Het Nederlandse Onderzoeksplatform Follow the Money maakte op 23 oktober 2017 bekend dat de beveiliging van diverse overheidssites waaronder de www.tweedekamer.nl en de Nederlandse Staatsveiligheid niet goed is en dat de e-mails die daarvandaan worden verstuurd gemakkelijk te vervalsen zijn. Na de publicatie van dit bericht nam de Tweede Kamer maatregelen om de grootste kwetsbaarheden in de beveiliging te verhelpen, maar ook veel andere adressen blijken te misbruiken : van de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) tot ministeries en zelfs energiebedrijven.

Het ministerie van Defensie neemt in ieder geval maatregelen om te voorkomen dat kwaadwillenden e-mailadressen kunnen aanmaken die eruitzien alsof ze van het ministerie zijn. Er bestaan meerdere technische systemen om dergelijke fopmail (e-mail spoofing) tegen te gaan. Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft die twee jaar geleden op een rij gezet, maar lang niet alle overheden hebben de adviezen van de experts opgevolgd.

Volgens de NCSC is geen diepgaande technische kennis nodig om iemand op deze manier op te lichten. Het gevaar schuilt erin dat de ontvanger denkt dat hij een e-mail krijgt van een betrouwbare organisatie en daarom bijvoorbeeld eerder op links zal klikken of gegevens zal delen.

Wat het transversale karakter van de vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die zijn opgenomen in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019 en werden besproken tijdens een Interministeriële Conferentie, waar ook de politionele en justitiële spelers aanwezig waren. Cybercrime is één van de transversale prioriteiten.

Graag had ik u dan ook volgende vragen voorgelegd :

1) Hoe reageert u op de dreiging die uitgaat van de mogelijkheid om nepmails te sturen vanuit diverse overheidsinstanties wier website niet beveiligd is ? Welke acties werden hieromtrent reeds concreet ondernomen of zullen worden ondernomen ?

2) Kunt u meedelen of, en zo ja, hoeveel maal er de laatste drie jaar nepmails vanwege overheidsinstanties via slecht beveiligde overheidssites werden verzonden ?

3) Bestaat er bij de recent opgerichte Cyber Security Operations Center of andere overheidsinstanties een overzicht van de technieken om dergelijke fopmail (e-mail spoofing) tegen te gaan, en zo ja, waar is die terug te vinden ? Zo neen, waarom niet en is het niet aangewezen om deze snel ter beschikking te stellen ? Kunt u dit toelichten ?

4) Kunt u meedelen of al de sites die uitgaan vanwege de federale overheid, en dan in het bijzonder de veiligheidsdiensten, minstens één systeem hebben geïmplementeerd om het versturen van nepmails vanuit deze overheidsinstanties tegen te gaan ? Kunt u dit toelichten ? Waren er reeds nepmails in omloop vanwege de politiediensten, Justitie of de Veiligheid van de Staat ? Kunt u dit desgevallend toelichten ?

1) Voor de federale overheidsdienst Beleid en Ondersteuning (FOD BOSA) is de veiligheid van de oplossingen die ze invoeren, waaronder de websites, belangrijk.

Ze hebben « audits » laten uitvoeren van de veiligheid van de websites die ze hosten. Daarnaast worden regelmatig verschillende veiligheids- of andere verbeteringen toegepast voor alle oplossingen die ze gebruiken, onder meer de websites. Deze verbeteringen betreffen zowel de operating systems als de ontwikkeloplossingen, de netwerken, de databanken, website hosting, enz.

2) Voor zover we weten, is de FOD BOSA niet het slachtoffer geweest van identiteitsdiefstal vanuit de websites die zij controleren.

Misschien werden er vanuit andere platformen nepmails verstuurd die de FOD BOSA nabootsen, maar ook in deze context beschikken we over geen enkele aanwijzing dat dergelijke acties werden uitgevoerd.

3) Het Centrum voor cybersecurity België (CCB) heeft een beschrijving van de algemene beveiligingsmaatregelen gepubliceerd in de vorm van een gids voor de kleine en middelgrote ondernemingen (KMO). Deze gids kan ook gebruikt worden door de administratie.

Het versturen van nepmails die de administratie nabootsen kan vanaf nagenoeg elke computer / tablet / smartphone die op internet aangesloten is zonder via een site van de administratie te moeten gaan. Er bestaan technieken die het detecteren vergemakkelijken van mails die niet echt uitgaan van de administratie. Deze bestaan bijvoorbeeld uit de systematische handtekening van de e-mails van de administratie door middel van certificaten die het mogelijk maken de authenticiteit van de verzender van de email te controleren. Naargelang van de gebruikte techniek kan deze handtekening zelfs automatisch gevalideerd worden door de e-mail-klanten van de ontvanger. Deze technieken zouden echter geen enkel effect hebben indien een lacune in de beveiliging van een website van de administratie het versturen van e-mails heeft toegelaten.

Ook al is deze informatie reeds ruim beschikbaar op het internet, toch kan de publicatie van informatie gewijd aan dit onderwerp interessant zijn, niet alleen voor de administratie maar voor alle organisaties of personen die verantwoordelijk zijn voor een website.

Deze informatie die uitgaat van de administratie zou idealiter gecentraliseerd moeten worden door het CCB, aangezien deze verantwoordelijkheid expliciet deel uitmaakt van zijn opdrachten.