Instelling ISMS (Information Security Management System) Algemene policy inzake het gebruik van het internet Version control please always check if you re using the latest version Doc. Ref. : isms_040_internet_policy_nl_v1.doc Release Status Date Written by Approved by NL_0.30 Voorstel van de socialezekerheids instellingen 25/05/2010 Alain Quewet Werkgroep Informatieveiligheid Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: mevrouw Pinte (RSZ), de heren Bochart (KSZ), Costrop (Smals), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Vandergoten (RIZIV), Van Cutsem (RSZPPO).
Inhoudsopgave 1. INLEIDING... 4 2. DRAAGWIJDTE... 4 3. DEFINITIES... 4 3.1. HET INTERNET... 4 3.2. ROUTER... 4 3.3. DMZ... 4 3.4. IPS... 5 3.5. DEFENCE IN DEPTH («VERDEDIGING IN DE DIEPTE»)... 5 3.6. GEGEVENSSTROOM... 5 3.7. WEB... 5 3.8. WEBSITE DEFACEMENT... 5 3.9. MALWARE... 5 3.10. VIRUS... 5 3.11. WORM... 6 3.12. TROJAN (TROJAANS PAARD)... 6 3.13. SPAM... 7 3.14. PHISHING... 7 3.15. HOAX... 7 3.16. SOCIAL ENGINEERING... 8 4. INDELING VAN HET GEBRUIK VAN DE TOEGANG TOT HET INTERNET... 9 4.1. PROFESSIONEEL GEBRUIK... 9 4.2. PRIVÉGEBRUIK... 9 5. GEDRAGSCODE... 9 5.1. VERTROUWELIJKE GEGEVENS... 9 5.2. RECHTEN EN PLICHTEN... 9 5.3. ETHIEK... 10 5.4. GEBRUIKSVERBOD... 10 5.5. PUBLICATIE... 11 5.5.1. Publicatie op de websites van de instelling... 11 5.5.2. Externe publicatie... 11 5.6. ONTWIKKELING VAN WEBTOEPASSINGEN DOOR DE ICT... 11 6. BEVEILIGING VAN HET INTERNETTOEGANGSSYSTEEM... 11 6.1. BESCHERMING VAN DE SYSTEMEN VAN DE EINDGEBRUIKERS... 12 6.2. TOEGANGSSYSTEEM... 12 7. GIDS VOOR GOEDE PRAKTIJKEN VOOR DE EINDGEBRUIKER... 12 7.1. SURFEN OP HET INTERNET... 12 7.1.1. Bescherming tegen schadelijke websites... 12 7.1.2. Kwaliteit van de informatie... 13 7.2. BIJDRAGEN AAN DISCUSSIES... 13 7.2.1. Risico s... 13 7.2.2. Preventie... 14 7.3. BEVEILIGING VAN DE TRANSACTIES... 14 8. CONTROLES EN SANCTIES... 15 8.1. CONTROLES... 15 P 2
8.2. MODALITEITEN VOOR DE INDIVIDUALISERING VAN DE ELEKTRONISCHE COMMUNICATIEGEGEVENS 15 8.3. SANCTIES... 16 P 3
1. Inleiding Net zoals alle andere werkmiddelen die u ter beschikking worden gesteld, mogen de communicatiemiddelen van de instelling normaal enkel voor professioneel gebruik worden aangewend. 2. Draagwijdte Deze policy is bestemd voor elke gebruiker met een internettoegang die door de informaticadienst van de instelling ter beschikking werd gesteld, hetzij in de lokalen van de instelling, hetzij erbuiten via een beveiligde toegang op afstand en voor de medewerkers die systemen gebaseerd op het Internet ontwikkelen of beheren, De bedoeling van dit document is ervoor te zorgen dat alle betrokkenen hun rechten en plichten kennen inzake het gebruik van de internetsystemen van de instelling, teneinde elk onrechtmatig gebruik van deze systemen te vermijden. 3. Definities 1 3.1. Het internet Het internet is een wereldwijd telecommunicatienetwerk waarin een verscheidenheid aan diensten zoals e-mail, instant messaging en het wereldwijde web («world wide web») toegankelijk is voor het publiek en instellingen door middel van het gebruik van het communicatieprotocol IP (internet protocol). Doordat de technische architectuur van het internet steunt op een hiërarchie van netwerken die door routers worden gescheiden, wordt het internet als het netwerk der netwerken gezien. 3.2. Router Een router is een telecommunicatieapparaat dat ervoor zorgt dat informatiepakketten van het ene netwerksegment naar het andere worden overgebracht, waarbij wordt vermeden dat deze pakketten in alle computers over alle netwerken verspreid worden. 3.3. DMZ Een DMZ (afkorting van «DeMilitarized Zone») is een subnetwerk van een onderneming waarin de servers zijn opgesteld die toegang hebben tot het internet. In een DMZ zijn enkel de machines opgenomen die strikt noodzakelijk zijn voor het opstellen van de gegevensstromen, de gevoelige servers worden in beveiligde subnetten geplaatst die niet toegankelijk zijn van buitenaf. 1 De definities zijn gebaseerd op de definities beschikbaar in de vrije encyclopedie Wikipedia. P 4
3.4. IPS IPS is het acroniem van «Intrusion Prevention System» en duidt een systeem aan voor de bescherming tegen inbreuken. Dit systeem dient om pogingen waarbij het netwerk van de onderneming/de instelling wordt aangevallen, op te sporen en deze in theorie ook automatisch af te weren. 3.5. Defence in depth («verdediging in de diepte») Het principe van de defence in depth is overgenomen uit militaire strategieën en bestaat er niet zozeer in de aanvaller uit te schakelen, maar wel hoofdzakelijk de aanval te vertragen. Bij defence in depth worden dus meer dammen opgeworpen en wordt overal waar mogelijk een beveiliging ingesteld. 3.6. Gegevensstroom Gestructureerde mededeling van gegevens tussen partners door het gebruik van internettechnieken. Een gegevensstroom wordt gekenmerkt door de bron, de bestemmelingen en de partner die de overdracht start. 