AUDITORAATSRAPPORT BETREFFENDE DE VEILIGHEIDSMAATREGELEN DIE WERDEN INGEVOERD IN HET KADER VAN DE TOEGANG TOT HET NETWERK VAN DE KRUISPUNTBANK DOOR DE SOCIAAL INSPECTEURS VAN HET MINISTERIE VAN SOCIALE ZAKEN, VOLKSGEZONDHEID EN LEEFMILIEU. 1. Voorafgaande beschouwingen De instellingen van sociale zekerheid en in het bijzonder hun personeelsleden hebben enkel toegang tot de gegevens die beschikbaar zijn in het netwerk van de Kruispuntbank waarvoor ze op voorhand een uitdrukkelijke toegangsmachtiging hebben gekregen; deze gegevens hebben betrekking op de personen die voor hun instelling in het personenrepertorium van de Kruispuntbank zijn geïntegreerd. In geval van gelijkstelling, op het vlak van toegang, van de sociale inspecteurs met de andere personeelsleden van hun instelling zou aan de sociaal inspecteurs belangrijke informatie kunnen worden ontzegd. Informatie die nuttig is voor een goede taakuitoefening. Daarom werd er voor de sociaal inspecteurs een gegevenstoegang voorzien buiten het verwijzingsrepertorium om. Daar deze toegang veel uitgebreider zal zijn dan voor de andere personeelsleden achtte de Kruispuntbank het noodzakelijk om voor de aansluiting van de sociale inspectiediensten op het Kruispuntbanknetwerk strikte veiligheidsmaatregelen te eisen. Deze maatregelen staan beschreven in het document “Toegankelijkheid van het netwerk beheerd door de Kruispuntbank in hoofde van de sociale inspecteurs”. 2. Bestaande toegangsmachtiging Bij beraadslaging nr. 95/47 van 12 september 1995 van het Toezichtscomité werden de sociale inspectiediensten van het Ministerie van Sociale zaken, Volksgezondheid en Leefmilieu gemachtigd om via de Kruispuntbank toegang te krijgen tot het Rijksregister, de LATG-gegevensbank en het werkgeversrepertorium van de RSZ. De toegang gebeurt enkel vanaf de werkposten in de regionale kantoren en vanaf het centraal bestuur van het Ministerie. Het betreft een interactieve gegevensuitwisseling via een verbinding van toepassing tot toepassing. 3. Nieuwe toegangsmachtiging De nieuwe aanvraag tot toegangsmachtiging die door het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu werd ingediend bij het Toezichtscomité op 26 juli 1999, heeft uitsluitend betrekking op de sociale inspectiediensten. Het Ministerie vraagt voor deze inspectiediensten de machtiging om de DIMONA-gegevensbank beheerd door de SmalS-MvM vanaf een draagbare computer te mogen raadplegen.
1
De raadpleging van deze gegevensbank zal gebeuren via een internettoepassing waarbij ingebeld wordt bij de SmalS-MvM en dit : 9 vanaf de gewestelijke kantoren van de betrokken inspectiediensten ; 9 vanaf de woonplaats van de sociaal inspecteurs / controleurs ; 9 vanaf eender welke plaats in België waar deze personen zijn tewerkgesteld. In de toekomst wenst het Ministerie de gegevensraadpleging voor de sociale inspecteurs uit te breiden tot het Rijksregister, de Kruispuntbankregisters, de LATGgegevensbank en het SIS-kaartenbestand. De manier waarop deze raadpleging technisch zal worden geïmplementeerd staat nog niet vast. 4. Evaluatie van de veiligheidsmaatregelen die het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu trof in het kader van de aansluiting van haar sociaal inspecteurs op het Kruispuntbanknetwerk Zoals vermeld in punt 1 omvat het document “Toegankelijkheid van het netwerk beheerd door de Kruispuntbank in hoofde van de sociale inspecteurs” de door een sociale zekerheidsinstelling minimaal te respecteren veiligheidsvoorschriften wil zij voor haar sociale inspectiediensten een verbinding bekomen met het Kruispuntbanknetwerk. De evaluatie van de door het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu geïmplementeerde veiligheidsmaatregelen dient dan ook te geschieden in functie van de in het bovenvermeld document beschreven maatregelen. De door het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu geïmplementeerde veiligheidsmaatregelen werden puntsgewijs getoetst aan de minimaal te respecteren veiligheidsvoorschriften. De belangrijkste maatregelen die door het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu werden voorzien, staan beschreven op de volgende pagina’s. a.
