SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9908 Schriftelijke vraag nr. 5-9908

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes

aan de minister van Overheidsbedrijven en Ontwikkelingssamenwerking, belast met Grote Steden
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/12/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
13/12/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9908 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9908 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 13 décembre 2013 : Antwoord ontvangen op 13 december 2013 :

Pour ce qui concerne le Service public fédéral (SPF) Affaires étrangères, Commerce extérieur et Coopération au Développement, cette question relève des compétences du Ministre des Affaires étrangères puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne le Service public de programmation (SPP) Intégration sociale, cette question relève des compétences de la Secrétaire d'État à l'Asile et la Migration, à l'Intégration sociale et à la Lutte contre la pauvreté puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne Belgacom, je me réfère à mes réponses aux questions orales jointes portant sur le même sujet des Députés Peter Dedecker, Roel Deseyn et Sabien Lahaye-Battheu (CRIV 53 COM 831, pp. 39-42), des Députés Sabien Lahaye-Battheu et Tanguy Veys (CRIV 53 COM 883, pp. 12-13), ainsi qu’à la question écrite n° 10.350 du Sénateur Karl Vanlouwe (envoyée le 28 novembre 2013, mais pas encore disponible sur le site du Sénat).

Pour ce qui concerne bpost :

1, 2 et 3. Une analyse de données récentes montre que le nombre d’incidents qui peuvent être mis en relation avec des cyber-attaques reste stable. Pour la période 2008-2013 il y avait un certain nombre d’attaques infructueuses contre le serveur et sur les applications web et des tentatives de hacking.

4. bpost prend en permanence toutes les mesures nécessaires pour protéger l’infrastructure ICT, le réseau et le site web contre les cyber-attaques notamment par la segmentation et le développement de systèmes pare-feu. Pour des raisons de sécurité, plus de détails ne sont pas rendus publics.

5. Le traitement est fonction du type et de l'ampleur de l'incident.

6. Non.

7. Il n’y pas d’obligation. Dans certains cas, l’analyse est faite en collaboration avec CERT.

8. Compte tenu de l'évolution permanente sur le plan technologique, cela ne peut être exclu.

Pour ce qui concerne le groupe SNCB :

1 à 5 et 8. Le réseau informatique du Groupe SNCB, géré par la direction ICTRA de la SNCB-Holding, est protégé contre les menaces venant de l'Internet. La protection est organisée en fonction des exigences posées au sein du Groupe SNCB et dans les limites des possibilités d'ICTRA. Une protection imperméable à 100 % ne peut toutefois pas être garantie.

ICTRA dispose effectivement de chiffres concernant des cyberattaques et autres délits similaires. Étant donné les exigences minimales sur le plan légal et réglementaire ainsi que l’absence de définition légale de la cybercriminalité, ICTRA ne peut toutefois fournir le nombre exact. Les attaques avec impact limité se rapportent principalement au malware, phishing, spam, tentatives d’attaque du serveur.

La cybercriminalité s’est développée parallèlement à Internet. La protection des informations a bien sûr évoluée également. Sur le plan technique, ICTRA effectue en temps opportun le reporting nécessaire et adapté en matière de virus, de spywares et autres malwares. En ce qui concerne les cyberattaques, ICTRA migre notamment vers un nouveau « Intrusion Detection System (IDS) ». Il s'agit d'une infrastructure de monitoring, de protection et de reporting pour les éventuelles menaces actuelles et futures. Sur le plan de la gestion, un « Information Security Incident Management » spécifique et un reporting conséquent ont été lancés en 2012.

Il est question d'une protection extraprofessionnelle de l'information et pas seulement d'une protection informatique au sein d'ICTRA.

  • Sur le plan technique, ICTRA dispose d'une « layered security » et d'une « in depth security ». La sécurisation des données, des systèmes informatiques et des ordinateurs est réalisée sur le plan technique au moyen de plusieurs mesures de protection (préventives, détectives, correctives et dissuasives, par exemple des firewalls, des logiciels anti-malware, la gestion des accès utilisateurs ...) appliquées à différents niveaux (par exemple périmètre physique, réseau, système d'exploitation, ...).

  • Au niveau de la gestion, ICTRA dispose d'un « Information Security Management System (ISMS) » et de diverses « security policies » et procédures basées sur les bonnes pratiques généralement reconnues (ISO 27001:2005).

  • Sur le plan humain, ICTRA applique une réglementation spécifique en matière de protection de l'information et le personnel est régulièrement informé de la législation et de la réglementation en vigueur, ainsi que des avis relatifs à la protection de l'information.

  • Au sein du réseau d'entreprise, les données confidentielles ne sont pas échangées via un réseau distinct; toutefois, l'accès au données est toujours protégé par un système de contrôle d'accès sur une base « need-to-know »; de plus, une grande partie du réseau privé est switchée, ce qui exclut quasiment toute interception lors du transport. Les données confidentielles échangées via les réseaux publics (comme internet) sont toujours cryptées (tunneling), notamment en utilisant le protocole https.

6 et 7. Les faits pour lesquels il existe une obligation d’information ou pour lesquels on souhaite déposer plainte sont toujours transmis à Holding Human Resources et/ou Holding Legal et traités par ces services. ICTRA ne les transmet pas directement au parquet.

