BELGISCHE SENAAT
________
Zitting 2012-2013
________
24 september 2013
________
SENAAT Schriftelijke vraag nr. 5-9914

de Nele Lijnen (Open Vld)

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van FinanciŽn en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________
Cybercrime - cijfers - hacking
________
computercriminaliteit
ministerie
gegevensbescherming
________
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9915
________
SENAAT Schriftelijke vraag nr. 5-9914 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

Antwoord ontvangen op 13 november 2013 :

Hieronder kan ik u de gegevens meedelen die betrekking hebben op de Federale Overheidsdienst (FOD) P&O en de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT).

1)et 2) Fedict heeft in 2012 zeven pogingen en in 2013 geen enkele poging tot denial of service moeten bestrijden. Er werd geen enkel ander type aanval of “cybercrime” gedetecteerd. Dit betekent echter niet dat het aantal aanvallen verminderd is. Fedict heeft zijn infrastructuur robuuster gemaakt, er werden pogingen tot aanvallen ondernomen maar deze hebben geen aanleiding gegeven tot een effectieve risicoverhoging voor Fedict.De enige vaststelling die werd gemaakt was dat het netwerkverkeer het normale volume ruim had overschreden. Er werden voor 2012 geen statistieken bijgehouden over het aantal aanvallen op de systemen van Fedict.

Voor wat P&O betreft, heeft alleen Selor vroeger mislukte cyberaanvallen gedetecteerd. Die hebben geen enkele invloed gehad op de integriteit van de gegevens, noch op de gebruikers. Sindsdien werden er ononderbroken verbeteringen aan de IT-infrastructuur aangebracht en werd er geen enkel geval meer gemeld. P&O beschikt niet over cijfers, een dergelijk incident heeft zich niet voorgedaan. Het is wel mogelijk om gegevens uit de firewall op te vragen indien er een incident plaatsvindt.

3) Fedict heeft een aantal aanvallen moeten bestrijden die tot doel hadden bepaalde diensten van Fedict te verstoren. Tot hiertoe werden geen aanvallen vastgesteld die tot doel hadden informatie te stelen. Voor wat P&O betreft, zoals in antwoord 1 reeds werd vermeld, hebben de aanvallen tot op vandaag geen invloed gehad op de systemen, noch op de integriteit van de gegevens.

4) De systemen van Fedict worden beschermd op basis van zogenaamde “best practices” en dus ook op basis van een evaluatie van de risico’s. Deze systemen worden continu gemonitord. Momenteel betekent dit dat er periodiek technische vulnerability scans uitgevoerd worden en dat er intrusion detectiesystemen en web-application firewalls ingezet worden. Daarnaast worden applicaties, serverinfrastructuur en netwerk gescheiden beheerd, een zgn. segregation of duties. Bij de vernieuwing van de datacenterinfrastructuur, die voorzien is voor 2014, wordt er aanzienlijk meer nadruk gelegd op het detecteren, classificeren en filteren van verdachte patronen, zowel op netwerkniveau als op de systemen. Bovendien wordt een nog betere “segregation of duties” uitgewerkt. Wat de bureautica-infrastructuur betreft, deze wordt door Fedict Shared services geregeld. Deze infrastructuur wordt binnen de budgettaire limieten systematisch vernieuwd. Parallel hiermee worden, op basis van de evolutie in de aard van de bedreigingen, tevens het veiligheidsbeleid en de controle op anomalieën in de gegevensstromen zo nodig bijgestuurd en wordt de rapportering verfijnd. Dit alles gebeurt in overleg met interne en externe veiligheidsexperten.

De systemen van P&O worden regelmatig vernieuwd : infrastructuur (Fedict-ssl webcertificaten, DMZ, firewall, proxy, sftp server) en software en logiciels (Firewall, mailrelay, reverse-proxy,…). Zoals bij Fedict, wordt de infrastructuur continu gemonitord.

5) Bij een cyberaanval wordt eerst een analyse uitgevoerd om vast te stellen welk type aanval het betreft. Op basis van deze analyse worden de nodige elementen verzameld zoals het tijdstip en de zgn. logs. Ondertussen worden de nodige stappen genomen om de aanval af te slaan.

6) Voor zes op de twaalf aanvallen ontdekt in 2012 heeft Fedict een dossier bij de Federal Computer Crime Unit (FCCU) ingediend. Voor de andere zes pogingen werd geen klacht ingediend omdat er geen effectieve schade was voor Fedict. Er werd enkel opgemerkt dat het netwerkverkeer sterk boven het normale volume gestegen was. P&O heeft tot nu toe geen spoor van cybercriminaliteit kunnen vaststellen.

7) Er is geen verplichting om aanvallen te melden aan Cert.be. Als coördinator van Cert.be verwittigt Fedict Cert.be altijd in zulke gevallen.

8) Al onze infrastructuren worden continu opgevolgd en de “tools” werden geüpdatet in functie van de recentste technologieën. Op vlak van inhoud behandelen Fedict en P&O bovendien zelf weinig gevoelige informatie. In deze context, kan ik stellen dat de kans dat onze diensten reeds ongemerkt aangevallen werden door cybercriminelen, door middel van flexibele en hoogtechnologische technieken, tamelijk laag is. Maar volledig uitsluiten kan ik dat niet.