3.7. Web Het World Wide Web, letterlijk het «wereldwijde web», beter bekend als het web, het net of het WWW, is een openbaar hypertekstsysteem op het internet aan de hand waarvan webpagina s via een browser kunnen worden geraadpleegd. De naamgeving van het WWW komt van de hyperlinks die de webpagina s onderling verbinden (http://fr.wikipedia.org/wiki/world_wide_web). Het web is slechts één van de vele internettoepassingen. 3.8. Website defacement Fraudepraktijk waarbij gegevens worden aangepast of waarbij het imago van de eigenaar van een site wordt geschaad. Het doel van website defacement is de inhoud te wijzigen van de webpagina s waarop de aanval gericht is. 3.9. Malware De term malware is een samentrekking van malicious (kwaadaardig, schadelijk) en software en wordt gebruikt om schadelijke software aan te duiden, nl. software die ontwikkeld werd om schade toe te brengen aan een informaticasysteem. De twee bekendste voorbeelden van schadelijke software zijn virussen en wormen. 3.10. Virus In de strikte zin van het woord is een informaticavirus een softwareprogramma dat geschreven werd om zich te verspreiden naar andere computers door zich in legitieme gegevens of programma s te nestelen, de zogenaamde hosts. Een informaticavirus kan de werking van de besmette computer in P 5
meer of mindere mate verstoren en er zo toe leiden dat er (al dan niet opzettelijk) schade wordt toegebracht aan de computer. Het virus kan zich verspreiden via elk middel aan de hand waarvan digitale gegevens kunnen worden uitgewisseld, zoals het internet, diskettes, cd-roms, USB-sleutels, enz. Informaticavirussen mogen niet worden verward met wormen. Wormen zijn programma s die zichzelf kunnen verspreiden en voortplanten zonder daarbij een gastprogramma (host program) aan te tasten. 3.11. Worm In tegenstelling tot een informaticavirus heeft een worm geen gastprogramma nodig om zich voort te planten. Een worm gebruikt daarentegen de verschillende bestaande of beschikbare middelen om zich voort te planten. De definitie van een worm omvat enkel de manier waarop de worm zich van computer naar computer verspreidt, maar het eigenlijke doel van dergelijke programma s kan veel verder liggen dan het zich louter voortplanten. Het doel van een worm kan er namelijk in bestaan te spioneren, een verborgen toegangspunt (backdoor) te openen, gegevens te vernietigen, schade aan te richten, een website te overspoelen met requests zodat de site het begeeft, enz. Een worm kan ook als neveneffect hebben dat de besmette computer of het netwerk trager functioneert, dat er diensten crashen of dat het systeem crasht, enz. Wormen die in de vorm van scripten zijn geschreven, kunnen zich in een e-mail of op een HTMLinternetpagina nestelen. Ze worden dan geactiveerd door handelingen van de gebruiker die denkt dat hij informatie raadpleegt die voor hem bestemd is en volledig betrouwbaar is. 3.12. Trojan (Trojaans paard) Een Trojan horse is een ogenschijnlijk legitieme software die in werkelijkheid ontwikkeld werd om heimelijk (op een verborgen manier) handelingen uit te voeren zonder dat de gebruiker hiervan weet heeft. Over het algemeen probeert een Trojan horse de rechten van zijn omgeving te gebruiken om gegevens te stelen, te verspreiden of te vernietigen, of om een backdoor te openen waardoor een hacker van op afstand de controle over de computer kan overnemen. Een Trojan horse is geen informaticavirus in die zin dat het zich niet zelf voortplant, wat wel een essentieel kenmerk is om een software als een virus te kunnen beschouwen. Een Trojan horse wordt echter ontwikkeld met de bedoeling dat het wordt verspreid bij het downloaden of kopiëren van een programma door naïeve gebruikers die aangetrokken worden door de functionaliteiten die het programma te bieden heeft. Een Trojan horse dient heel vaak om een backdoor op een computer te openen. Hierbij wordt dus schade berokkend aan de gebruiker doordat een hacker op elk moment van op afstand (via het internet) de controle over diens computer kan overnemen. Een Trojan horse bestaat uit twee afzonderlijke delen: het deel "server" en het deel "klant". Het deel klant is de component die naar het slachtoffer wordt verstuurd, terwijl het deel server op de computer van de hacker blijft. De component "klant" wordt via mail verstuurd in de vorm van een software-upgrade (bv. MSN, Adobe Photoshop, Safari, ), of in de vorm van een IQ-test of van een spel met winstoogmerk. Deze component kan zich kortom in talrijke vormen voordoen. Een Trojan horse sluipt dus de computer binnen en nestelt zich in de registry editor, van waaruit het een backdoor opent in de computer en een verbinding met de computer van de hacker tot stand brengt. De component server zorgt voor het versturen van de gegevens. De hacker kan zelf de commando s bepalen die hij op een pc wenst uit te voeren (hij kan de muis en het toetsenbord controleren, maar ook afprinten, de harde schijf formatteren, een webcam activeren, enz.). Het onderscheid tussen een Trojan horse, spyware, een keylogger en een backdoor is dus vaak slechts een kwestie van woordgebruik en hangt vaak af van de context. P 6