De veiligheidsopleiding van de sociaal inspecteurs/controleurs en hun sensibilisering t.o.v. de beveiligingsproblematiek
De sociaal controleurs/inspecteurs genieten een specifieke veiligheidsopleiding. Tijdens de opleidingssessies komen o.a. de onderstaande aspecten in detail aan bod: 9 9 9 9
PC-beveiliging (onder meer bescherming tegen virussen); sensibilisatie m.b.t. de keuze van een veilig paswoord en het gebruik ervan; wettelijke bepalingen inzake privacybescherming; veiligheidsaspecten inzake het gebruik van een draagbare computer en de soorten aansluitingen (GSM, PSTN en ISDN); 9 deontologie • beroepsgeheim; • vertrouwelijkheid van de verkregen informatie; • de gegevensraadpleging is enkel toegelaten in het raam van de uitvoering van hun wettelijke taken; • … 2
b.
De connectieprocedure via de Internettoepassing bij de SmalS-MvM
De sociaal inspecteurs/controleurs kunnen zich vanaf hun draagbare computer op twee manieren aansluiten op de Internettoepassing bij de SmalS-MvM. Identieke veiligheidsmaatregelen zijn van toepassing op beide toegangsmogelijkheden: 9 een PSTN- of ISDN-aansluiting1: elke aansluiting op het netwerk van de SmalSMvM komt tot stand: • via een RAS server (= Remote Access Server) met statische controle van het paswoord; • via een firewall met dynamische controle van het paswoord. 9 via een GSM-aansluiting2: de aansluitingen op het netwerk van de SmalS-MvM gebeuren eveneens via : • via een RAS server met statische controle van het paswoord; • via een firewall met dynamische controle van het paswoord. De GSM’s zijn daarenboven uitgerust met een PIN-code die door de gebruiker kan worden gewijzigd. Bovendien worden alle gegevens door de eindgebruiker op de draagbare PC opgeslagen in een geëncrypteerde partitie van de harde schijf. De encryptering gebeurt door de software FileCrypto. Bij de configuratie van deze software wordt een encryptiesleutel aangemaakt, beschermd door een paswoord (passphrase)3. De encryptiesleutels worden centraal beheerd door de informaticacel van de Sociale Inspectie onder het toezicht van de veiligheidsconsulent van het Ministerie. Alle gegevensuitwisselingen tussen de draagbare PC’s en de firewall4 worden bovendien geëncrypteerd. Na 15 minuten inactiviteit wordt de telefoonverbinding automatisch verbroken. De gebruiker kan zich bovendien niet aansluiten van op twee verschillende locaties. c.
Identificatie en toegangsbeveiligingsmethode van de werkposten
Ongeacht of de draagbare computer bij de SmalS-MvM is gekend, hij wordt niet gecontroleerd bij de totstandkoming van een aansluiting. Het gebrek aan deze controlemaatregel staat echter een beveiligde werking van het systeem niet in de weg. De combinatie van een paswoord ter hoogte van de RAS-server, het gebruik van een secure-ID-kaart en de verplichte ingave van een toepassingspaswoord biedt een voldoende waarborg inzake veiligheid5.
1 2 3
4 5
Te gebruiken vanuit een regionaal kantoor of vanuit de woonplaats van de sociale inspecteurs of controleurs. Te gebruiken van op elke mogelijke locatie: bij de werkgever, vauit het regionaal kantoor, thuis bij de sociaal inspecteurs / controleurs. De kenmerken van het paswoord zijn de volgende: individueel, te kiezen door de gebruiker, geen minimum lengte, vercijferd opgeslagen, geen blokkering na x toegangspogingen, geen historiek, geen verplichte wijziging na een bepaalde tijd. Door middel van de software Secure Remote. Zie verder punt d. 3
d.
