SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9904 Schriftelijke vraag nr. 5-9904

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la ministre des Classes moyennes, des PME, des Indépendants et de l'Agriculture

aan de minister van Middenstand, KMO's, Zelfstandigen en Landbouw
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
18/10/2013 Antwoord
24/9/2013 Verzending vraag
18/10/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9904 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9904 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 18 octobre 2013 : Antwoord ontvangen op 18 oktober 2013 :

Pour ce qui concerne l’Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA) :

1. En dehors des interceptions automatiques de virus ou spyware, des tentatives « normales » de pénétration qui sont captées et bloquées par notre « firewall » internet, et pour autant que l’AFSCA ait été capable de le détecter, l’AFSCA n’a pas été attaquée par des hackers ou cybercriminels. En 2012 l’AFSCA a subi une infection locale par une variante du « conficker » ; celle-ci a pu être facilement nettoyée et il n’y a pas eu de conséquence.

2. L’AFSCA n’a pas d’attaques cybernétiques à déplorer en dehors de l’infection susmentionnée. Une proportion de 0,05 % des e-mails entrants sont interceptés parce qu’ils contiennent l’un ou l’autre virus ou malware. Plus que jamais, l’AFSCA est très prudente et a accru la fréquence avec laquelle elle scanne ses systèmes à la recherche d’infections ; l’AFSCA applique plus rapidement les nouvelles versions de logiciels ou les mises à jour, ce qui engendre évidemment plus de travail de maintenance sans réelle valeur ajoutée.

3. Comme déjà expliqué au point 1, l’AFSCA a eu à déplorer en 2012 une infection sans conséquences importantes.

4. L’AFSCA a prévu un audit de sécurité TIC en 2014 afin d’avoir une vue – au vu du type de données qu’elle traite, de l’infrastructure qu’elle met en œuvre à cette fin et des personnes qui les utilisent – sur l’état de sécurisation des données et systèmes ; cet audit doit situer les mesures actuelles de l’AFSCA par rapport à un niveau de protection « normal », identifier des points faibles éventuels et le cas échéant identifier quelques actions d’amélioration prioritaires.

L’AFSCA a reçu ce 2 octobre 2013 l’aide du Computer Emergency Response Team (CERT) pour contrôler ses systèmes suite aux récentes découvertes d’infections à des fins d’espionnage. Les vérifications en elles-mêmes prendront quelques semaines.

5. Dans ce domaine, il n’y a pas de procédure « standard » de traitement parce que ni l’endroit, ni le contenu, ni la nature d’une attaque ni les conséquences ne sont prévisibles. Il y a bien quelques actions prédéterminées.

Par exemple pour les virus, spyware et similaires qui sont automatiquement détectés, neutralisés et rapportés par des logiciels de sécurité spécifiques, il y a un suivi du type et du nombre afin de découvrir à temps une propagation ou une attaque massive. La hiérarchie est informée en cas d’infection.

En cas de détection d’une attaque anormale depuis internet, notre connexion doit être immédiatement coupée et on fait appel à de l’assistance (entre-autres par une signalisation auprès du Service public fédéral Technologie de l'information et de la communication (FEDICT) et du CERT) pour déterminer les dégâts et pour prendre des contre-mesures. Toute tentative de chantage ou de vol de données fait l’objet d’une plainte déposée auprès de la police.

6. Non, cela ne s’est jamais passé à l’AFSCA.

7. Les services de l’AFSCA ne sont pas « légalement » obligés de signaler des attaques ; des tentatives ou des attaques anormales depuis internet sont signalées chez FEDICT parce que la connexion internet passe par FEDICT et pour ainsi tenter de faire en sorte que d’autres puissent aussi y échapper et se protéger contre la même attaque.

