Mondelinge vraag inzake de gelekte gegevens van het HR-departement Defensie

16 januari 2013

Mondelinge vraag van mevrouw Karolien Grosemans aan de minister van Landsverdediging over "de gelekte gegevens van het HR-departement Defensie" (nr. 14968)

Karolien Grosemans (N-VA): Mijnheer de minister, op 3 januari werd een telefoonboek van het departement HR van Defensie op internet gelekt. Een blogger maakte bekend dat de kantoorgegevens van goed 500 medewerkers van Defensie openbaar toegankelijk zijn via een google-searchopdracht. Vanuit het ministerie kwam diezelfde avond de melding dat dit te wijten was aan een technische fout of manipulatie en dat het probleem de volgende dag zou worden opgelost.

Mijnheer de minister, ik zou u hierover graag de volgende vragen stellen.

Hoe is dit kunnen gebeuren? Ging het om een technische fout of manipulatie, of was er nog een andere oorzaak? Kunnen verantwoordelijken worden aangeduid? Heeft Defensie de personen van wie de gegevens werden gelekt hiervan op de hoogte gebracht? Op welk moment is dit gebeurd? Werd het probleem op vrijdag 4 januari opgelost zoals aangekondigd? Heeft men gecontroleerd of hetzelfde probleem zich voordeed voor beveiligde informatie op andere websites van Defensie? Zo ja, wat was het resultaat van die controle? Gebruikt Defensie hetzelfde beveiligingssysteem voor alle persoonlijke of vertrouwelijke informatie? Welke maatregelen zal Defensie nemen om gelijkaardige incidenten in de toekomst te vermijden?

Minister Pieter De Crem: Mijnheer de voorzitter, beste collega’s, het datalek bij Defensie betrof wel degelijk een technische fout. De bewuste site werd op 3 januari afgesloten. Op 4 januari werden maatregelen genomen om de ongewild verspreide informatie weg te halen. Er werden geen privégegevens publiek gemaakt. Op 8 januari werd het betrokken personeel van Defensie via een interne e-mail op de hoogte gebracht van de ondernomen acties.

Het probleem was te wijten aan de gebruikte technologie voor de beveiliging van de toegang tot een aparte website van het departement Human Resources. Die site, die trouwens op een alleenstaande server staat die volledig is afgeschermd van het interne netwerk van Defensie, wordt gebruikt voor de efficiënte verspreiding van niet-geclassificeerde, personeelsgerelateerde informatie naar militairen en aanverwanten, onder andere gepensioneerden en reservisten.

Toegangsgerechtigden tot deze website beschikken niet automatisch over toegang tot het interne netwerk van Defensie. De andere sites van Defensie gebruiken andere technologieën en zijn aldus niet onderhevig aan dezelfde problemen. Desalniettemin zal er ook op die sites een doorgedreven screening worden uitgevoerd. Momenteel zijn er geen bijkomende maatregelen nodig.

Defensie beschikt over een dienst die gespecialiseerd is in de informatieveiligheid. Het domein van de informatieveiligheid is een domein dat continu evolueert. De verbetering en het up-to-date houden van de bescherming van zowel interne gegevens als gegevens die via een publieke site zoals dghr.mil.be ter beschikking worden gesteld, zijn dan ook een continue zorg en vragen een continue inspanning van het departement.

Karolien Grosemans (N-VA): Mijnheer de minister, eigenlijk is dat een heel vreemd verhaal, want de blogger die dat heeft uitgebracht was natuurlijk geen hacker, die documenten waren gewoon via Google te vinden. Men moet eigenlijk inloggen, maar als men niet kon inloggen en men gaf gewoon de zoekterm in Google, dan raakte men er toch aan. Daar was niet alleen dit telefoonboek te vinden maar heel veel documenten. Ik heb die bewuste vrijdag om 20 u 00 zelf nog alles terug kunnen vinden.

Minister Pieter De Crem: Wat het beste bewijs is dat het algemeen toegankelijk was.

Karolien Grosemans (N-VA): Ik ken er niet zoveel van, maar er werd hier geen https-verbinding gebruikt. En die s schijnt heel belangrijk te zijn, want dat wil zeggen dat die gegevens extra versleuteld zijn. Nochtans wordt dat heel veel gebruikt. Ik vermoed dat het intranet van CD&V ook wel met https verloopt. Zelfs gewoon bij een middelbare school is bijvoorbeeld smartschool reeds versleuteld. Hoe is het dan mogelijk dat wij gewoon aan al die informatie geraken bij Defensie? Ik ben in elk geval blij te horen dat er voor de andere sites een andere beveiliging is en dat in de toekomst alles zal worden gescreend en nagekeken.