De identificatie en authentificatie van de sociaal inspecteurs / controleurs
De geïnstalleerde veiligheidssystemen bestaan uit drie niveaus. Iedere gebruiker die, ongeacht de gebruikte aansluitingswijze, de gegevensbank DIMONA wenst te raadplegen via een Internettoepassing bij de SmalS-MvM moet deze drie niveaus doorlopen: De drie veiligheidsniveaus zijn de volgende: 9 Op het vlak van de computer • Doelstelling: controle van de toegang tot de draagbare computer • Identificatie en authentificatie van de gebruiker: → identificatie : userid; → authentificatie : paswoord. Kenmerken van het paswoord: 6 karakters, individueel, te kiezen door de gebruiker, vercijferd opgeslagen, blokkering na 5 toegangspogingen, geen historiek, geen verplichte wijziging na een bepaalde tijd6. → een draagbare PC is niet onderling verwisselbaar en kan alleen met eenzelfde userid worden gebruikt; → de toekenning van het oorspronkelijk paswoord en de eventuele deblokkering van de draagbare computer geschieden onder het toezicht van de veiligheidsconsulent van het Ministerie. 9 Op het vlak van het netwerk • Doelstelling: controle van de toegang tot het informaticanetwerk van de SmalS-MvM • De identificatie en authentificatie van de gebruiker is tweevoudig: → RAS userid en paswoord: Kenmerken van het paswoord: individueel, niet te kiezen door de gebruiker, minimum 6 karakters (combinatie van cijfers en letters verplicht), vercijferd opgeslagen, geen blokkering na x toegangspogingen, geen historiek, geen verplichte wijziging na een bepaalde tijd7. De aanvragen voor het bekomen van een userid en de mededeling van het oorspronkelijk paswoord aan een sociaal inspecteur / controleur verlopen via de veiligheidsconsulenten van het Ministerie en de SmalS-MvM. Bij verlies van het paswoord door de sociaal inspecteur / controleur moeten de veiligheidsconsulenten van het Ministerie en de SmalS-MvM ingrijpen. → Secure-ID-kaart met userid, PIN-code en paswoord. Bij iedere authentificatie moet de sociaal inspecteur / controleur zijn userid, PINcode8 en pascode9 inbrengen. Om de 30 minuten moet de gebruiker de secure-ID-procedure opnieuw doorlopen. De aanvragen voor het bekomen van een secure-ID-kaart en de mededeling van de oorspronkelijke PIN-code aan een sociaal inspecteur / 6
Tijdens de opleiding wordt de nadruk gelegd op het gebruik van veilige paswoorden en op de noodzaak om het paswoord maandelijks te wijzigen. 7 De veiligheidsconsulent van het Ministerie kan beslissen om de paswoorden periodiek te wijzigen. 8 De kenmerken van de PIN-code zijn de volgende: individueel, te kiezen door de gebruiker, minimum 4 karakters, vercijferd opgeslagen, blokkering na 10 toegangspogingen, geen historiek, geen verplichte wijziging na een bepaalde tijd. 9 De pascode is de waarde die door de secure-ID-kaart wordt berekend. 4
controleur verlopen via de veiligheidsconsulenten van het Ministerie en de SmalS-MvM. Bij verlies van de secure-ID-kaart of van de PIN-code door de sociaal inspecteur / controleur moeten de veiligheidsconsulenten van het Ministerie en de SmalS-MvM ingrijpen. 9 Op het vlak van de toepassing • •
b.
Doelstelling: controle van de toegang tot de DIMONA-gegevensbank; De identificatie en authentificatie van de gebruiker → identificatie : userid → authentificatie: paswoord. Kenmerken van het paswoord: individueel, te kiezen door de gebruiker, minimum 6 karakters, vercijferd opgeslagen, blokkering na 3 toegangspogingen, geen historiek, verplichte wijziging na 30 dagen. De aanvragen voor het bekomen van een userid en de mededeling van het oorspronkelijk paswoord aan een sociaal inspecteur / controleur verlopen via de veiligheidsconsulenten van het Ministerie en de SmalS-MvM. Bij verlies van het paswoord moeten de veiligheidsconsulenten van het Ministerie en de SmalS-MvM ingrijpen. de toegangsmachtigingen van de sociaal inspecteurs / controleurs
Het beleid van het Ministerie inzake gegevenstoegangmachtiging bestaat erin de toegang tot de gegevens te verlenen enkel indien de gebruiker over een gerechtvaardigde10 en wettelijke machtiging beschikt. Tijdens de opleidingssessies voor de sociaal inspecteurs / controleurs wordt in het bijzonder de nadruk gelegd op deze machtiging. Ze kunnen enkel gegevens opvragen en verkrijgen die noodzakelijk zijn in het kader van de uitoefening van hun opdracht. Bovendien mogen de sociaal inspecteurs / controleurs de verkregen sociale persoonsgegevens slechts opslagen en bewaren gedurende de tijd die nodig is voor de uitoefening van hun opdracht. De SmalS-MvM slaat alle verleende toegangsmachtigingen op in een elektronisch bestand, genaamd GDAUT (gestion des autorisations). Dit bestand vormt tevens de basis voor de technische en informaticacontroles inzake gegevenstoegang. De sociaal inspecteur / controleur moet ten slotte, via hiërarchische weg, individueel een aanvraag indienen voor het bekomen van een toegangsmachtiging. Deze aanvragen worden via de veiligheidsconsulent van het Ministerie overgemaakt aan de veiligheidsconsulent van de SmalS-MvM. De veiligheidsconsulent neemt het initiatief om bij langdurige ziekte, mutatie, uitdiensttreding van een sociaal inspecteur / controleur de toegangsmachtiging te annuleren. c.
