SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9899 Schriftelijke vraag nr. 5-9899

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au vice-premier ministre et ministre des Affaires étrangères, du Commerce extérieur et des Affaires européennes

aan de vice-eersteminister en minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
2/1/2014 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
2/1/2014 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9899 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9899 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 2 janvier 2014 : Antwoord ontvangen op 2 januari 2014 :

1. La cybercriminalité peut prendre de nombreuses formes, par exemple, le phishing (bancaire), la fraude, l’envoi de spams ou l’installation de logiciels malveillants volant des données, entre autres, bancaires. Malgré les mesures prises, les membres du personnel sont régulièrement confrontés à ce type de pratiques. Toutefois, nous ne disposons pas d’informations indiquant qu’ils sont davantage pris pour cible que d’autres internautes.

Nous constatons néanmoins que le Service public fédéral (SPF) est fréquemment la cible d’attaques de logiciels malveillants qui sont intégrés dans des mails ressemblant fort aux mails légitimes que les membres du personnel reçoivent régulièrement et qui ne sont pas détectés par les logiciels antivirus.

2. Rien n’indique que le nombre d’attaques a diminué mais leur nature s’est assurément complexifiée. Donner des chiffres précis, correspondant spécifiquement aux attaques sur le réseau du SPF, n’est pas chose aisée (voir à ce sujet la réponse à la question n° 5-7568.

3. Les mesures prises empêchent la plupart des attaques d’atteindre leur but.

Il est probable qu’au cours de l’incident révélé récemment par les médias, des informations aient été volées. Des actes de sabotage n’ont jamais été observés. Un certain nombre de connexions à l’internet ont été identifiées comme suspectes, voire très suspectes. L’enquête devra établir si ces connexions ont permis le vol d’informations et, le cas échéant, déterminer quelles connexions ont été utilisées dans ce but. Nous ne souhaitons toutefois pas communiquer sur le mode opératoire de ces attaques et les appareils touchés afin de ne pas aider les assaillants (à déterminer ce que nous avons remarqué et ce que nous n’avons pas découvert).

4. Un large éventail de mesures approfondies ont été prises (voir à ce sujet la réponse à la question n° 5-7568, mais, pour des raisons de sécurité, elles ne peuvent pas toutes être décrites.

5. Selon la procédure actuelle, l’ordinateur suspect est immédiatement déconnecté du réseau et son remplacement complet est prévu. Nous ne désirons pas fournir de précisions supplémentaires pour la même raison que celle évoquée ci-dessus.

6. Comme nous l’avions déjà communiqué auparavant, une seule plainte a été déposée jusqu’ici.

7. Il est primordial pour le SPF de pouvoir compter sur l’assistance du CERT et d’autres services publics. C’est d’ailleurs la raison pour laquelle l’échange d’informations et les demandes d’assistance se font rapidement. Via le CERT belge, il est également possible d’entrer en contact avec d’autres CERT. Nous collaborons également avec FEDICT et analysons les possibilités de collaboration au niveau fédéral pour les contre-mesures techniques.

8. Tous les internautes, quels qu’ils soient, sont en permanence soumis à des tentatives d’intrusion de cybercriminels. Les contre-mesures habituelles déjouent la plupart de ces tentatives qui ne font dès lors pas l’objet d’une analyse ultérieure.

Cependant, le risque que des logiciels malveillants ciblés, créés pour collecter des données à grande échelle, s’introduisent subrepticement dans les réseaux demeure constant. En limiter l’ampleur nécessite de développer de nouvelles techniques et d’augmenter la flexibilité des équipes chargées d’essayer de détecter ces logiciels.

1. Er bestaan vele vormen van cybercrime zoals (bank) fishing, spam, fraud, malware die gegevens steelt, waaronder gegevens van bankkaarten enzovoort. De personeelsleden worden, ondanks de genomen maatregelen, hier regelmatig mee geconfronteerd. Maar we hebben geen aanwijzingen dat zij hiervoor meer doelwit zijn dan andere internet gebruikers.

Wel merken we dat de Federale Overheidsdienst (FOD) frequent het doelwit is van aanvallen met malware die door virusscanners niet wordt opgemerkt en afgeleverd wordt in mails die soms sterk lijken op legitieme mails die de personeelsleden regelmatig ontvangen.

2. Er zijn geen aanwijzingen dat het aantal is afgenomen. Het is zeker dat de complexiteit toeneemt. Exacte cijfers voor de aanvallen, specifiek aangepast aan het netwerk van de FOD zijn moeilijk te geven, zie antwoord op vraag 5-7568.

3. De meeste aanvallen zijn niet succesvol wegens de al genomen maatregelen.

In het recent in de pers gemelde incident is het waarschijnlijk dat informatie werd gestolen. Sabotage werd nooit opgemerkt. Een aantal connecties met het internet werden als verdacht tot zeer verdacht beschouwd. Of en van welke connecties er gebruik is gemaakt om informatie te stelen zal het onderzoek moeten vaststellen. Hoe de aanvallen werkten en welke toestellen aangevallen werden willen we liever niet vermelden om de aanvallers niet te helpen. (Een assessment te maken van wat we wel en niet ontdekt hebben.)

4. Uitgebreide maatregelen zijn genomen. Zie antwoord op vraag 5-7568. Om veiligheidsredenen kunnen we niet alle genomen maatregelen beschrijven.

5. De huidige procedure voorziet in het onmiddellijk verwijderen van de verdachte computer van het netwerk en het volledig vervangen van het toestel. Verder zouden we er liever niet publiek op ingaan om de aanvallers niet te helpen.

6. Zoals eerder meegedeeld werd éénmaal een klacht ingediend.

7. Het is belangrijk voor de FOD om op de assistentie van de CERT en andere overheidsdiensten te kunnen rekenen, en daarom wordt ook snel informatie uitgewisseld of assistentie gevraagd. Via de Belgische CERT kan ook met andere CERT's gecommuniceerd worden. We werken samen met FEDICT en bekijken voor welke technische tegenmaatregelen het mogelijk is samen te werken door die maatregelen op Federaal niveau te nemen.

8. Zoals bij elke internetgebruiker proberen cybercriminlen constant binnen te dringen. De gebruikelijke tegenmaatregelen ruimen een groot deel van deze pogingen op zonder dat deze zaken verder bestudeerd worden.

Maar het risico dat gerichte malware, bedoeld om op grote schaal gegevens te bemachtigen, de netwerken binnendringt zonder opgemerkt te worden is constant aanwezig is. Dit risico beperken vraagt nieuwe technieken en een hoge flexibiliteit van teams die de malware proberen op te sporen.