8. Malgré les mesures déjà prises, la probabilité que l’AFSCA ait déjà été attaquée sans l’avoir remarqué est faible mais pas exclue : les données que l’AFSCA traite sont peu attractives pour les espions ou les criminels ; d’autre part et même si l’AFSCA dispose d’assez de moyens financiers et de compétences techniques pour essayer de l’exclure, cela reste une poursuite sans fin entre des criminels qui recherchent constamment de nouvelles vulnérabilités et les exploitent, et des experts qui par après développent et appliquent des contre-mesures.

Pour ce qui concerne le Bureau d’Intervention et de Restitution belge (BIRB) :

1. En 2012, le BIRB a dû intervenir sur six PC infestés par des virus et nous avons pu maîtriser deux attaques externes sur le serveur mail.

2. La première cyber-attaque sur le serveur mail a eu lieu le 30 janvier 2012 et la seconde a eu lieu le 17 février 2012. Aucune autre cyber-attaque ne s’est produite depuis.

3. La première cyber-attaque visait le serveur de mail. Elle avait pour objet d’utiliser ce serveur comme relais d’envois de courriers indésirables. L’intrusion a été possible par le biais d’un compte électronique non suffisamment protégé. L’attaque a eu pour conséquence une indisponibilité temporaire des services de courriers électroniques. La deuxième attaque visait également le serveur de mail. Ce serveur a été l’objet de tentatives d’intrusions par la méthode de “force brute” mais sans succès pour les attaquants. Le serveur a été mis hors ligne pendant les deux jours du weekend. Le lundi suivant, tout est progressivement revenu à la normale.

4. La mesure principale mise place suite aux attaques a été de renforcer la complexité des mots de passe attribués à certains comptes du réseau interne.

5. La procédure principale est de mettre l’objet de l’attaque (serveur, station de travail, routeur, etc.) physiquement hors de portée de l’agresseur, ensuite de procéder à l’identification de la tactique utilisée par l’agresseur dans le but de la neutraliser. Tout incident de ce type donne lieu à un rapport communiqué au responsable INFOSEC du BIRB.

6. Le BIRB n’a pas dû avoir recours, à ce jour, pour ce type d’incident, au service du parquet.

7. Le BIRB n’a pas connaissance de directives précises en la matière.

8. Le point d’entrée et de sortie du réseau du BIRB est protégé par un Firewall. La technologie du Firewall est récente et constamment mise à jour de manière à garantir un niveau de protection maximal en regard des progrès technologique des cyber-attaques. Les serveurs accessibles de l’extérieur sont physiquement isolés dans une DMZ qui leur est dédicacée.

Pour ce qui concerne le Centre d'Étude et de Recherches vétérinaires et agrochimiques (CERVA) :

1. Réseau interne: non.

DMZ (Web site): oui (deux fois).

2. Non, rien constaté. L'équipe ICT est trop réduite que pour pouvoir scruter régulièrement les fichiers « LOG ».

3. Comme mentionné ci-dessus juste le site WEB. Toutefois, il ne contient aucune donnée confidentielle ou critique et peut être facilement reconstruit (attaque FTP).

Temps de réinstallation: 4h.

4. Non.

5. Déconnecter le(s) appareil(s) concerné(s) du réseau.

Checkup de ce(s) dernier(s).

Recherche des causes possibles via collègues ou Internet.

Agir en conséquence au niveau de la sécurité (mise à jour de certains logiciels, changement de mot-de-passe...).

Remise en service sur le réseau et surveillance accrue dans les jours suivants.

6. Non.

7. Non. Le CERVA a déjà pris contact avec BELNET lorsqu’il y a eu des problèmes avec le site Web.

8. Le CERVA ne le sait pas mais cela doit se produire. Jusque maintenant, les systèmes de sécurité ont bien fonctionné (checkpoint Manager, Trends Micro, Barracuda, etc.).

Pour ce qui concerne le Service public fédéral (SPF) Économie :

Je vous renvoie à la réponse apportée par mon collègue, le vice-premier ministre en charge de l'Économie, des Consommateurs et de la Mer du Nord, Monsieur Johan Vande Lanotte.

