SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9907 Schriftelijke vraag nr. 5-9907

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la ministre de l'Emploi

aan de minister van Werk
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
26/11/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
26/11/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9907 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9907 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 26 novembre 2013 : Antwoord ontvangen op 26 november 2013 :

Vous voudrez bien trouver ci-dessous les éléments de réponse à la question posée.

1. Quotidiennement, le service d’encadrement Technologies de l’Information et de la Communication du département doit faire face à des pratiques émanant d’opérateurs extérieurs visant à pénétrer frauduleusement dans le système informatique du Service public fédéral (SPF) et aussi à usurper l’identité des agents, tant au niveau du user Name qu’au niveau du mot de passe. Ces tentatives, nombreuses, n’ont pas atteint leur cible.

2. Mes services ne disposent pas de chiffres précis autorisant l’analyse de l’évolution de la cybercriminalité au cours des années passées. En fait, le firewall actuel ne permet pas de conserver les enregistrements des incidents survenus pendant l’année en cours et ceux survenus au cours des années précédentes. On sait que leur nombre est important et le service informatique se doit d’y apporter instantanément une parade efficiente.

Aujourd’hui, l’achat d’un nouveau firewall disposant de la possibilité de conserver la trace des incidents est à l’étude. L’analyse des attaques devra être menée par du personnel qualifié, spécialement détaché à la réalisation de cette mission, du moins si l’enveloppe budgétaire accordée au département permet le recrutement et l’occupation à plein temps d’analystes spécialisés.

3. Le service informatique a dû faire face à une attaque ciblant le serveur de messagerie du département. Aussi, pendant quelques heures, des mails-spam ont été largement diffusés sous le couvert de la dénomination officielle du département ; aussi, le serveur a été placé sur liste noire rendant ainsi inopérante, pendant quelques heures, la diffusion de tout courriel.

Le service TIC a donc :

  • mis fin à l’usurpation d’identité : le compte mail squatté a été temporairement désactivé et le mot de passe de l’utilisateur du compte spammé a été modifié ;

  • paramétré de façon plus restrictive le serveur mail ;

  • pris contact avec la firme qui avait placé le département sur liste noire : un rapport exhaustif des causes de l’incident et une description précise des mesures prises pour y remédier et faire en sorte qu’il ne se représente plus lui a été transmis.

A la suite de quoi l’utilisation du système est revenue à la normale

En interne, la direction du service informatique a décidé de consacrer plus d’énergie à la mise en place d’une politique plus restrictive quant à la création et l’utilisation des mots de passe, à l’écriture et la diffusion en interne de documents informatifs concernant plus particulièrement l’utilisation du mail et d’Internet.

4. Le département essaie dans la mesure du possible d’anticiper les attaques, d’améliorer ses systèmes de détection et son degré de riposte.

Les attaques récentes sur d’autres sites fédéraux n’ont pas une incidence majeure sur le souci du département de sécuriser au quotidien ses systèmes d’exploitation et de communication.

5. Par défaut, on peut distinguer trois niveaux d’alerte-réaction :

  • attaque non paralysante : pas de coupure de service ;

  • attaque ciblée sur un service: celui-ci est déconnecté du réseau ;

  • attaque ciblant la totalité des services : mise en quarantaine de la totalité des services qui sont ainsi coupés du monde extérieur : plus de messagerie, plus de VPN, plus d’accès Internet, etc.

Pour des raisons de sécurité et pour garantir un certain niveau de confidentialité, je ne m’étendrai pas davantage sur les dispositions concrètes prises en cas d’attaque généralisée.

6. Non.

7. Seule obligation : le département fait partie du réseau de la Sécurité sociale articulé autour de la Banque Carrefour de la Sécurité sociale et son conseiller en sécurité est tenu d’avertir ses collègues sur la nature et l’ampleur d’un incident qui surviendrait dans son institution. Après analyse, la Banque Carrefour peut décider de mettre en quarantaine l’institution de sécurité sociale en la déconnectant du réseau de la Sécurité sociale.

8. Un niveau de sécurité garanti à 100 % n’existe pas ; il est donc fort possible d’imaginer que nous soyons attaqués sans le savoir. Mais une nouvelle génération de firewalls permet aujourd’hui de repérer les connexions fantômes.

Le service informatique, avec les seuls moyens budgétaires et en personnel dont il peut disposer, tente de mettre en place des dispositifs qui doivent accroître le niveau de sécurité en investissant, dans la mesure du possible, dans du matériel et des logiciels qui permettent d’atteindre cet objectif.

Gelieve hierna de elementen van antwoord te willen vinden op de gestelde vraag.