Loggings
Aangezien de toegangsmachtigingen via een Internettoepassing bij de SmalS-MvM worden verleend kan het Ministerie deze loggings niet bijhouden. De SmalS-MvM maakt logbestanden aan en bewaart daarin een spoor van de verrichte bewerkingen. Deze logbestanden omvatten: 10
Zie veiligheidsdossier van de maand mei 1997. 5
9 het identificatienummer van de sociaal inspecteur / controleur die de raadpleging verricht; 9 de datum van raadpleging; 9 de geraadpleegde gegevens. De loggegevens worden gedurende ten minste 2 jaar bijgehouden. De veiligheidsconsulenten van de Rijksdienst en van het Ministerie werken samen aan de uitwisseling, de raadpleging en de periodieke controle van de loggegevens, met als doel het opsporen van niet-toegelaten en frauduleuze raadplegingen. De veiligheidsconsulent van het Ministerie controleert de loggings. d.
Antidiefstalmaatregelen voor de werkposten
De werkposten in de regionale kantoren zijn ondergebracht in een afgesloten lokaal en indien de situatie het toelaat, op een locatie die ver genoeg verwijderd is van de door het publiek toegankelijke plaatsen11. Wat de draagbare PC’s betreft, hebben de sociaal inspecteurs / controleurs instructies gekregen teneinde de diefstal van het toestel te vermijden. Bovendien zijn alle sociale persoonsgegevens geëncrypteerd opgeslagen in de draagbare PC12 en in de computers bij de sociaal inspecteurs / controleurs thuis13. De GSM’s worden door middel van een PIN-code van vier cijfers beveiligd. Deze code kan door de gebruiker gewijzigd worden. Driemaal een verkeerde PIN-code invoegen, heeft de blokkering van de GSM tot gevolg. e.
Antivirusmaatregelen
Om een virusinfectie te vermijden of tijdig op te sporen werden de volgende maatregelen genomen: 9 alle draagbare computers zijn uitgerust met het anti-virusprogramma Dr Solomon Winguard. Het programma wordt alle drie maanden bijgewerkt; 9 de sociaal inspecteurs en controleurs worden regelmatig gewezen op de gevaren in verband met het gebruik van externe diskettes en de installatie van niet-standaard testprogramma’s; 9 het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu werkt gepaste aanbevelingen uit voor de medewerkers. f.
Verzekering van de werkposten
De Staat treedt op als zijn eigen verzekeraar.
11 12 13
Cf. veiligheidsdossier maand mei 1997. Cf. veiligheidsdossier maand mei 1997. Cf. veiligheidsdossier maand mei 1997. 6
5. Besluit Voor de keuze van de passende controlemaatregelen zocht het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu inspiratie in de maatregelen die door de Rijksdienst voor sociale zekerheid werden geïmplementeerd met het oog op de aansluiting van haar inspectiediensten op het netwerk van de sociale zekerheid. Dit dossier kreeg een gunstig advies. De (organisatorische en technische) aard en de opeenvolging van de door het Ministerie ingevoerde veiligheidsmaatregelen blijken voldoende te zijn om een beveiligde raadpleging van de DIMONA-gegevensbanken door de sociaal inspecteurs / controleurs te waarborgen. Om deze redenen en op voorwaarde dat de installatie van alle in het dossier beschreven veiligheidsprocedures en –maatregelen en de controle ervan gebeurt door het Ministerie van Sociale Zaken, Volksgezondheid en Leefmilieu, kan de Kruispuntbank een gunstig advies verlenen voor de raadpleging van de DIMONAgegevensbank via een Internettoepassing waarbij bij de SmalS-MvM wordt ingebeld. Indien het Ministerie in een latere fase de toegang van haar sociaal inspecteurs / controleurs wenst uit te breiden tot andere bestanden, en voor zover dezelfde toegangstechniek en dezelfde veiligheidsmechanismen worden gebruikt, moet er geen nieuw veiligheidsdossier worden ingediend. Het Ministerie dient niet via de Kruispuntbank te passeren voor de raapleging van de RSZ-bestanden (= LATG, Dimona-bestanden, werkgeversrepertorium). Een aansluiting bij de SmalS-MvM die een rechtstreekse toegang mogelijk maakt, is gerechtvaardigd omdat de SmalS-MvM als onderaannemer optreedt zowel voor het Ministerie als voor de RSZ, de informaticatechnische werkzaamheden uitvoert voor de RSZ en omdat de RSZ is belast met het beheer van de te raadplegen gegevensbanken. Wat de toegang tot de bestanden betreft waarvan de RSZ geen beheerder is (zoals het Rijksregister, de KSZ-registers, het SIS-kaartenbestand), moet het Ministerie via de Kruispuntbank passeren. Om deze redenen mag de Kruispuntbank een gusntig advies uitbrengen. 6 september 1999
7