En ce qui concerne l'Institut national d’assurances sociales pour travailleurs indépendants (INASTI) :

1. L'INASTI n'a jamais été victime d'attaques de hackers ou de cybercriminels.

2. Sans objet. Voir réponse à la question 1.

3. Sans objet. Voir réponse à la question 1.

4. Une firme spécialisée en criminalistique IT a effectué récemment un « quick scan » des systèmes les plus exposés aux risques. En outre, des audits de sécurité IT sont réalisés régulièrement.

5. Les mesures à prendre en cas de cyberattaque dépendent de la gravité de l’attaque et du type d'attaque.

En général, la première priorité sera de limiter les dégâts (stopper les fuites de données, rendre à nouveau opérationnels les systèmes attaqués,…) et d'informer les instances compétentes (voir réponse à question 7).

En concertation avec les services compétents, l’INASTI essaiera ensuite d'identifier et de dépister les responsables.

Enfin, l’INASTI examinera de quelle manière il peut encore améliorer la sécurité de ses systèmes de telle sorte que l'il puisse éviter, à l'avenir, une telle attaque.

6. Sans objet. Voir réponse à question 1.

7. Les Institutions Publiques de Sécurité Sociale (nommée ci-après IPSS) utilisent une infrastructure de communication commune (backbone) : l'Extranet de la Sécurité sociale. Toutes les cyberattaques envers une IPSS doivent d'abord passer par BELNET, FEDMAN et enfin EXTRANET. À ces 3 niveaux, il existe des procédures d'escalade et des mesures de sécurité sont implémentées. Au niveau de l'Extranet, il y a des systèmes de monitoring (IDS + SIEM) ainsi qu’une équipe interne et une équipe externe qui analysent en permanence les données de ces systèmes de monitoring (interne = Smals; externe = firme externe). Si l'INASTI soupçonne une attaque, il active les procédures d'escalade. La Smals dispose de personnes de contact auprès de FEDICT et de BELNET ainsi que de procédures visant à utiliser, en cas d'attaques, une approche commune. Si nécessaire, des tiers (PROVIDERS/CERT/ Federal Computer Crime Unit (FCCU)...) y sont impliqués.

Au niveau de l'Extranet et d'une IPSS, des mesures sont prises afin d'éviter des incidents de sécurité (protection malware, IDS & SIEM, pare-feu, DMZ, application pare-feu,…). Si toutefois des cyberattaques sophistiquées du type « malware infection » (malware complexe, logiciel espion détection, ...) surviennent, les procédures d'escalade susmentionnées sont à nouveau lancées. Si une IPSS constate elle-même ce type d'attaque/d'infection, elle doit contacter la BCSS + la Smals (security+ supervision Smals). Ces dernières analyseront s'il y a un impact sur l'Extranet et sur les autres IPSS et prendront, à cet effet, les mesures adéquates (et lanceront, si nécessaire, une procédure d'escalade). S'il s'agit d'un problème local (donc limité à une IPSS), l'IPSS doit examiner s'il y a lieu d'en informer des tiers (FCCU, parquet, CERT...). Cela dépend toutefois du type d'incident et du cadre juridique y afférent (par ex. loi relative à la criminalité informatique).

8. Il est très difficile d'évaluer ce risque étant donné que l’INASTI ne dispose, jusqu'à présent, d'aucun élément lui indiquant que ses systèmes auraient déjà fait l'objet d'une attaque. Vu le nombre élevé de mesures de sécurité prises par l'INASTI et l'Extranet de la Sécurité sociale (voir ci-dessus), cette possibilité semble peu réaliste même si l’INASTI ne peut pas totalement l'exclure.

En ce qui concerne la DG Indépendants du SPF Sécurité Sociale :

Je vous renvoie à la réponse apportée par ma collègue, la vice-première ministre et ministre de la Santé publique, Madame Laurette Onkelinx.