3.13. SPAM De term SPAM duidt aan dat er massaal een mededeling wordt verzonden voor reclame- of malafide doeleinden, meer bepaald in de vorm van ongewenste e-mail aan de ontvangers. Het niveau van relevantie dat aan een spambericht wordt toegekend, varieert van gebruik tot gebruik. De associatie van SPAM met ongewenst is ontstaan uit een komische sketch van Monty Python, waarin datzelfde woord, dat in deze context hesp van slechte kwaliteit in blik aanduidde, de conversatie en de menukaart van een restaurantje ging overheersen. Deze sketch was bovendien een parodie op één van de eerste vormen van ongewenste berichten. De sketch was immers gebaseerd op een radiospot waarin publiciteit werd gemaakt voor SPAM en waarin de naam van het merk meermaals werd herhaald. SPAMS bevatten over het algemeen reclame voor verschillende diensten en producten, waaronder pornodiensten, medicijnen, financieel krediet, online casino s, namaakhorloges, enz. Deze ongewenste berichten worden meestal voortgebracht door schadelijke software die een systeem (systemen) heeft aangetast. Deze software gebruikt over het algemeen een eigen interne motor om SPAMS te verspreiden. In sommige gevallen kan de software echter ook gebruik maken van het e-mailsysteem dat reeds op het besmette systeem (systemen) is geconfigureerd. De laatste evolutie van SPAM is phishing, een methode die erin bestaat de ontvanger te misleiden doordat de SPAM wordt verstuurd als een officieel bericht van diens bank of van eender welke dienst die met een paswoord is beschermd. Het doel is de persoonsgegevens van de ontvangers te achterhalen (met name paswoorden, een bankkaartnummer) door hen naar een nepsite te lokken die al hun acties registreert. 3.14. Phishing Phishing is een techniek die door fraudeurs wordt gebruikt om persoonlijke informatie te achterhalen, met als doel identiteitsfraude te plegen. De techniek bestaat erin het slachtoffer te doen geloven dat het zich tot een trusted third party richt (bank, overheid, enz.), om zo zijn persoonlijke gegevens te ontfutselen (paswoord, kredietkaartnummer, geboortedatum enz.). Het is een soort van informaticaaanval op basis van social engineering. Phishing of het ontfutselen van gegevens kan gebeuren via e-mail, valse websites of andere elektronische middelen. 3.15. Hoax In de informatica komen fopberichten of hoax vaak voor als e-mail of als eenvoudige kettingbrief. In dit laatste geval versterkt het internet enkel een fenomeen dat al langer in de traditionele post bestond. Het woord hoax is een vereenvoudiging van het eerste woord van de uitdrukking hocus pocus, wat bedrog of oplichting betekent. In tegenstelling tot SPAMS, die meestal automatisch worden verzonden naar een lijst van ontvangers, worden hoax handmatig doorgestuurd door mensen die te goeder trouw handelen en het bericht doorzenden aan al hun kennissen of aan een welbepaald e-mailadres. Hoax gebruiken vaak dezelfde methode als urban legends (stadslegendes). In dat geval verspreiden ze zich door forwarden, waardoor hun impact en publiek nog vergroten. Er wordt geprobeerd om op een nogal grove manier op uw gevoel in te spelen: red Brian! De aangehaalde feiten zijn over het algemeen zeer vaag ( in Brazilië bijvoorbeeld, zonder meer details, of binnen drie maanden, zonder begindatum). Er worden over het algemeen geen referenties gegeven of de referenties zijn te gewichtig (het Pentagon, Microsoft, enz.). P 7
Er worden u buitensporige beloftes gemaakt die inspelen op de ongelijkheid in de wereld van vandaag: snel en gemakkelijk miljardair worden, een boot winnen, enz. U ontvangt alarmerende berichten of valse virusalarmen, die als doel hebben paniek te zaaien bij nieuwe gebruikers en hen soms ook aan te zetten tot gevaarlijke handelingen in hun informaticasysteem (voorbeelden: Opgelet, dit virus vernietigt alle gegevens op de harde schijf, Ultima de athenas). Er worden zeer veel e-mailadressen bekendgemaakt, aangezien gebruikers soms niet weten hoe ze deze adressen in bcc mode kunnen zetten. Spammers maken hier dankbaar gebruik van. Soms wordt u herhaaldelijk gerustgesteld met de boodschap dat het geen hoax betreft en dat één van uw vrienden overtuigd werd door het bericht. Natuurlijk ligt hierin geen waarheid. Soms ontvangt u verrassende reclameberichten waarin u wordt beloofd dat u flessen champagne van een duur merk of bordeauxwijnen van een bekend kasteel of een ander cadeau zal ontvangen indien u de e-mail naar twintig adressen uit uw adressenlijst doorstuurt. Dan bestaat er ook nog een variant, de zogenaamde viroax, een combinatie van een virus en een hoax. De viroax speelt in op de goedgelovigheid van de ontvanger en zet hem ertoe aan een bestand op zijn computer te verwijderen, door hem te doen geloven dat het om een virus