1. De Stafdienst Informatie- en Communicatietechnologieën wordt dagelijks geconfronteerd met praktijken van externe operators die op frauduleuze wijze trachten binnen te dringen in de informaticasystemen van de Federale overheidsdienst (FOD) en misbruik te maken van de identiteit van ambtenaren, door hun gebruikersaccount te hacken. Deze talrijke pogingen hebben tot op heden hun doel niet bereikt.

2. Mijn diensten beschikken niet over exacte cijfers die een analyse toelaten van de evolutie van de cybercrime over de jaren heen. De actuele firewall laat niet toe de gegevens te bewaren van de incidenten tijdens het afgelopen jaar noch van deze van de vorige jaren. Wij weten dat het aantal vrij hoog is en dat de dienst informatica voortdurend op zijn hoede moet zijn om onmiddellijk en deskundig te kunnen reageren. De aankoop van een nieuwe firewall die het mogelijk maakt deze gegevens te bewaren ligt momenteel ter studie. De analyse van de aanvallen moet worden uitgevoerd door gekwalificeerd personeel, speciaal aangewezen voor het uitoefenen van deze opdracht, tenminste wanneer de aan het departement toegekende budgettaire enveloppe de aanwerving en voltijdse tewerkstelling van gespecialiseerde analisten toelaat.

3. De dienst informatica heeft het hoofd moeten bieden aan een gerichte aanval op de mailserver van het departement. Gedurende verschillende uren werd er ook een massa spammail verspreid onder het mom van de officiële benaming van het departement, waarna de server op een zwarte lijst kwam te staan en op die manier, gedurende verschillende uren, het versturen van mail onmogelijk was.

De dienst ICT heeft dus:

  • de identiteitsdiefstal ongedaan gemaakt: de gehackte email account werd tijdelijk gedesactiveerd en het paswoord van de gebruiker in kwestie werd gewijzigd;

  • de mailserver op een meer restrictieve manier geconfigureerd;

  • contact opgenomen met de firma die het departement op een zwarte lijst had geplaatst: een uitgebreid verslag werd opgesteld over de oorzaken van het incident en een gedetailleerde beschrijving van de getroffen maatregelen om het probleem te verhelpen en te vermijden dat het zich herhaald werd hen overgemaakt.

Als gevolg daarvan werkten de systemen terug normaal.

Intern heeft de directie van de dienst informatica beslist meer energie te steken in het op punt stellen van een restrictiever beleid betreffende het creëren en gebruiken van paswoorden en het schrijven en intern verspreiden van informatieve documenten betreffende het gebruik van mail en internet.

4. Het departement tracht in de mate van het mogelijke de aanvallen te anticiperen, de detectiesystemen en de reactiesnelheid te verbeteren.

De recente aanvallen op andere federale overheidssites hebben geen wezenlijke invloed gehad op de bezorgdheid van het departement in het dagdagelijks beveiligen van hun informatica- en communicatiesystemen.

5. Standaard onderscheidt men drie niveaus alarm-reactie:

  • niet verlammende aanval: geen onderbreking van de dienst ;

  • doelgerichte aanval op een dienst: deze wordt afgesneden van het netwerk;

  • doelgerichte aanval op alle diensten: in quarantainestelling van alle diensten die op die manier volledig afgesloten zijn van de buitenwereld: geen mail, geen VPN, geen internettoegang meer, enz.

Om veiligheidsredenen en om een zeker niveau van vertrouwelijkheid te garanderen, wijd ik hier niet verder uit over de concrete maatregelen die werden genomen voor het geval van een veralgemeende aanval.

6. Neen.

7. Enige verplichting: het departement maakt deel uit van het netwerk van de Sociale Zekerheid, gegroepeerd rond de Kruispuntbank van de Sociale Zekerheid en zijn veiligheidsadviseur is gehouden zijn collega’s te verwittigen over de aard en de ernst van een incident binnen zijn instelling. Na analyse kan de Kruispuntbank van de Sociale Zekerheid beslissen de instelling in quarantaine te stellen door haar te ontkoppelen van het netwerk van de Sociale Zekerheid.

8. Een veiligheidsniveau van 100 % bestaat niet; daarom is het waarschijnlijk zich voor te stellen dat wij worden aangevallen zonder het te weten. Maar een nieuwe generatie firewalls laat vandaag toe spookverbindingen op te sporen.

De dienst informatica tracht, met de budgettaire middelen en het personeel dat hem ter beschikking staat, maatregelen te nemen die het veiligheidsniveau moeten verhogen door te investeren, in de mate van het mogelijke, in materiaal en software die toelaten dit doel te bereiken.