Wat het Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) betreft:

1. Buiten de automatische onderschepping van virussen of spyware, de “normale” pogingen tot indringen die opgevangen worden en geblokkeerd door de internet “firewall” van het FAVV, en voor zover het Agentschap dit heeft kunnen detecteren, is het FAVV nog niet aangevallen door hackers of cybercriminelen. In 2012 onderging het FAVV een plaatselijke infectie door een variante van de “conficker” worm; deze kon gemakkelijk verwijderd worden en er waren geen gevolgen aan verbonden.

2. Het FAVV had nog geen cyberaanvallen te betreuren buiten de bovenvermelde infectie. Een proportie van 0,05 % van inkomende e-mails wordt onderschept omdat er één of andere virus of malware in vervat zit. Het FAVV is meer dan ooit zeer voorzichtig en heeft de frequentie waarmee het zijn systemen op infecties scant verhoogd. Het FAVV is ook sneller om de nieuwe software versies en updates toe te passen, wat natuurlijk meer onderhoudswerk meebrengt zonder echte toegevoegde waarde.

3. Zoals in punt 1 reeds uitgelegd, had het Agentschap in 2012 één infectie te betreuren zonder noemenswaardige gevolgen.

4. Het FAVVheeft een ICT veiligheidsaudit voorzien in 2014 om een zicht te hebben - gezien de aard van gegevens die het verwerkt, de infrastructuur die het hiervoor inzet en de mensen die ermee werken – op de stand van beveiliging van zijngegevens en systemen. Deze audit moet zijn huidige maatregelen situeren tov een “normaal” beveiligingsniveau, eventuele zwakkere punten identificeren en desnoods enkele prioritaire verbeteringsacties identificeren.

Het FAVV kreeg vandaag (2 oktober 2013) vanwege het Computer Emergency Response Team (CERT) hulp om zijn systemen te controleren naar aanleiding van de recent ontdekte besmettingen voor spionage. De feitelijke verificaties zullen enkele weken in beslag nemen.

5. Er is op dit gebied geen “standaard” afhandelingsprocedure omdat de plaats, de inhoud, de aard van aanval en de gevolgen niet voorspelbaar zijn. Er zijn wel enkele acties vast bepaald.

Bijvoorbeeld voor virussen, spyware en dergelijke die door specifieke beveiligingssoftware automatisch ontdekt en gerapporteerd worden en onschadelijk gemaakt, is er een opvolging van de aard en aantallen om tijdig een verspreiding of een massale aanval te ontdekken. De hiërarchie wordt op de hoogte gebracht bij besmetting. Bij detectie van een abnormale aanval van op internet moet zijn verbinding direct afgesloten worden en wordt hulp ingeroepen (onder andere door melding bij de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT) en CERT) om de schade te bepalen en tegenmaatregelen te nemen. Van zodra er een poging is van afpersing of diefstal van gegevens zal er een klacht neergelegd worden bij de politie.

6. Neen, dit is nog niet gebeurd.

7. De diensten van het FAVV zijn niet “wettelijk” verplicht aanvallen te melden; abnormale aanvallen of pogingen vanuit internet worden aan FEDICT gemeld omdat deinternetaansluiting van het Agentschap via FEDICT loopt en om er zo proberen voor te zorgen dat anderen er ook kunnen aan ontsnappen en zich kunnen beveiligen tegen dezelfde aanval.

8. Niettegenstaande de reeds genomen maatregelen is de kans dat het FAVV reeds onopgemerkt aangevallen werd klein maar zeker niet uitgesloten: de door het Agentschap behandelde gegevens zijn minder attractief voor spionage of criminelen. En al zou het FAVV over genoeg financiële middelen en technische competenties beschikken om dit proberen uit te sluiten, zelfs dan blijft het een oneindige achtervolging van criminelen die steeds nieuwe zwakke plekken zoeken en uitbuiten, en experten die pas daarna tegenmaatregelen kunnen ontwikkelen en toepassen.