gaat. Dit bestand kan echter noodzakelijk zijn voor de werking van het besturingssysteem, het antivirussysteem of de firewall. Soms wordt het initiële bericht jammer genoeg geheel te goeder trouw verstuurd (verkoop van pups, verdwijning van een persoon, verzoek om beenmerg af te staan, ), maar wordt het vervolgens nog jaren talrijke malen doorgestuurd door een massa personen (en zeer vaak zelfs gewijzigd), lang nadat het probleem al werd opgelost. Men neemt zo dus eigenlijk deel aan de massale verspreiding van persoonlijke gegevens over personen die zodanig worden overspoeld door de gebeurtenissen dat ze hun e-mailadres, telefoonnummer enz. dienen af te sluiten om opnieuw rust te vinden. Zowel verenigingen, instellingen als ziekenhuizen werden hier reeds het slachtoffer van (bijvoorbeeld de American Cancer Society). 3.16. Social engineering Social engineering is een vorm van oplichting in de informatica, met als doel een voorwerp te bekomen of gegevens te achterhalen. Deze praktijk tracht door middel van sociale contacten gegevens in verband met gebruikte systemen te achterhalen. Met zijn kennis en charisma of durf, of door middel van bedrog maakt de hacker misbruik van het vertrouwen, de onwetendheid of de goedgelovigheid van degenen van wie hij iets probeert te bekomen. In zijn werk L art de la supercherie theoretiseert en populariseert Kevin Mitnick deze praktijk, die zich richt op de menselijke factor van een informaticasysteem om zo het systeem onveilig te maken. De term social engineering wordt vooral gebruikt in het informaticajargon om de methodes aan te duiden die informaticahackers volgen (categorie van de Black-hathackers) om toegang te verwerven tot een informaticasysteem of om simpelweg hun nieuwsgierigheid te bevredigen. Tegenwoordig worden er inspanningen geleverd om de gebruikers van beveiligde informaticasystemen op te leiden en voor te bereiden op dergelijke praktijken. De departementen informaticabeheer verspreiden documenten waarin de basisveiligheidsregels worden beschreven: de manier om een paswoord te kiezen dat lang genoeg is en dat niet in het woordenboek staat, de raad om nooit je paswoord aan iemand te geven, zelfs niet aan een medewerker van het informaticadepartement, enz. Binnen de grootste organisaties worden van tijd tot tijd conferenties georganiseerd met specialisten inzake informatie en informaticaveiligheid, om de gebruikers meer bewust te maken van de gevaren. De bedoeling van deze opleidingen is de werknemers erop attent te maken niet per ongeluk gevoelige informatie te onthullen, en alarm te slaan bij een poging tot ontfutseling van dergelijke informatie. P 8
4. Indeling van het gebruik van de toegang tot het internet. Het internet is een communicatiemiddel dat op twee manieren kan worden gebruikt, namelijk privé of beroepsmatig. Omwille van veiligheidsredenen dienen de volgende regels echter te worden toegepast. Bij het gebruik van het internet dient elke gebruiker rekening te houden met de noodzaak om de vertrouwelijkheid en de integriteit van de informatie die hij raadpleegt, te respecteren. 4.1. Professioneel gebruik Indien dit nodig blijkt voor de uitvoering van hun taken binnen de instelling, zullen de medewerkers onder de door de hiërarchie opgelegde voorwaarden over een toegang tot het internet beschikken. Elk gebruik van het internet dient gepast te zijn en in overeenstemming met de activiteiten van de persoon binnen deze instelling te gebeuren. Het is verboden om via het internet andere e-mailsystemen te gebruiken dan deze die door de instelling ter beschikking worden gesteld of toegestaan zijn. 4.2. Privégebruik Een beperkt gebruik van het internet voor privédoeleinden is toegestaan binnen redelijke perken en voor zover de bezochte websites niet in strijd zijn met de wet en verenigbaar met een professioneel kader. 5. Gedragscode 5.1. Vertrouwelijke gegevens Elke elektronische overdracht van persoonsgegevens of medische gegevens mag enkel gebeuren via de informatiesystemen die door de bevoegde sectorale comités werden bepaald en goedgekeurd. Wanneer andere vertrouwelijke gegevens op elektronische wijze worden overgemaakt, dienen de gepaste maatregelen te worden getroffen om de vertrouwelijkheid en de integriteit van de overgemaakte gegevens te waarborgen, met inachtneming van de van kracht zijnde wetgevingen en reglementen (Kruispuntbank van de Sociale Zekerheid, Rijksregister van de natuurlijke personen, Bescherming van persoonsgegevens, ). 5.2. Rechten en plichten De instelling respecteert het recht op bescherming van de persoonlijke levenssfeer waarover de gebruikers van het internet beschikken in het kader van de arbeidsrelatie en van de rechten en plichten die deze relatie met zich meebrengt voor alle partijen. De gebruikers van het systeem voor de toegang tot het internet erkennen het principe volgens hetwelk de instelling het recht heeft controle uit te oefenen op de werktool en op het gebruik ervan door de werknemers in het kader van de uitoefening van hun contractuele verplichtingen, ook wanneer dit gebruik onder de persoonlijke levenssfeer valt. P 9