Wat betreft de Federale Overheidsdienst (FOD) Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking valt deze vraag valt onder de bevoegdheden van de Minister van Buitenlandse Zaken, aangezien het dagelijks beheer van het departement hieronder valt.

Wat betreft de Programmatoriche Overheidsdienst (POD) Maatschappelijke Integratie valt deze vraag onder de bevoegdheden van de Staatssecretaris voor Asiel en Migratie, Maatschappelijke Integratie en Armoedebestrijding, aangezien het dagelijks beheer van het departement hieronder valt.

Wat betreft Belgacom, verwijs ik naar mijn antwoorden op de samengevoegde mondelinge vragen met hetzelfde onderwerp van Volksvertegenwoordigers Peter Dedecker, Roel Deseyn en Sabien Lahaye-Battheu (CRIV 53 COM 831, blz. 39-42), van Volksvertegenwoordigers Sabien Lahaye-Battheu en Tanguy Veys (CRIV 53 COM 883, blz. 12-13) en op de schriftelijke vraag nr. 10.350 van Senator Karl Vanlouwe (verstuurd op 28 november 2013 maar nog niet beschikbaar op de site van de Senaat).

Wat betreft bpost:

1, 2 en 3. Uit analyse van recente gegevens blijkt dat het aantal incidenten die in verband kunnen gebracht worden met cyberaanvallen stabiel blijft. In de periode 2008-2013 waren er enkele vruchteloze aanvallen tegen de server en op webapplicaties en pogingen tot hacking.

4. bpost neemt voortdurend alle nodige maatregelen om de ICT-infrastructuur, het netwerk en de website te beveiligingen o.m. door segmentatie en zogenaamde firewalls. Meer details worden, precies omwille van de veiligheid, niet bekend gemaakt.

5. De afhandeling is afhankelijk van het type en de omvang van het incident.

6. Neen.

7. Er is geen verplichting. In een aantal gevallen wordt samengewerkt met CERT voor analyse van de incidenten.

8. Gezien de voortdurende evolutie op het technologische vlak, kan dit niet uitgesloten worden.

Wat betreft de NMBS-groep:

1 tot 5 en 8. Het informaticanetwerk van de NMBS-Groep dat wordt beheerd door ICTRA van de NMBS-Holding is beveiligd tegen dreigingen van het Internet. De beveiliging wordt georganiseerd in functie van de vereisten binnen de NMBS-Groep en binnen de mogelijkheden van ICTRA. Een 100 % waterdichte beveiliging valt echter niet te garanderen.

ICTRA beschikt wel degelijk over cijfers met betrekking tot cyberaanvallen en dergelijke. Gezien de minimale wet- en regelgevende vereisten en een ontbrekende wettelijke definitie betreffende cybercriminaliteit kan ICTRA echter geen objectief totaal verschaffen. De aanvallen met een beperkte impact betroffen voornamelijk malware, phishing, spam, pogingen tot server-aanvallen.

De cybercriminaliteit is meegegroeid met het Internet. Natuurlijk evolueert ook de informatiebeveiliging steeds mee. Op technisch vlak hanteert ICTRA de vereiste, gepaste en tijdige rapportering in verband met virussen, spyware en andere malware. Wat cyberaanvallen betreft migreert ICTRA onder andere naar een nieuwe “Intrusion Detection System (IDS)”. Dit is een infrastructuur voor de monitoring, afweer en rapportering van de mogelijke huidige en toekomstige dreigingen. Op beheersmatig vlak is binnen ICTRA een specifiek “Information Security Incident Management” en consequente rapportering opgestart in 2012.

Er is sprake van extra professionele informatie-beveiliging en niet enkel informatica-beveiliging te ICTRA.

  • Op technisch vlak beschikt ICTRA over “layered security” en “in depth security”. De beveiliging van de gegevens, de informatiesystemen en computers is technisch gerealiseerd door meerdere beveiligingsmaatregelen (preventief, detectief, correctief en ontradend zoals bijvoorbeeld firewalls, anti-malware, gebruikerstoegangsbeheer…) op meerdere niveaus (bijvoorbeeld fysieke perimeter, netwerk, operating system, … ).

  • Op beheersmatig vlak beschikt ICTRA over een “Information Security Management System (ISMS)”en over diverse “security policies” en procedures gebaseerd op de algemeen erkende goede praktijken (ISO 27001:2005).

  • Op menselijk vlak hanteert ICTRA een specifieke regelgeving in verband met de informatiebeveiliging en regelmatig wordt het personeel op de hoogte gebracht van de toepassing zijn wet- en regelgeving en van adviezen omtrent informatie-beveiliging.

  • Binnen het bedrijfsnetwerk worden vertrouwelijke data niet via een apart netwerk uitgewisseld; wel wordt de toegang tot vertrouwelijke data steeds afgeschermd door een toegangscontrolesysteem op een “need-to-know” basis; daarenboven is het grootste deel van het privaat netwerk geswitched, waardoor het onderscheppen bij transport nagenoeg uitgesloten is. Vertrouwelijke data die uitgewisseld worden via publieke netwerken (zoals internet) worden steeds geëncrypteerd (tunneling), door bijvoorbeeld gebruik te maken van het https protocol.

6 en 7. Feiten waarvoor een meldingsplicht bestaat of waarvoor men een klacht wenst in te dienen, worden steeds doorgegeven en behandeld door de Holding Human Resources en/of Holding Legal. ICTRA escaleert niet rechtstreeks aan het parket.