SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
24 janvier 2012 24 januari 2012
________________
Question écrite n° 5-5362 Schriftelijke vraag nr. 5-5362

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au ministre des Entreprises publiques, de la Politique scientifique et de la Coopération au développement, chargé des Grandes Villes
aan de minister van Overheidsbedrijven, Wetenschapsbeleid en Ontwikkelingssamenwerking, belast met Grote Steden
________________
Attaques et délinquance informatiques - Protection informatique - Computer Emergency Response Team (CERT) - Situation spécifique du Service public fédéral de Programmation Politique scientifique Cyberaanvallen en cybercrime - Cyberdefensie - Computer Emergency Response Team (CERT) - BelNet - Specifieke situatie Federale Overheidsdienst Wetenschapsbeleid 
________________
criminalité informatique
protection des données
protection des communications
espionnage
Comités permanents de contrôle des services de police et de renseignements
Institut belge des services postaux et des télécommunications
Belnet
établissements scientifiques et culturels fédéraux
défense stratégique
computercriminaliteit
gegevensbescherming
telefoon- en briefgeheim
spionage
Vaste Comités van Toezicht op de politie- en inlichtingendiensten
Belgisch Instituut voor Postdiensten en Telecommunicatie
Belnet
federale wetenschappelijke en culturele instellingen
strategische verdediging
________ ________
24/1/2012Verzending vraag
27/3/2012Antwoord
24/1/2012Verzending vraag
27/3/2012Antwoord
________ ________
Réintroduction de : question écrite 5-4321 Réintroduction de : question écrite 5-4321
________ ________
Question n° 5-5362 du 24 janvier 2012 : (Question posée en néerlandais) Vraag nr. 5-5362 d.d. 24 januari 2012 : (Vraag gesteld in het Nederlands)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été touchés pour une cyberattaque, jugée particulièrement grave car elle visait spécialement des directions générales et des fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission avait établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer à l'horizon 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

Depuis 2009, BelNET organise l'accès internet des services publics et de plus de 200 institutions d'enseignement et gère l'infrastructure centrale de circulation internet, le Belgian National Internet Exchange (BNIX). BelNet est aussi chargé de l'appui immédiat du CERT, qui dirige la cyberprotection des services publics comme des particuliers.

Le CERT remplit sa mission en collaboration et en synergie avec d'autres instances, telles l'IBPT, les Computer Crime Units, le Service public fédéral (SPF) Justice et la Défense. Selon une concertation antérieure, la collaboration entre ces acteurs devait cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’Institut belge des services postaux et des télécommunications (IBPT). Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Voici mes questions à la ministre :

1) Depuis sa création, combien d'incidents cybercriminels le CERT a-t-il signalés à son département ?

- Je souhaite une ventilation des incidents selon les catégories normaux - sérieux -majeurs, avec quelques exemples pour chacune.

- Combien d'incidents examine-t-on actuellement ?

- Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ?

- Pour combien a-t-il fallu une enquête interdépartementale ?

- Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

2) Comment se déroule la coopération avec les SPF auxquels BelNET fournit l'accès à internet ?

3) Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? La ministre trouve-t-elle logique que le SPF Justice le dirige ? Prend-on assez d'initiatives et se concerte-t-on suffisamment ?Respecte-t-on encore les délais prévus ?

- Quel rôle joue le SPP Politique Scientifique en cette matière ?

- À quelle fréquence annuelle les représentants de la Politique Scientifique se réunissent avec ceux du SPF Justice pour parler de cyberdéfense ? L'administration est-elle suffisamment consultée par le SPF Justice ?

4) Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, Fedict, l'Économie, la Défense et les Affaires étrangères ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

5) Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

6) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense ?

7) Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié. Le département de la ministre est-il confronté au même problème ?

8) Le département partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

9) Selon les normes de l'Union européenne, les SPF et les services du parlement fédéral sont-ils adéquatement protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

10) Existe-t-il un « Disaster Recovery Plan » en guise de position de repli si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

11) Le département de la ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité informatique ? Quelle est sa mission et à qui rapporte-t-il ?