Alle gebruikers dienen zich bewust te zijn van het feit dat de toegang tot het internet gefilterd, gecontroleerd, opgeslagen en geanalyseerd kan worden in overeenstemming met de ter zake geldende Belgische wetgeving, onder meer de collectieve arbeidsovereenkomst nr. 81 indien van toepassing. De instelling behoudt zich bijgevolg het recht voor om de toegang te blokkeren tot internetsites die volgens de criteria bepaald in punt 5.4 Gebruiksverbod als ongepast worden beschouwd. 5.3. Ethiek Alle gebruikers van het internettoegangssysteem van de instelling zijn verantwoordelijk voor de ethische aspecten m.b.t. dit gebruik en dienen dit systeem dus te gebruiken als goede huisvader. 5.4. Gebruiksverbod Het gebruik van het systeem voor de toegang tot het internet vanuit de instelling is in de volgende gevallen of in gelijkaardige gevallen verboden (niet exhaustieve opsomming): raadpleging van websites die aanzetten tot betrokkenheid bij illegale, frauduleuze of kwaadwillige activiteiten; mededeling van gegevens die auteursrechtelijk beschermd zijn; raadpleging van websites die aanzetten tot laster en eerroof; raadpleging van websites die informatie met een aanstootgevend, obsceen, pornografisch, raciaal of onterend karakter bevatten; raadpleging van websites die informatie met een beledigend, kwetsend en/of bedreigend karakter bevatten; raadpleging van websites die aanzetten tot het overtreden van de wet; raadpleging van websites die aanzetten tot pesten op grond van geslacht, ras, nationaliteit, fysiek vermogen en andere; mededeling via interactieve sites van feiten die verband houden met 2 : o de veiligheid van het land; o de bescherming van de openbare orde; o de financiële belangen van de overheid; o het voorkomen en het bestraffen van strafbare feiten; o het medisch beroepsgeheim; o de rechten en vrijheden van de burger; o de eerbiediging van de persoonlijke levenssfeer; o de voorbereiding van beslissingen zolang er nog geen eindbeslissing is genomen. Het internet mag niet worden gebruikt om de intellectuele eigendomsrechten van eender welke partij te schenden. Deze rechten omvatten de reproductierechten, het merkenrecht, het publiciteitsrecht en het privaat recht. De medewerkers mogen niet proberen om de mechanismes te omzeilen die geïmplementeerd werden om deze intellectuele eigendomsrechten te beschermen. Elke aanval op de informaticasystemen en de netwerken is strikt verboden. Het onevenredig en onredelijk gebruik van de middelen van de instelling is verboden. Zo is het onder meer verboden om: zware bestanden (video s, spelletjes, muziek, ) te downloaden; systemen te gebruiken die gebruik maken van breedband (streaming video en radio, online spelletjes, ); 2 Deze verbodslijst werd overgenomen uit artikel 11 van het federale ambtenarenstatuut (KB 2/10/1937) en uit de rondzendbrief 573 tot regeling van de deontologische code in het federaal openbaar ambt. P 10
websites te raadplegen die veel systeemcapaciteit opeisen (commerciële websites, websites voor het delen van beelden, websites waarop voortdurend filmpjes worden afgespeeld,...). 5.5. Publicatie 5.5.1. Publicatie op de websites van de instelling Er dient een gepaste procedure te worden vastgelegd voor de publicatie op de (interne en externe) websites van de instelling. Deze procedure dient ten minste betrekking te hebben op: de goedkeuring van de inhoud; de bijwerking van de inhoud; in voorkomend geval de bepaling van de verantwoordelijkheden wanneer er op externe vragen dient te worden geantwoord. Indien een medewerker kennis heeft van welke schade ook die aan de webpagina s van de instelling werd toegebracht, dient hij de gebruikershelpdesk hiervan op de hoogte te brengen (bijvoorbeeld bij website defacement). De veiligheidsconsulent dient ervoor te zorgen dat er een gedetailleerde procedure voor de behandeling van incidenten wordt vastgelegd en dat deze wordt meegedeeld. 5.5.2. Externe publicatie Elke mededeling van gegevens die rechtstreeks dan wel onrechtstreeks een invloed heeft op de instelling, in het kader van een professionele of privérelatie, op eender welke wijze (forum, e-mail, website, blog, sociaal netwerk,...), moet worden goedgekeurd door de communicatiedienst, het algemeen bestuur, of zelfs door de verantwoordelijke voor het dagelijks beheer van de instelling. 5.6. Ontwikkeling van webtoepassingen door de ICT De ontwikkelde webtoepassingen zijn bijzonder kwetsbaar aangezien ze aan een groot aantal potentiële aanvallers worden blootgesteld. Het is dus van essentieel belang dat deze toepassingen volgens de regels van de kunst worden ontwikkeld. Er dient in het bijzonder aandacht te worden besteed aan de methodologie voor projectbeheer (ontwikkelingscyclus, testen, ), aan het veilige gebruik van programmatietechnieken en aan de correcte integratie van de nieuwe toepassingen op de bestaande infrastructuur. 