SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9901 Schriftelijke vraag nr. 5-9901

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au vice-premier ministre et ministre des Pensions

aan de vice-eersteminister en minister van Pensioenen
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/11/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9901 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9901 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 13 novembre 2013 : Antwoord ontvangen op 13 november 2013 :

En réponse à ses questions, j’ai l’honneur de faire savoir à l’honorable membre ce qui suit. 

Pour l’ONP :

1. A ce jour, l’ONP n’a pas détecté d’attaque réussie de pirates ou de cybercriminels. 

2. Pour ces dernières années, aucun chiffre ne peut être donné. Les chiffres sont ceux relatifs à des tentatives d’attaques qui ont été détectées et bloquées. Il ne peut être donné de chiffres relatifs à des cyberattaques qui n’ont pas été enregistrées (faux négatifs). Les chiffres peuvent également contenir des faux positifs. Les chiffres ne sont pas normalisés (1 attaque peut consister en plusieurs incidents ou plusieurs infrastructures, 1 attaque peut survenir simultanément à partir de diverses  localisations géographiques, les différents événements ne sont pas mis en corrélation, il existe différentes interprétations de la notion d’ ‘incident’ selon l’outil de rapportage, etc.).  

Nous ne pouvons pas évaluer de régularité, pas de tendance à la hausse ou à la baisse. 

Les chiffres qui suivent peuvent être donnés pour ces 3 derniers mois : 

Tentatives d’attaques sur l’infrastructure web de l’ONP (par tentative d’attaque, a été considéré tout ce qui est ‘error’ , ‘critical’ ou comme indiqué ci-dessus) :

  • Juillet : 8103

  • Août : 25094

  • Septembre : 19286 

Tentatives d’attaques découvertes au niveau de l’IDPS (sur le segment de réseau entre firewall et internet) :

  • Juillet : 44012

  • Août: 30975

  • Septembre: 35042

Détection anti malware :

  • Juillet :2

  • Août :21

  • Septembre :103 

3. Ces dernières années, il n’a pas encore été constaté d’incident dont les effets étaient substantiels. 

Les composants qui ont été attaqués le plus souvent au niveau de l’infrastructure sont l’infrastructure serveur web et l’environnement pc. 

En cas de nouveau malware, il y a toutefois toujours une période pendant laquelle l’infrastructure n’est pas sécurisée, aussi longtemps que le malware n’est pas connu et que les mises à jour nécessaires n’ont pas encore été effectuées. Au cours de cette période, aucun dommage n’a été constaté. 

4. Jusqu’à présent, seules ont été appliquées les mesures classiques de sécurité, telles que firewall, IPDS, anti-virus, web application firewall, vpn, strong authentication et proxy.

Les mesures classiques de sécurité nécessitent parfois pas mal de ressources en vue d’atteindre un niveau de sécurité performant et comporte une plus large possibilité de faux positifs ou négatifs. Au niveau du content security, les mesures de sécurité sont basées sur des signatures. Il faudrait détecter plus de manière heuristique et il faudrait plus tenir compte du modus operandi du malware. En outre, une meilleure corrélation devrait être établie entre les différents incidents sur l’infrastructure de sécurité.  

La politique en matière de sécurité devra être adaptée, compte tenu des menaces potentielles et des incidents qui se sont produits dans d’autres services publics. De nouvelles technologies, telles que Advanced Persistent Threat Prevention, Intrusion Deception, Next Generation Firewall, Security Incident & Event Monitoring ou Database Activity Monitoring ont été évaluées et testées si possible sur l’infrastructure de l’ONP. 

Les raisons de ne pas appliquer ces nouvelles technologies se situent dans la situation budgétaire précaire et le coût élevé des technologies. 

5. Si une cyberattaque était constatée, une procédure de traitement  analogue à une procédure de traitement  en cas d’incidents techniques graves serait suivie. Les responsables principaux (le fonctionnaire dirigeant, le CIO et le CSO) en sont informés. L’ampleur de l’incident est évaluée et des mesures conservatoires sont prises. Le modus operandi de la cyberattaque est analysée et la source de contamination est détectée. Les systèmes contaminés sont mis en quarantaine ou hors. Les logs sont archivés à des fins légales. La manière de passer à un fonctionnement normal de l’infrastructure est évaluée.  

Si l’incident avait des conséquences sur des parties externes, celles-ci en seraient informées. 

Enfin, il est évalué si l’incident est suffisamment sérieux que pour entreprendre des démarches judiciaires. 

