humaines aurait fait l'objet d'une fuite.
Les problèmes informatiques ne datent pas d'hier et sont manifestement une constante, malgré l'expérience accumulée en la matière en un peu plus de deux décennies. En outre, la fourniture et l'entretien des systèmes informatiques de la Défense, tant du point de vue des logiciels que du matériel, sont confiés en sous-traitance à des entreprises et des experts sélectionnés avec circonspection, très onéreux et par conséquent, n'en doutons pas, hautement compétents. A fortiori à la Défense, on peut espérer que ces données informatiques sont protégées de manière particulièrement adéquate.
Une bévue comme cette fuite de données de clients du département Ressources humaines de la Défense n'en est que plus grave, mais aussi inquiétante, et suscite inévitablement des questions sur la qualité des systèmes informatiques de la Défense.
Le ministre confirme-t-il que l'annuaire téléphonique du département des Ressources humaines de la Défense a fait l'objet d'une fuite et que de nombreuses données personnelles de la Défense se sont retrouvées sur internet sans protection ?
Comment cette fuite s'est-elle produite, quelle faute concrète a-t-elle été commise ? S'agit-il d'une erreur humaine, d'un mauvais fonctionnement du système, de circonstances imprévisibles ...
Le ministre estime-t-il acceptable qu'une organisation hautement professionnelle et, nous l'espérons, bien sécurisée telle que la Défense soit confrontée à cette grave bévue ? Qui le ministre tiendra-t-il pour responsable à cet égard ? S'agit-il d'une faute commise par un fournisseur externe ou par le personnel de la Défense ? Où le contrôle de qualité a-t-il échoué ?
Cette fuite de données a-t-elle engendré ou engendre-t-elle des coûts supplémentaires pour la Défense ? Dans l'affirmative, lesquels, à combien s'élèvent-ils et qui les paiera ? Dans la négative, pourquoi ?
Cette fuite a-t-elle engendré ou engendre-t-elle des coûts supplémentaires pour les personnes dont les données personnelles ont été révélées ? Dans l'affirmative, lesquels, à combien s'élèvent-ils et qui les paiera ? Dans la négative, pourquoi ?
Comment évitera-t-on à l'avenir ce genre de problème et de bévue ? Quelles mesures concrètes ont-elles entre-temps été prises à cet effet ?
| De pers meldde recent een probleem in de NMBS-databank, waardoor de persoonsgegevens van bijna anderhalf miljoen klanten onbeschermd op het internet kwamen. Hetzelfde persbericht verwijst naar een vergelijkbaar probleem bij Defensie, waar een telefoonboek van het HR-departement zou gelekt zijn.
Problemen met informatica zijn niet nieuw en blijkbaar van alle tijden, hoewel er ondertussen toch al ruim twee decennia ervaring werd opgebouwd. Daarnaast wordt de levering en het onderhoud van de informatica van Defensie, zowel hard- als software, uitbesteed aan behoedzaam geselecteerde, erg dure en dus ongetwijfeld hoogst bekwame leveranciers en experts. Zeker bij Defensie mag men hopen dat deze informatica bijzonder adequaat wordt beschermd.
Dit maakt een euvel zoals deze datalek van HR-departement van Defensie niet alleen erg ernstig maar ook beangstigend en noopt tot vragen over de kwaliteit van de informaticasystemen bij Defensie.
Bevestigt de minister een lek van het telefoonboek van het HR-departement van Defensie, waardoor heel wat persoonsgegevens van Defensie vrij op het internet kwamen?
Hoe ontstond dit datalek, wat ging er heel concreet fout? Is er sprake van een menselijke fout, een systeem fout, een onvoorziene omstandigheid…
Vindt de minister het aanvaardbaar dat een hoogst geprofessionaliseerde en hopelijk ook goed beveiligde organisatie zoals Defensie met dit ernstige euvel wordt geconfronteerd? Bij wie zal de minister de aansprakelijkheid hiervoor leggen? Gaat het hier over een fout van een externe leverancier of een fout bij het Defensiepersoneel? Waar ging de kwaliteitscontrole de mist in?
Veroorzaakte of veroorzaakt deze datalek extra kosten of ongemakken aan Defensie? Zo ja, welke, hoe omvangrijk en wie draait hiervoor op? Zo niet, waarom niet?
Veroorzaakte of veroorzaakt deze datalek extra kosten of ongemakken aan de personen wiens persoonsgegevens gelekt zijn? Zo ja, welke, hoe omvangrijk en wie draait hiervoor op? Zo niet, waarom niet?