6. Beveiliging van de internettoegang Enkel het bevoegde personeel mag gebruik maken van de toegang tot internetbronnen vanaf de installaties van de instelling. Deze toegang dient goed gedefinieerd te zijn, enkel voor een gerechtvaardigd doeleinde te worden gebruikt en in overeenstemming te zijn met de van kracht zijnde wetten en reglementeringen. De instelling dient verschillende veiligheidsvoorzieningen te implementeren om zich te wapenen tegen elke aanval, zowel intern als extern. Elke poging tot deactivering, wijziging van de configuratie, omzeiling van de beveiligingssystemen is dan ook verboden. De socialezekerheidsinstellingen dienen de minimale veiligheidsnormen na te leven voor hun toegang tot het internet. De instellingen van het primaire netwerk dienen meer bepaald het extranet van de KSZ te gebruiken voor hun internetverbindingen (Minimale normen, 10.3), aangezien het extranet over aangepaste beschermingsmaatregelen beschikt. P 11
6.1. Bescherming van de systemen van de eindgebruiker Alle systemen die als werkstation worden gebruikt, dienen op een zodanige manier te worden geconfigureerd dat de nodige veiligheidsniveaus zoals beschreven in de policies beveiliging van de werkstations (ISMS.039.Workstation) en gebruik van een portable pc (ISMS.025.laptop) worden bereikt. 6.2. Toegangssysteem Het toegangssysteem omvat alle elementen tussen het verbindingspunt met het internet en het systeem of de toepassing dat/die door de eindgebruiker wordt gebruikt. Deze systemen worden niet noodzakelijk door de instelling zelf beheerd, maar blijven wel haar verantwoordelijkheid (bv. extranet van de sociale zekerheid voor de instellingen van het primaire netwerk). De internettoegangsinfrastructuur die door de instelling werd geïmplementeerd, dient het principe van beveiliging op alle niveaus te volgen ( defence in depth ). Naast de beveiliging die het extranet biedt, zou de instelling bijvoorbeeld: - de toegang kunnen beperken op het niveau van de ingangsrouters, door een controle op de inkomende en uitgaande stromen (IP-adressen en poorten, protocols, enz.) uit te voeren; - een DMZ kunnen installeren; - firewalls, een proxy en/of reverse proxy kunnen installeren en configureren; - de informatiestromen kunnen beveiligen in functie van hun graad van vertrouwelijkheid. Voor de overdracht van gevoelige informatie via het internet dient het toegangssysteem beveiligingen te implementeren (codering van de verbindingen, authenticatie van de gebruikers, gebruik van SFTP in plaats van FTP, ); - een IPS (intrusion prevention system) kunnen implementeren; - tools voor web content filtering en antimalwaresystemen kunnen implementeren; - een systeem voor actieve monitoring te gebruiken dat toelaat de internetactiviteiten op te volgen; - procedures kunnen implementeren voor het beheer van de configuraties, de wijzigingen, de capaciteit en de continuïteit van de verschillende aangehaalde systemen. 7. Gids voor goede praktijken voor de eindgebruiker 7.1. Surfen op het internet Onder surfen wordt verstaan het raadplegen van websites en het verzamelen van informatie via voorgestelde linken en opzoekingen via gespecialiseerde websites (zoekmotors en directories) met als doel relevante informatie in te zamelen die aan de behoefte van de gebruiker beantwoordt. 7.1.1. Bescherming tegen schadelijke websites Bij het surfen op het internet wordt men vaak geconfronteerd met aanvallen via websites die een bijzonder risico inhouden. P 12
Hierbij enkele tips om onaangename verrassingen te vermijden: vermijd onprofessionele websites. Meent u dat de site niet die van het bedrijf/de instelling is dat/die u voor ogen had, verlaat dan de site; controleer systematisch de URL-adressen waarop u zich verbindt; één van de kenmerken van phishing is immers het gebruik van URL-adressen die bijna identiek zijn aan die van de officiële websites. Sluit uw sessie indien u twijfelt; ga niet in op pop-upvensters of ongevraagde reclameberichten; deze leiden vaak naar verdachte sites; controleer de mogelijkheden voor de uitvoering van scripts en controles, deze vormen immers vaak een toegangspunt voor virussen en Trojans; wijzig de configuratie van uw browser niet, enkel de systeemverantwoordelijke heeft het recht om de voorwaarden voor het internetgebruik te bepalen; deactiveer nooit de beveiligingssoftware (antivirus, antispam, firewall, ). 7.1.2. Kwaliteit van de informatie Het internet is een essentieel middel binnen de instelling voor het opzoeken en inzamelen van informatie. De kwaliteit en hoeveelheid van deze gegevensinzameling kan sterk verschillen en een kritische geest van de gebruiker is vereist om problemen bij het gebruik van de gevonden informatie te vermijden. Hierbij enkele tips voor het surfen: het gebruik van zoekmotors (google, yahoo, bing, ) kan soms verrassende resultaten opleveren, beperk u niet tot één opzoekingskanaal; controleer steeds de geldigheid en vertrouwelijkheid van de verzamelde informatie, vergelijk de bronnen om ervoor te zorgen dat u over kwaliteitsvolle informatie beschikt; vermeld steeds uw bronnen wanneer u de gegevens gebruikt; controleer de eventuele vertrouwelijkheidsclausules (beveiligde sites) en de clausules over de auteurs- of kopierechten. Vergeet niet om indien nodig de kopierechten aan te vragen; respecteer de principes uit de Gedragscode (zie hoofdstuk 5). 