12) Combien de fois des documents du SPP Politique scientifique ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

13) Quelles infrastructures, identifiées par le SPP Politique scientifique comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

 

Op de vooravond van de Europese top van 22 maart laatstleden werden de Europese Commissie en de Europese Dienst voor Extern Optreden (EDEO) het slachtoffer van een cyberaanval. Omdat de aanval specifieke directoraten-generaal en ambtenaren van de Europese Commissie viseerden wordt ze als bijzonder ernstig beschouwd.

Het Veiligheidsdirectoraat van de Europese Commissie heeft reeds in 2009 een Actieplan tegen Cyberaanvallen opgesteld. Daarin werd de lidstaten gevraagd tegen 2012 een Computer Emergency Response Team (CERT) op te zetten dat schadelijke software moet kunnen detecteren. In België is het CERT actief sinds 2010 en is men momenteel bezig met de gefaseerde operationalisering ervan.

Sinds 1999 organiseert BelNET de internettoegang van de overheidsdiensten en meer dan 200 onderwijsinstellingen, en beheert het de centrale infrastructuur voor het internetverkeer, de Belgian National Internet Exchange (BNIX). BelNET staat ook in voor directe ondersteuning van het CERT, die de cyberveiligheid van de overheidsdiensten en particulieren dirigeert.

Het CERT vervult zijn opdracht in samenwerking en overleg met andere instanties, zoals BelNET, het BIPT, de Computer Crime Units, de FOD's Justitie en Defensie. De samenwerking tussen de actoren moest bij een vorige rondvraag nog worden geformaliseerd. Een werkgroep voor incidentenbeheer zou werken aan een voorstel waarin de samenwerking met de verschillende federale actoren wordt geregeld.

Het Comité I bracht op 24 augustus laatstleden een rapport uit waarin het niet mals is voor het federale beleid rond cyberdefensie. Het stelt dat het ontbreken van een globaal federaal beleid inzake informatieveiligheid tot gevolg heeft dat ons land zeer kwetsbaar is voor aanvallen tegen zijn vitale informatiesystemen en netwerken.

Meerdere federale instellingen houden zich vandaag bezig met de beveiliging van de informaticasystemen: de Nationale Veiligheidsdienst (NVO), de Federale Overheidsdienst (FOD) Informatie- en Communicatietechnologie (FedICT), de federale internetprovider BelNET en het Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT). Geen enkele van die instellingen blijkt volgens het rapport een algemeen beeld te hebben van de kritieke infrastructuur van de informaticasystemen.

Verder maakt het Comité I zich ook zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

Ten slotte maakt het Comité I de bedenking dat de Belgische wetgeving enkel toelaat om vijandige systemen in het buitenland te neutraliseren in geval van een cyberaanval op de informatiesystemen van Defensie. Indien aanvallen plaatsvinden op andere FOD's of nationale kritieke infrastructuur, kan hierop slechts achteraf, defensief worden gereageerd, zonder dat het vijandelijke systeem mag worden geneutraliseerd.

Mijn vragen aan de minister zijn:

1) Hoeveel cybercrime-incidenten heeft haar departement van het CERT ontvangen sinds de oprichting van het CERT?

- Gelieve een onderverdeling van de incidenten te geven van normale, ernstige en grote incidenten, met enkele concrete voorbeelden die bij elke klasse horen.

- Hoeveel incidenten worden momenteel onderzocht?

- Voor hoeveel incidenten is het onderzoek afgerond en is het dossier doorgestuurd naar Justitie?

- Voor hoeveel was een domeinoverschrijdend onderzoek nodig?

-Voor hoeveel incidenten is geen verder onderzoek mogelijk? Hoeveel incidenten zijn gesloten omdat er slechte informatie-uitwisseling was?

2) Hoe verloopt de samenwerking met de FOD's aan dewelke BelNET internettoegang verleent?

3) Hoe verloopt de samenwerking met FOD Justitie die de leiding over het cyberdefensieproject heeft? Vindt de minister het logisch dat de FOD Justitie de leiding heeft? Wordt hier genoeg initiatief genomen en overleg gehouden? Zit het project nog op schema?

- Welke is de taak van de POD Wetenschapsbeleid hierin?

- Hoeveel keer per jaar komen mensen van de FOD Wetenschapsbeleid samen met FOD Justitie om cyberdefensie te bespreken? Wordt de administratie voldoende geraadpleegd door FOD Justitie?