6. Non. Jusqu’à présent, il n’a pas encore été constaté d’incidents de gravité suffisante que pour justifier des démarches judiciaires, tels que le vol de toutes les données confidentielles de la banque de données centrale ou que de graves atteintes au fonctionnement de l’organisme, etc.. 

7. À ce jour, il n’y a pas d’obligation de signaler de telles attaques à Fedict ou CERT.

Au cas où un incident de gravité suffisante se produisait, la Banque centrale de la Sécurité  sociale et l’Extranet en seraient informés.

8. L’ONP estime réaliste qu’un certain nombre de cyberattaques restent inaperçues.   

Pour le SdPSP : 

1. Le SdPSP n’a pas été directement soumis à des attaques de hackers en matière de cybercriminalité. 

2. Pas d’application. 

3. Pas d’application. 

4. Le SdPSP est raccordé au réseau primaire de la sécurité sociale par l’intermédiaire de l’Office National des Pensions.   

Les accès internet se font exclusivement via des canaux protégés.  Ces canaux sont configurés par Smals, gestionnaire de l’extranet de la sécurité sociale.  Les mesures classiques de protection sont mises en œuvre (firewall, utilisation de reverse proxy, dispositifs anti-virus et anti-spam).   

L’ONP met en place les mesures complémentaires suivantes : utilisation de zones démilitarisées (DMZ), filtrage des accès à l’aide de firewall, utilisation d’anti-virus au niveau des serveurs et des stations de travail locales.  Seules les machines pour lesquelles les définitions de virus sont suffisamment à jour sont autorisées à se connecter au réseau. 

5. La procédure suivante serait d’application :  

  • Evaluation de l’importance du problème et des machines impactées.

  • Isolation de la ou des machines impactées du réseau, afin d’éviter que le problème ne se propage.

  • Rétablissement de la protection des composants concernés.

  • Test de la nouvelle situation.

  • Remise des machines impactées sur le réseau. 

6. Non. 

7. La cas échéant, cette problématique serait traitée en collaboration avec Smals en ce qui concerne l’extranet de la sécurité sociale et l’ONP en ce qui concerne le réseau et les accès locaux. Le SdPSP s’alignerait avec les procédures de communication de ces partenaires. 

8. Ce cas d’espèce est fortement improbable.

In antwoord op haar vragen heb ik de eer om het geachte lid het volgende mee te delen. 

Voor de RVP: 

1. Tot op heden heeft de RVP geen succesvolle aanval van hackers of cybercriminelen gedetecteerd. 

2. Voor de laatste jaren kunnen geen cijfers worden gegeven. De cijfers zijn cijfers betreffende aanvalspogingen die werden gedetecteerd en geblokkeerd. Er kunnen geen cijfers gegeven worden voor cyberaanvallen die niet werden geregistreerd (false negatives). De cijfers kunnen ook false positives omvatten. De cijfers werden niet genormaliseerd (1 aanval kan bestaan uit meerdere incidenten op meerdere infrastructuren, 1 aanval kan gelijktijdig geschieden vanuit verschillende geolocaties, de verschillende events worden niet gecorreleerd, verschillende interpretaties van het begrip ‘incident’ naar gelang het rapporteringstool , enz.).  

We kunnen geen regelmaat vaststellen, geen stijgende of een dalende lijn. 

Er kunnen voor de laatste 3 maanden cijfers gegeven worden voor : 

Aanvalspogingen op de web infrastructuur van de RVP (als aanvalspoging werd beschouwd alles wat als ‘error’ , ‘critical’ of hoger werd gemerkt):

  • Juli : 8103

  • Augustus : 25094

  • September: 19286 

Aanvalspogingen ontdekt op het vlak van de IDPS (op het netwerksegment tussen firewall en internet):

  • Juli : 44012

  • Augustus: 30975

  • September: 35042 

Anti-malware detectie :

  • Juli: 2

  • Augustus: 21

  • September:103 

3. De laatste jaren werd nog geen incident vastgesteld waarbij de impact substantieel was. 

De componenten die het vaakst werden aangevallen op het vlak van de infrastructuur zijn de webserver-infrastructuur en de pc-omgeving. 

In geval van nieuwe malware is er altijd evenwel een periode dat de infrastructuur niet beveiligd is, zolang de malware niet bekend is of de nodige updates nog niet werden uitgevoerd. Gedurende deze periode werd er geen schade vastgesteld. 

4. Tot nu toe worden enkel de klassieke veiligheidsmaatregelen toegepast, zoals firewall, IPDS, anti-virus, web application firewall, vpn, strong authentication en proxy.