7.2. Deelname aan discussies Hieronder wordt verstaan elke vorm van interactie met de internetgemeenschap, zoals het online publiceren van informatie, in eender welke vorm en eender welke context, het delen van documenten, het deelnemen aan forums, het gebruik van sociale netwerken, enz. Het internet is een belangrijke informatiebron voor kwaadwillige personen, aangezien het een schat aan informatie bevat die door gebruikers werd gepost en die ogenschijnlijk onschuldig is, maar die heel wat inlichtingen kan bevatten voor iemand die bij de pinken is. 7.2.1. Risico s Hierbij enkele concrete voorbeelden van risico s: persoonlijke informatie die u publiceert (adres, leeftijd, telefoonnummers, e-mailadres,...) kan, wanneer ze wordt gebruikt in combinatie met de gegevens die door de instelling werden gepubliceerd (functie, contactgegevens, deelname aan externe activiteiten, ), het gemakkelijker maken voor oplichters om identiteitsfraude te plegen of om aan social engineering te doen; de mededelingen die u doet aan een 'vriendengroep' kunnen zichtbaar zijn of worden bekendgemaakt aan een grotere groep en zelfs over heel het internet worden verspreid; de professionele informatie die u verspreidt kan, wanneer ze te specifiek is, kostbare aanwijzingen bevatten over de zwaktes van de instelling (bv. een anekdote over de slechte ontvangst van bezoekers); P 13
discussieforums voor informaticaprofessionals (bv. Java-ontwikkelaars) worden vaak bezocht door hackers die op zoek zijn naar zwakke punten in de beveiliging of gewoonweg configuratiegegevens (software en versie waarvan ze de zwakke punten kennen) zodat ze de informatiesystemen van uw instelling gemakkelijker kunnen aanvallen; bij het delen of publiceren van documenten dient u te letten op de inhoud van de aanverwante 'metagegevens' aangezien deze gegevens vertrouwelijke' informatie kunnen bevatten over de personen of informatiesystemen die de documenten verwerkt hebben; sommige uitnodigingen of verzoeken die men op forums vindt, werden vaak gepubliceerd met als doel de e-mailadressen in te zamelen van de personen met wie u in contact bent gekomen, om zo gemakkelijker SPAM te kunnen verspreiden. 7.2.2. Preventie Hierbij enkele nuttige tips om het risico dat de informatie die u publiceert kwaadwillig wordt gebruikt, te beperken: wees u ervan bewust dat alles wat u publiceert voor de hele wereld toegankelijk is; publiceer geen informatie over de activa van de instelling (aard van de dossiers, beveiligingssystemen, softwareversies enz.); respecteer in alle omstandigheden de nettiquette : gebruik gepaste taal, een kalme en rustige toon; herinnering: de lijst van verboden acties in 5.4 is hier vanzelfsprekend van toepassing; een officiële mededeling moet worden gevalideerd door het algemeen bestuur, via de communicatiedienst. Deze mededeling moet namens de instelling gebeuren; geef niet te veel professionele informatie prijs die een aanduiding bevat over uw functie en instelling. Bv.: gebruik bij mededelingen een pseudoniem aan de hand waarvan noch u noch uw instelling geïdentificeerd kan worden. 7.3. Beveiliging van de transacties Het internet wordt meer en meer gebruikt als hulpmiddel waarmee u toegang krijgt tot de toepassingen en tot de gegevens die via deze toepassingen toegankelijk zijn. Om de naleving van de bescherming van deze vertrouwelijke informatie te waarborgen, werden veiligheidsmaatregelen geïmplementeerd. De eindgebruiker dient ook bij te dragen aan de veiligheid door de volgende regels in acht te nemen: de identificatie- en authenticatiemiddelen (gebruikersnaam, paswoord, token, rsa-sleutel, elektronisch certificaat, ) zijn strikt persoonlijk en vertrouwelijk. Informatie of materiaal dat/die personen of entiteiten identificeren of authenticeren, mag niet aan anderen worden overgemaakt; een login op een site voor gevoelige transacties is over het algemeen beveiligd met het HTTPS-protocol. Ga na of de URL van de loginpagina wel degelijk gebruik maakt van dit type toegang; de sites die door een elektronisch certificaat worden geauthentificeerd, kunnen eveneens worden gecontroleerd. Het certificaat moet geldig zijn (niet vervallen, uitgereikt en geauthentificeerd door een erkende certificatieautoriteit). Deze informatie is beschikbaar via het icoon slot, rechts van het adres van de site; professionele sites vragen u nooit om uw gebruikersnaam en paswoord opnieuw in te voeren nadat u een profiel hebt aangemaakt. Indien u in een mail of op een internetpagina wordt gevraagd om u aan te melden op een pagina om uw gegevens te bevestigen, heeft u waarschijnlijk te maken met een poging tot phishing. Ga niet in op dergelijke vragen en deel alle informatie waarover u beschikt aan uw veiligheidsconsulent mee. P 14