4) Hoe verloopt de samenwerking met Binnenlandse Zaken, Fedict, Economie, Defensie en Buitenlandse Zaken in het kader van cyberdefensie? Werd ze reeds geformaliseerd zodat het CERT en FOD Justitie bij incidenten tijdig kunnen handelen?

5) Welke sectoren krijgen prioriteit in het cyberdefensieproject en welke actoren houden zich met welke sector bezig?

6) Welke inspanningen kan de regering doen om ons land minder kwetsbaar te maken? Wordt gewerkt aan een gecoördineerde federale cyberstrategie?

7) Het Comité I maakt zich zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren. Wordt het departement van de minister ook met dit probleem geconfronteerd?

8) Deelt haar departement de bekommernis dat er meer slagkracht moet zijn om cyberaanvallen te kunnen neutraliseren, in plaats van slechts achteraf defensief te kunnen reageren?

9) Zijn de Federale Overheidsdiensten en het federale parlement voldoende beveiligd tegen cyberaanvallen volgens de normen van de Europese Unie? Welke beveiligingsnormen worden gebruikt en waarom?

10) Bestaat er een zogenaamd Disaster Recovery Plan, als plan-B indien de kritieke systemen van ons land het slachtoffer worden van een cyberaanval?

11) Is in het departement van de minister reeds een adviseur ter coördinatie van de informatieveiligheid aangesteld? Waaruit bestaan zijn taken en aan wie rapporteert hij?

12) Hoeveel maal zijn via een cyberaanval bij de POD Wetenschapsbeleid documenten gestolen? Wanneer was dit, om welke documenten gaat het en wat is de gevoeligheid van de gestolen informatie? Welke maatregelen werden genomen?

13) Welke infrastructuren worden door de POD Wetenschapsbeleid als kritiek en gevoelig geïdentificeerd en krijgen prioriteit in cyberdefensie?

 
Réponse reçue le 27 mars 2012 : Antwoord ontvangen op 27 maart 2012 :

L'honorable membre voudra bien trouver ci-joint la réponse à sa question.

1. A ce jour, le Computer Emergency Response Team (CERT) a signalé quatre messages d'incidents à la Politique scientifique fédérale (BELSPO) :

  • [BELNET TT #5227] Possible spam relay at 193.191.206.123

  • [BELNET TT #7386] Unsolicited email report for Your Customer - 193.191.206.123

  • [BELNET TT #17672][TLP:AMBER]BELSPO - Account compromised on www.belspo.be/stat/wallonie/rd2010/

  • [BELNET TT #17718] IT Security incident Frascati: password disclosure - TLP WHITE

Les deux premiers messages concernaient une adresse IP du Conseil d'État qui partageait notre connexion FEDMAN, rue de la Science avant notre déménagement.

Pour le troisième message, un mot de passe de connexion à un de nos sites avait été décelé dans le log d'un serveur collectionnant des informations à partir de postes infectés.

En ce qui concerne le quatrième message, BELSPO a été prévenu, étant donné ses contacts fréquents et ses connexions en ligne avec l'ESA, du fait que certains de leurs serveurs avaient été piratés et que des informations de connexion avaient été divulguées.

Aucun de ces incidents n'aurait fait l'objet d'une enquête. Aucun dossier n'aurait été transmis à la Justice.

2. Avec des réponses rapides et précises aux messages reçus, on peut parler d'une bonne coopération entre les Service public fédéral (SPF) et Belnet qui fournit à leurs demandes des réponses rapides et précises.

3. 4. et 5. Belspo n'a jamais été consulté sur le projet de cyber-défense et ne peut donc se prononcer ni sur la manière dont se déroule la collaboration entre la Justice et les autres SPF ni sur le choix des secteurs prioritaires déterminés en cette matière.

6. Belspo plaide pour une stratégie centralisée et unique, menée au niveau fédéral et coordonnée par le Service public fédéral Technologie de l'information et de la communication (FEDICT) avec l'aide des experts du CERT.

7. Le faible effectif informatique chez BELSPO ne dispose que de trop peu de temps pour traiter des problèmes de sécurité informatique en détail.

8. Il est évident que tous les SPF et SPP, et pas seulement la Défense, devraient pouvoir réagir activement contre des sites étrangers lorsque la sécurité de leurs informations est mise en péril.