Wat het Belgisch interventie en restitutie bureau (BIRB) betreft:

1. In 2012 heeft het BIRB zes geïnfecteerde computers onschadelijk gemaakt en heeft het twee externe aanvallen op zijn e-mailserver afgeweerd.

2. De eerste cyberaanval op de e-mailserver van het BIRB vond plaats op 30 januari 2012 en de tweede op 17 februari 2012. Sindsdien heeft zich geen cyberaanval meer voorgedaan.

3. De eerste cyberaanval was gericht op de e-mailserver en had tot doel deze server in te zetten voor het versturen van ongewenste e-mailberichten. De intrusie was mogelijk via een elektronische account die onvoldoende beschermd was. Daardoor was het e-mailsysteem tijdelijk buiten gebruik. Ook de tweede aanval richtte zich tot de e-mailserver. Er werd geprobeerd via een “brute force attack” de server binnen te dringen, evenwel zonder succes. De server werd tijdens het volledige weekend offline gehaald. ’s Maandags werd de toestand geleidelijk genormaliseerd.

4. De belangrijkste maatregel die het BIRB heeft genomen naar aanleiding van de cyberaanvallen, bestond uit de invoering van een meer complex wachtwoord voor bepaalde accounts van het interne netwerk.

5. De standaardafhandelingsprocedure is erop gericht het voorwerp van de aanval (server, computer, router, enz.) fysisch buiten het bereik van de agressor te plaatsen, vervolgens na te gaan welke methode de agressor gebruikt om het gevaar vervolgens te neutraliseren. Elk incident van dit soort wordt via een verslag gemeld aan de INFOSEC-verantwoordelijke van het BIRB.

6. Het BIRB heeft voor dit soort incidenten nog geen beroep gedaan op de diensten van het parket.

7. Het BIRB is niet op de hoogte van duidelijke richtlijnen ter zake.

8. De ingang en uitgang van het netwerk van het BIRB wordt beveiligd door een firewall. De technologie van de firewall van het BIRB is van recente datum en wordt voortdurend geüpdatet zodat hij een maximale bescherming kan bieden tegen de technologische vooruitgang van een cyberaanval. De servers die toegankelijk zijn van buitenaf, zijn fysisch geïsoleerd in een DMZ voor hen alleen.

Wat het Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA) betreft:

1. Intern netwerk : nee

DMZ (Web site): ja (twee keer)

2. Neen, het CODA heeft niets vastgesteld. Het ICT team is momenteel onderbemand, en het CODA heeft dus geen tijd om de ‘LOG’files regelmatig te controleren.

3. Zoals hierboven vermeld, enkel de website van het CODA. Maar de website bevat geen vertrouwelijke of kritische gegevens en kan gemakkelijk hersteld worden. (aanval FTP)

Tijd nodig voor de herinstallatie : 4 uur.

4. Neen.

5. Ontkoppelen van de betrokken apparaten van het netwerk

Checkup van deze apparaten

Opzoeken van de mogelijke oorzaken via collega’s of Internet

De nodige maatregelen nemen in overeenstemming met het niveau van veiligheid (update van bepaalde software, verandering van het paswoord, enz.)

Reactivering op het netwerk en toezicht gedurende de volgende dagen.

6. Neen.

7. Neen. Het CODA heeft al contact opgenomen met BELNET toen het problemen ondervond met zijn website.

8. Het CODA weet het niet, maar het moet gebeuren. Tot nu toe hebben de beschermingssystemen van het CODA goed gewerkt (Checkpoint manager, Trends Micro, Barracuda...).

Wat de Federale Overheidsdienst (FOD) Economie betreft:

Ik verwijs u naar het antwoord gegeven door mijn collega, de vice-eerste minister en minister van Economie, Consumenten en Noordzee, de heer Johan Vande Lanotte.