Hoe zal dit soort problemen en euvels in de toekomst worden vermeden? Welke concrete maatregelen zijn er ondertussen daartoe genomen?
|
Réponse reçue le 23 aôut 2013 : | Antwoord ontvangen op 23 augustus 2013 : |
L’honorable membre est prié de trouver ci-après la réponse à ses questions.
Une liste téléphonique interne de la Direction générale des ressources humaines (DGHR) a effectivement été publiée sur l’internet.
Cette fuite de données provenait d’une faute technique. Le site qui contenait ces données, a été bloqué le 3 janvier et le 4 janvier des mesures ont été prises pour enlever l’information répandue involontairement. Il convient de noter qu'aucune information privée n’a été rendue publique. Le 8 janvier, le personnel de la Défense concerné a été informé des mesures prises via un e-mail interne.
Le problème était dû à la technologie utilisée pour sécuriser l'accès au site distinct de la DGHR. Ce site - qui se trouve sur un serveur distinct et complètement isolé du réseau interne de la Défense - est utilisé pour la diffusion efficiente aux militaires et personnes relatées (notamment les retraités, les réservistes, ...) d’informations non classifiées relatives au personnel. Ceci signifie que les personnes qui disposent de droits d'accès à ce site ne possèdent pas automatiquement un accès au réseau interne de la Défense.
Les autres sites de la Défense utilisent des technologies différentes et ne sont donc pas sensibles aux mêmes problèmes. La fuite n'a provoqué pour la Défense ni pour les personnes dont les données ont été divulguées des frais supplémentaires. Un nombre limité d’utilisateurs a subi un léger inconfort car ils ne pouvaient plus accéder à l'information de ce serveur. Cette restriction a été communiquée et l'information nécessaire a été rendue disponible par des canaux alternatifs. Entre-temps, le nouveau site internet sécurisé de la DGHR est accessible après identification.
La Défense dispose d’un service spécialisé en sécurité informatique. Le domaine de la sécurité de l'information est un domaine qui évolue constamment. L'amélioration et l’actualisation de la protection des données et des informations aussi bien internes, que celles qui sont accessibles à travers un site public comme « dghr.mil.be », constitue une préoccupation constante qui nécessite un effort continu du Département.
| Het geachte lid gelieve hierna het antwoord te willen vinden op de door hem gestelde vragen.
Er werd inderdaad een interne telefoonlijst van de Algemene Directie Human Resources (DGHR) gepubliceerd op het internet.
Dit data lek betrof een technische fout. De bewuste site werd op 3 januari afgesloten en op 4 januari werden maatregelen genomen om de ongewild verspreide informatie weg te halen. Er dient wel gemeld te worden dat er geen privé-gegevens publiek werden gemaakt. Op 8 januari werd het betrokken personeel van Defensie via een interne e-mail op de hoogte gesteld van de ondernomen acties.
Het probleem was te wijten aan de gebruikte technologie voor de beveiliging van de toegang tot deze aparte site van de DGHR. Deze site – die trouwens op een alleenstaande server staat die volledig is geïsoleerd van het interne netwerk van Defensie – wordt gebruikt voor de efficiënte verspreiding van niet geclassificeerd personeel gerelateerde informatie naar militairen en aanverwanten (o.a. gepensioneerden, reservisten,…). Dit betekent dat personen die toegangsrechten krijgen tot deze site niet automatisch over een toegang beschikken tot het interne netwerk van Defensie.
De andere sites van Defensie gebruiken andere technologieën en zijn aldus niet onderhevig aan dezelfde problemen. Het lek veroorzaakte noch voor Defensie noch voor de personen waarvan de data gelekt zijn extra kosten. Een beperkt aantal gebruikers heeft een licht ongemak ondervonden omdat zij niet meer aan de informatie van deze server konden. Deze beperking werd medegedeeld en de nodige informatie werd via alternatieve kanalen beschikbaar gesteld. Intussen is de nieuwe beveiligde internetsite van de DGHR toegankelijk na identificatie.
Defensie beschikt over een dienst die gespecialiseerd is in informatieveiligheid. Het domein van de informatieveiligheid is een domein dat continu evolueert. De verbetering en het actualiseren van de bescherming van zowel interne gegevens als gegevens die via een publieke site zoals “dghr.mil.be” toegankelijk zijn, is dus een constante zorg en vraagt een continue inspanning van het Departement. |