De klassieke veiligheidsmaatregelen zijn soms nogal arbeidsintensief om een sluitend veiligheidsniveau te bereiken en hebben een grotere kans op false positives of negatives. Op het vlak van content security zijn de veiligheidsmaatregelen gebaseerd op signatures. Er zou meer op heuristische wijze moeten gedetecteerd en men zou meer moeten rekening houden met de modus operandi van de malware. Tevens zou er een betere correlatie dienen te geschieden tussen de verschillende incidenten op de veiligheidsinfrastructuur. 

Het veiligheidsbeleid zal worden aangepast, rekening houdend met de mogelijke dreigingen en de incidenten die zich hebben voorgedaan bij andere overheidsdiensten. Nieuwe technologieën zoals Advanced Persistent Threat Prevention, Intrusion Deception, Next Generation Firewall, Security Incident & Event Monitoring of Database Activity Monitoring werden geëvalueerd en indien mogelijk op de infrastructuur van de RVP uitgetest. 

De reden om de nieuwe technologieën nog niet toe te passen is te vinden in de precaire budgettaire situatie en de hoge kostprijs van de technologieën. 

5. Indien een cyberaanval wordt vastgesteld zal een afhandelingsprocedure worden gevolgd analoog aan afhandelingsprocedures in geval van ernstige technische incidenten. De belangrijkste verantwoordelijken (de leidende ambtenaar, de CIO en de CSO) worden op de hoogte gesteld. De omvang van het incident wordt ingeschat en bewarende maatregelen worden genomen. De modus operandi van de cyberaanval wordt geanalyseerd en de oorzaak van de besmetting wordt opgespoord. Besmette systemen worden onder quarantaine of buiten werking geplaatst. De logs worden voor forensische doeleinden gearchiveerd. Er wordt geëvalueerd hoe kan worden overgegaan tot  een normale werking van de infrastructuur.  

Indien het incident voor externe partijen gevolgen heeft, zullen deze op de hoogte gesteld worden. 

Er wordt tenslotte geëvalueerd of het incident voldoende ernstig is , om gerechtelijke stappen te ondernemen. 

6. Neen. Tot nu toe werden er nog geen incidenten van voldoende ernst vastgesteld die gerechtelijke stappen zouden rechtvaardigen, zoals bijvoorbeeld diefstal van alle vertrouwelijke gegevens op de centrale databank, zware schade aan de werking van de instelling, enz.

7. Heden is er geen verplichting om dergelijke aanvallen te melden aan Fedict of CERT.

In geval een incident van voldoende ernst zich voordoet  worden de Kruispuntbank voor de Sociale Zekerheid en het Extranet voor de Sociale Zekerheid op de hoogte gesteld. 

8. De RVP acht het realistisch dat een aantal cyberaanvallen onopgemerkt bleven.   

Voor PDOS: 

1. Op het vlak van cybercriminaliteit is de PDOS niet onmiddellijk onderhevig geweest aan aanvallen van hackers. 

2. Niet van toepassing. 

3. Niet van toepassing. 

4. Via de Rijksdienst voor Pensioenen is de PDOS aangesloten op het primair netwerk van de Sociale Zekerheid.   

De toegang tot het Internet is uitsluitend geregeld via beveiligde kanalen. Deze kanalen zijn geconfigureerd door Smals, beheerder van het extranet van de Sociale Zekerheid.  Er wordt gebruik gemaakt van de klassieke veiligheidsmaatregelen (firewall, gebruik van reverse proxy, installatie van anti-virus en anti-spam applicaties).   

De RVP heeft nog volgende bijkomende maatregelen voorzien: gebruik van gedemilitariseerde zones (DMZ), filteren van de toegangen via de firewall, gebruik van anti-virus op de servers en de lokale werkstations. Enkel de toestellen waarvoor de virusdefinities voldoende bijgewerkt zijn, hebben de toelating om zich met het netwerk te verbinden. 

5. De volgende procedure wordt toegepast:  

  • Evaluatie de omvang van het probleem en de aangetaste machines.

  • Afzondering van de aangetaste machine(s) van het netwerk om te voorkomen dat het probleem zich gaat uitbreiden.

  • Herstellen van de beveiliging van de betrokken componenten .

  • Testen van de nieuwe situatie.

  • Opnieuw verbinden van de aangetaste machine met het netwerk. 

6. Neen. 

7. In voorkomend geval zal deze problematiek samen worden behandeld met de Smals voor wat betreft het Extranet van de Sociale Zekerheid en met de RVP voor wat de toegangen op het lokale netwerk betreft. Op het vlak van de communicatieprocedures volgt de PDOS de lijn van zijn partners. 

8. Dergelijk geval lijkt weinig waarschijnlijk.