Wat het Rijksinstituut voor de sociale verzekeringen der zelfstandige RSVZ) betreft:

1. Er zijn geen gevallen bekend waarbij het RSVZ slachtoffer werd van hackers of cybercriminelen.

2. Niet van toepassing. Zie antwoord op vraag 1.

3. Niet van toepassing. Zie antwoord op vraag 1.

4. Er werd recentelijk een "quick scan" uitgevoerd van de meest risicovolle systemen door een firma gespecialiseerd in forensisch IT onderzoek. Verder worden er op regelmatige basis IT veiligheidsaudits uitgevoerd.

5. De maatregelen welke genomen dienen te worden bij een gebeurlijke cyberaanval zijn afhankelijk van de ernst en het type van aanval.

In het algemeen zal de eerste prioriteit liggen bij het beperken van de schade (stoppen van gegevenslekken, opnieuw operationeel maken van aangevallen systemen, …) en het verwittigen van de bevoegde instanties (Zie antwoord op vraag 7).

Vervolgens zal er, in overleg met de bevoegde diensten, getracht worden om de verantwoordelijken te identificeren en op te sporen.

Ten slotte zal er bekeken worden hoe de systemen van het RSVZ nog beter kunnen beveiligd worden zodat een dergelijke aanval in de toekomst kan vermeden worden.

6. Niet van toepassing. Zie antwoord op vraag 1.

7. De Openbare Instellingen van de Sociale Zekerheid (hierna genoemd OISZ) gebruiken een gemeenschappelijke communicatie-infrastructuur (backbone): het Extranet van Sociale Zekerheid. Alle cyberaanvallen op een OISZ dienen eerst via BELNET, FEDMAN en dan EXTRANET te passeren. Op die drie niveaus bestaan er escalatieprocedures en zijn er securitymaatregelen geïmplementeerd. Op niveau van Extranet zijn er monitoringsystemen aanwezig (IDS + SIEM) en is er zowel een intern als een extern team dat continu de data van deze monitoringsystemen analyseert (intern= Smals; extern= externe firma). Bij vermoeden van een aanval worden de escalatieprocedures geactiveerd. Smals heeft contactpersonen bij FEDICT en BELNET en procedures om bij aanvallen een gezamenlijke aanpak te hanteren. Indien nodig, worden er derde partijen bij betrokken (de PROVIDERS/CERT/ Federal Computer Crime Unit (FCCU)...).

Op niveau van Extranet en op niveau van een OISZ zijn er maatregelen getroffen om security-incidenten te vermijden (malware protectie, IDS & SIEM, firewalls, DMZ, applicatie firewalls, ...). Indien toch geavanceerde cyberaanvallen plaatsvinden van het type "malware infection" (complexe malware, detectie spionagesoftware, ...), zijn opnieuw de hiervoor vermelde escalatieprocedures van toepassing. Indien een OISZ dit type aanval/infectie zelf vaststelt, dient zij contact op te nemen met de KSZ + Smals (security+ supervision Smals). Deze laatsten zullen analyseren of er een impact is op het Extranet en op de andere OISZ-en en hierop de gepaste maatregelen treffen (en indien nodig een escalatieprocedure lanceren). Indien het een lokaal probleem betreft (dus beperkt tot één OISZ), moet door de OISZ onderzocht worden of er derde partijen (FCCU, parket, CERT...) dienen te worden verwittigd. Dit hangt echter af van het type incident en het hieraan verbonden juridisch kader (bijv. wet inzake informaticacriminaliteit).

8. Het is zeer moeilijk om dit risico in te schatten vermits het RSVZ tot nu toe geen enkele aanwijzing heeft dat zijn systemen ooit aangevallen zouden geweest zijn. Gezien het grote aantal veiligheidsmaatregelen welke er door het RSVZ en het Extranet van de Sociale Zekerheid getroffen worden (Zie hoger) lijkt het weinig realistisch, zonder dat dit evenwel volledig kan uitgesloten worden.

Wat de DG Zelfstandigen - FOD Sociale Zekerheid betreft:

Ik verwijs u naar het antwoord gegeven door mijn collega, de vice-eerste minister en minister van Volksgezondheid, mevrouw Laurette Onkelinx.