9. Aucune norme n'est actuellement imposée.

10. Des plans sont prévus pour centraliser de plus en plus, dans des datacenters, les serveurs d'application critiques du Fédéral.

11. Un conseiller en sécurité de l'information a été nommé récemment dans le cadre de la protection des données pour FEDCOM. Chargé d'analyser la sécurité des procédures d'accès à l'information du Département, il assiste aux réunions organisées avec les conseillers des autres départements.

12. BELSPO n'a pas connaissance qu'à la suite d'une cyber-attaque, un document lui aurait été volé.

13. Les informations manipulées par BELSPO ne sont que rarement confidentielles et ne concernent presque jamais les données personnelles des citoyens ou des entreprises via des applications en ligne. Néanmoins, pour le partage d'informations avec l'extérieur, les serveurs bureautiques internes et les serveurs web de BELSPO peuvent être considérés comme critiques car ils régissent entièrement le travail des membres du Département.

Het geachte lid gelieve hierna het antwoord op zijn vraag te vinden.

1. Tot vandaag heeft het Computer Emergency Response Team (CERT) melding gemaakt van vier incidenten bij het Federaal Wetenschapsbeleid (BELSPO), te weten:

  • [BELNET TT #5227] Possible spam relay at 193.191.206.123

  • [BELNET TT #7386] Unsolicited email report for Your Customer - 193.191.206.123

  • [BELNET TT #17672][TLP:AMBER]BELSPO - Account compromised on www.belspo.be/stat/wallonie/rd2010/

  • [BELNET TT #17718] IT Security incident Frascati: password disclosure - TLP WHITE

De eerste twee boodschappen betroffen een IP-adres van de Raad van State die vóór onze verhuizing onze aansluiting FEDMAN deelde in de Wetenschapsstraat.

Voor de derde boodschap werd een paswoord om aan te sluiten op een van onze websites ontdekt in de log van een server waarop alle informatie van besmette pc's staat.

Bij de vierde boodschap werd BELSPO, gelet op zijn frequente contacten en zijn online aansluitingen met de ESA, ervan op de hoogte gebracht dat sommige van zijn servers waren gekraakt en dat er informatie over aansluitingen was verspreid.

Geen van die incidenten werd onderzocht en geen enkel dossier werd bij Justitie ingediend.

2. Gelet op de snelle en duidelijke antwoorden op de ontvangen berichten, kan gewag worden gemaakt van een goede samenwerking tussen de Federale Overheidsdienst (FOD) en Belnet dat op hun aanvragen snel en precies antwoordt.

3. 4. en 5. BELSPO is nooit geraadpleegd over het cyberdefensieproject en kan dus niets zeggen noch over de manier waarop de FOD Justitie en de andere FOD's samenwerken, noch over welke sectoren ter zake als prioritair werden geselecteerd.

6. BELSPO pleit voor een gecentraliseerde en een eenduidige federale strategie die door de Federale Overheidsdienst Informatie en communicatie technologie (FEDICT) wordt gecoördineerd met de hulp van experts van het CERT.

7. Gelet op het geringe ICT-personeelsbestand bij BELSPO, is er te weinig tijd om beveiligingsproblemen in detail te behandelen.

8. Het spreekt voor zich dat alle FOD's en POD's, en niet alleen Defensie, actief moeten kunnen optreden tegen buitenlandse sites wanneer de beveiliging van hun informatie in gevaar wordt gebracht.

9. Op dit ogenblik worden er geen normen opgelegd.

10. Er bestaan plannen om de kritieke applicatieservers van de federale overheid alsmaar meer te centraliseren in datacenters.

11. In het kader van de beveiliging van de gegevens voor FEDCOM werd recentelijk een informatieveiligheidsadviseur aangewezen, met als opdracht de veiligheid te analyseren van de informatietoegangsprocedures van het departement Wetenschapsbeleid en deel te nemen aan vergaderingen met de adviseurs van andere departementen.

12. BELSPO is niet op de hoogte van eventueel gestolen documenten bij een cyberaanval.

13. De bij BELSPO verwerkte informatie is zelden vertrouwelijk en betreft haast nooit privégegevens van burgers of bedrijven via online applicaties. Voor wat de externe informatiedeling betreft, kunnen de interne servers en de webservers van BELSPO als kritiek worden beschouwd, want zij regelen al het werk van de leden van het departement Wetenschapsbeleid.