8. Controles en sancties 8.1. Controles De instelling wordt aangeraden een globaal controlesysteem te implementeren aan de hand waarvan de onderstaande doeleinden kunnen worden gecontroleerd: de preventie van ongeoorloofde feiten of van feiten die indruisen tegen de goede zeden of die de waardigheid van andere personen kunnen aantasten; (bv.: het hacken van computers, het op ongeoorloofde wijze kennis nemen van elektronische onlinecommunicatiegegevens inzake personeelsbeheer of van vertrouwelijke medische bestanden, het raadplegen van pornografische of pedofiele websites alsook van websites die aanzetten tot discriminatie, rassenscheiding, haat of geweld jegens een groep, een gemeenschap of de leden ervan, wegens ras, huidskleur, afkomst, religie of nationale of etnische afstemming van deze leden); de bescherming van de belangen van de instelling; de veiligheid en/of de goede technische werking van de online functionerende informaticasystemen van de instelling, met inbegrip van de controle van de kosten die daarop betrekking hebben, alsmede de fysieke bescherming van de installaties van de instelling; de naleving te goeder trouw van de principes en regels voor het gebruik van de onlinetechnologieën. 8.2. Modaliteiten voor de individualisering van de elektronische communicatiegegevens Het bestuur mag zonder formaliteiten kennis nemen van de gegevens van toepassing op het object, of op de inhoud van de elektronische on-linecommunicatiegegevens waarvan het beroepsmatige karakter niet in twijfel wordt getrokken. In andere gevallen kan een individualisering gebeuren volgens volgende modaliteiten. Directe individualisering Indien de werkgever naar aanleiding van een globale controle of op basis van een officiële klacht die goedgekeurd werd door de verantwoordelijke voor het dagelijks bestuur onregelmatigheden vaststelt in het kader van de controledoeleinden vermeld in de eerste drie punten van paragraaf 8.1, heeft hij het recht de gegevens direct te individualiseren teneinde de identiteit te achterhalen van de perso(o)n(en) die verantwoordelijk is (zijn) voor de onregelmatigheid. Indirecte individualisering mits de inachtneming van een voorafgaande informatiefase Als de doelstelling echter verband houdt met het te goeder trouw naleven van de in de onderneming geldende regels en beginselen inzake het gebruik van de technologieën, moet een alarmbelprocedure in acht worden genomen die hoofdzakelijk bestaat uit een voorlichting aan de werknemer, waarbij deze beginselen en regels nog eens worden verduidelijkt, benadrukt of in herinnering worden gebracht. De individualisering gebeurt volgens een driestappenprocedure: o Voorafgaande voorlichting P 15
Het bestuur brengt de gebruikers vóór elke individualisering op de hoogte van de nietnaleving van één van de in de onderneming vastgestelde gebruiksregels. Deze voorlichting heeft tot doel de gebruiker(s) op een duidelijke en begrijpelijke wijze in te lichten over het bestaan van de onregelmatigheid en over het feit dat de elektronische onlinecommunicatiegegevens geïndividualiseerd zullen worden wanneer een dergelijke onregelmatigheid opnieuw vastgesteld wordt. o Geïndividualiseerde controle Wanneer er opnieuw een onregelmatigheid vastgesteld wordt, kan het bestuur overgaan tot een geïndividualiseerde controle teneinde de identiteit op te sporen van de persoon (of personen) die verantwoordelijk is (zijn) voor de onregelmatigheid. o Opvolging van het incident In het kader van de incidentopvolging verbindt de instelling zich ertoe de wetten en reglementen die van kracht zijn binnen de instelling na te leven. Een procedurevoorstel in lijn met de CAO81 bestaat er evenwel in dat de administrateurgeneraal of een bestuurslid in het kader van een tegensprekelijke procedure de aldus geïdentificeerde gebruiker de mogelijkheid geeft om tijdens een onderhoud uitleg te geven. Dit onderhoud heeft plaats vóór iedere beslissing of evaluatie die de gebruiker individueel kan raken. Het onderhoud heeft tot doel de gebruiker de kans te geven zijn bezwaren met betrekking tot de voorgenomen beslissing of evaluatie uiteen te zetten en het gebruik van de hem ter beschikking gestelde elektronische onlinecommunicatiemiddelen te rechtvaardigen. Tijdens dit onderhoud kan de gebruiker zich eventueel, op zijn verzoek, laten bijstaan door zijn vakbondsafgevaardigde. 8.3. Sancties De vastgestelde inbreuken leiden tot de tucht- of strafsancties die van toepassing zijn krachtens de van kracht zijnde wetten, richtlijnen en reglementeringen, en in het bijzonder krachtens het (de) arbeidsreglement(en) en de collectieve arbeidsovereenkomst (naargelang het geval) van de instelling. P 16