BELGISCHE SENAAT
________
Zitting 2012-2013
________
24 september 2013
________
SENAAT Schriftelijke vraag nr. 5-9901

de Nele Lijnen (Open Vld)

aan de vice-eersteminister en minister van Pensioenen
________
Cybercrime - cijfers - hacking
________
computercriminaliteit
ministerie
gegevensbescherming
________
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________
SENAAT Schriftelijke vraag nr. 5-9901 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

Antwoord ontvangen op 13 november 2013 :

In antwoord op haar vragen heb ik de eer om het geachte lid het volgende mee te delen. 

Voor de RVP: 

1. Tot op heden heeft de RVP geen succesvolle aanval van hackers of cybercriminelen gedetecteerd. 

2. Voor de laatste jaren kunnen geen cijfers worden gegeven. De cijfers zijn cijfers betreffende aanvalspogingen die werden gedetecteerd en geblokkeerd. Er kunnen geen cijfers gegeven worden voor cyberaanvallen die niet werden geregistreerd (false negatives). De cijfers kunnen ook false positives omvatten. De cijfers werden niet genormaliseerd (1 aanval kan bestaan uit meerdere incidenten op meerdere infrastructuren, 1 aanval kan gelijktijdig geschieden vanuit verschillende geolocaties, de verschillende events worden niet gecorreleerd, verschillende interpretaties van het begrip ‘incident’ naar gelang het rapporteringstool , enz.).  

We kunnen geen regelmaat vaststellen, geen stijgende of een dalende lijn. 

Er kunnen voor de laatste 3 maanden cijfers gegeven worden voor : 

Aanvalspogingen op de web infrastructuur van de RVP (als aanvalspoging werd beschouwd alles wat als ‘error’ , ‘critical’ of hoger werd gemerkt):

  • Juli : 8103

  • Augustus : 25094

  • September: 19286 

Aanvalspogingen ontdekt op het vlak van de IDPS (op het netwerksegment tussen firewall en internet):

  • Juli : 44012

  • Augustus: 30975

  • September: 35042 

Anti-malware detectie :

  • Juli: 2

  • Augustus: 21

  • September:103 

3. De laatste jaren werd nog geen incident vastgesteld waarbij de impact substantieel was. 

De componenten die het vaakst werden aangevallen op het vlak van de infrastructuur zijn de webserver-infrastructuur en de pc-omgeving. 

In geval van nieuwe malware is er altijd evenwel een periode dat de infrastructuur niet beveiligd is, zolang de malware niet bekend is of de nodige updates nog niet werden uitgevoerd. Gedurende deze periode werd er geen schade vastgesteld. 

4. Tot nu toe worden enkel de klassieke veiligheidsmaatregelen toegepast, zoals firewall, IPDS, anti-virus, web application firewall, vpn, strong authentication en proxy.

De klassieke veiligheidsmaatregelen zijn soms nogal arbeidsintensief om een sluitend veiligheidsniveau te bereiken en hebben een grotere kans op false positives of negatives. Op het vlak van content security zijn de veiligheidsmaatregelen gebaseerd op signatures. Er zou meer op heuristische wijze moeten gedetecteerd en men zou meer moeten rekening houden met de modus operandi van de malware. Tevens zou er een betere correlatie dienen te geschieden tussen de verschillende incidenten op de veiligheidsinfrastructuur. 

Het veiligheidsbeleid zal worden aangepast, rekening houdend met de mogelijke dreigingen en de incidenten die zich hebben voorgedaan bij andere overheidsdiensten. Nieuwe technologieën zoals Advanced Persistent Threat Prevention, Intrusion Deception, Next Generation Firewall, Security Incident & Event Monitoring of Database Activity Monitoring werden geëvalueerd en indien mogelijk op de infrastructuur van de RVP uitgetest. 

De reden om de nieuwe technologieën nog niet toe te passen is te vinden in de precaire budgettaire situatie en de hoge kostprijs van de technologieën. 

5. Indien een cyberaanval wordt vastgesteld zal een afhandelingsprocedure worden gevolgd analoog aan afhandelingsprocedures in geval van ernstige technische incidenten. De belangrijkste verantwoordelijken (de leidende ambtenaar, de CIO en de CSO) worden op de hoogte gesteld. De omvang van het incident wordt ingeschat en bewarende maatregelen worden genomen. De modus operandi van de cyberaanval wordt geanalyseerd en de oorzaak van de besmetting wordt opgespoord. Besmette systemen worden onder quarantaine of buiten werking geplaatst. De logs worden voor forensische doeleinden gearchiveerd. Er wordt geëvalueerd hoe kan worden overgegaan tot  een normale werking van de infrastructuur.  

Indien het incident voor externe partijen gevolgen heeft, zullen deze op de hoogte gesteld worden. 

Er wordt tenslotte geëvalueerd of het incident voldoende ernstig is , om gerechtelijke stappen te ondernemen. 

6. Neen. Tot nu toe werden er nog geen incidenten van voldoende ernst vastgesteld die gerechtelijke stappen zouden rechtvaardigen, zoals bijvoorbeeld diefstal van alle vertrouwelijke gegevens op de centrale databank, zware schade aan de werking van de instelling, enz.

7. Heden is er geen verplichting om dergelijke aanvallen te melden aan Fedict of CERT.

In geval een incident van voldoende ernst zich voordoet  worden de Kruispuntbank voor de Sociale Zekerheid en het Extranet voor de Sociale Zekerheid op de hoogte gesteld. 

8. De RVP acht het realistisch dat een aantal cyberaanvallen onopgemerkt bleven.   

Voor PDOS: 

1. Op het vlak van cybercriminaliteit is de PDOS niet onmiddellijk onderhevig geweest aan aanvallen van hackers. 

2. Niet van toepassing. 

3. Niet van toepassing. 

4. Via de Rijksdienst voor Pensioenen is de PDOS aangesloten op het primair netwerk van de Sociale Zekerheid.   

De toegang tot het Internet is uitsluitend geregeld via beveiligde kanalen. Deze kanalen zijn geconfigureerd door Smals, beheerder van het extranet van de Sociale Zekerheid.  Er wordt gebruik gemaakt van de klassieke veiligheidsmaatregelen (firewall, gebruik van reverse proxy, installatie van anti-virus en anti-spam applicaties).   

De RVP heeft nog volgende bijkomende maatregelen voorzien: gebruik van gedemilitariseerde zones (DMZ), filteren van de toegangen via de firewall, gebruik van anti-virus op de servers en de lokale werkstations. Enkel de toestellen waarvoor de virusdefinities voldoende bijgewerkt zijn, hebben de toelating om zich met het netwerk te verbinden. 

5. De volgende procedure wordt toegepast:  

  • Evaluatie de omvang van het probleem en de aangetaste machines.

  • Afzondering van de aangetaste machine(s) van het netwerk om te voorkomen dat het probleem zich gaat uitbreiden.

  • Herstellen van de beveiliging van de betrokken componenten .

  • Testen van de nieuwe situatie.

  • Opnieuw verbinden van de aangetaste machine met het netwerk. 

6. Neen. 

7. In voorkomend geval zal deze problematiek samen worden behandeld met de Smals voor wat betreft het Extranet van de Sociale Zekerheid en met de RVP voor wat de toegangen op het lokale netwerk betreft. Op het vlak van de communicatieprocedures volgt de PDOS de lijn van zijn partners. 

8. Dergelijk geval lijkt weinig waarschijnlijk.