SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9909 Schriftelijke vraag nr. 5-9909

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au ministre des Finances, chargé de la Fonction publique

aan de minister van Financiën, belast met Ambtenarenzaken
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
29/11/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
29/11/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9909 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9909 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 29 novembre 2013 : Antwoord ontvangen op 29 november 2013 :

1. et 3. En février 2012, le Service public fédéral (SPF) Finances a été victime d'une infection par le virus de Sality.Gen, qui a eu un impact sur un certain nombre de postes de travail sans paralyser le fonctionnement du Département.

Avec l'aide de spécialistes externes, en particulier de la société McAfee, le SPF Finances a assaini l’entièreté de sa flotte de PC et adapté son organisation et ses procédures internes, en tenant compte des recommandations de l'audit de sécurité qui a été réalisé suite à cet incident.

Entretemps, un nouveau système antivirus a été installé depuis juin 2012. Ce système comporte de nouvelles fonctionnalités pour surveiller le parc de PC en temps réel, maintenir la sécurité des postes de travail à jour de façon permanente et augmenter la réactivité à travers un système décentralisé pour la distribution des correctifs de sécurité.

2. Deux cas de tentative de « SQL-Injection » ont été constatés, en mars 2013 (application « Tarweb » - Tarif douanier) et en octobre 2013. Les systèmes de sécurité ont correctement rempli leur rôle, et aucun dégât ou vol d'information n'a été constaté.

Le nombre de situations suspectes constatées étant très limité, on ne peut pas parler d'augmentation.

Dans le domaine des virus, on détecte un nombre constant d'alerte de détection de virus sur les postes de travail des fonctionnaires. Ce nombre de détection est de l'ordre de 2 000 à 3 000 par mois, pour un parc de 25 000 postes de travail. Ces détections signifient que les protections ont fonctionné.

4. Lors de l'installation des nouveaux systèmes Antivirus 2012, l’administration a acheté les licences et services (pour les postes de travail et les serveurs) pour un montant de 249 429 euros TVA comprise.

Le SPF Finances dispose d'une infrastructure de sécurité importante et de l'organisation pour sa mise en œuvre. Cette infrastructure évolue dans l’optique de nouveaux dangers.

Le SPF Finances est ainsi occupé à installer un « pare-feu d'applications Web ».

Une procédure analyse régulièrement le code des « applications e-gov » (applications qui fournissent des services aux citoyens et aux entreprises) pour y détecter les maillons faibles de la sécurité.

En outre, le SPF Finances est en contact avec diverses institutions publiques (CERT, Fedict…) afin de tirer les leçons des problèmes informatiques auxquels elles ont été confrontées.

5. Dès que le SPF Finances a connaissance d'une attaque constatée ou présumée ou d'un risque d'attaque spécifique, il procède comme suit :

  • déterminer la nature de l'attaque,

  • identifier la cible de l'attaque,

  • évaluer la gravité de l'attaque,

  • rechercher les moyens d'identifier l'attaquant, ou l’origine de l'attaque,

  • chercher à neutraliser l'accès, par l'attaquant, à la ressource visée,

  • au besoin, suspendre le service visé, le temps de trouver une solution.

En cas d'interruption de service, ou d'un autre impact significatif, le SPF Finances informe les utilisateurs (fonctionnaires ou citoyens), via sa cellule de Communication, ou via ses sites Intranet ou Internet.

Dès que le risque immédiat est écarté, les actions suivantes sont prises :

  • rechercher la faille du système qui a rendu l'attaque possible,

  • prendre des mesures pour éliminer cette vulnérabilité.

Une fois la situation sous contrôle, les services qui ont été suspendus sont rétablis. Un rapport d'incident est établi.

Dès la constatation d'un problème significatif, le coordinateur de sécurité ICT est informé afin de permettre une action coordonnée des différentes équipes concernées.

6. Dans quelques cas, et en particulier dans les cas de phishing, des contacts ont été pris avec la police fédérale pour signaler le fait observé. Ces contacts ont eu lieu suivant divers moyens

  • via le site web "www.ecops.be".

  • par contact direct avec des agents de la FCCU.

Il est rare que le fait donne lieu à une plainte judiciaire. Cette démarche n'est envisagée que si on dispose de suffisamment d'informations pour envisager une action utile. Dans le cas contraire, on se contente d'informer la police, laquelle peut prendre des actions en cas d'accumulation de faits similaires.

7. Les échanges d'informations ont eu lieu avec le CERT, à l'initiative du CERT ou à l'initiative du SPF Finances. La nature de ces contacts concerne, soit un simple échange d'informations, soit une demande d'actions concrètes : dans le cas des tentatives de phishing où il a été possible d'identifier le site de collecte des informations volées, il a été demandé au CERT de prendre des mesures pour en bloquer l'accès. Ce type de mesure concerne le réseau mondial : elle ne se limite pas à l'infrastructure du SPF Finances.

8. Le SPF Finances prends un ensemble de mesures de sécurité et dispose d'une infrastructure de sécurité qui permet de protéger son infrastructure informatique contre les attaques connues ou raisonnablement prévisibles. Ces mesures et cette infrastructure de sécurité évoluent en fonction des menaces, soit par la mise à jour des patches de sécurité, des antivirus…, soit par la réalisation de nouveaux investissements si de nouvelles menaces apparaissent. Néanmoins, les hackers peuvent toujours développer de nouvelles techniques d'attaques qui ne sont pas prévues et contre lesquelles les moyens de réponse ne sont pas immédiatement disponibles. Les techniques de défense ne sont disponibles qu'avec un retard par rapport aux nouvelles techniques d'attaque. Il n'en reste pas moins vrai que l'attaquant doit toujours franchir plusieurs obstacles mis sur sa route, ce qui nécessite une grande expertise.

1. en 3. In februari 2012 werd de Federale Overheidsdienst (FOD) Financiën het slachtoffer van een besmetting met het virus Sality.Gen, die gevolgen had voor een aantal werkposten zonder de werking van het departement te blokkeren.

Met de hulp van externe specialisten, met name van het bedrijf McAfee, heeft de FOD Financiën haar volledige pc-park gesaneerd en haar organisatie en interne procedures aangepast, rekening houdend met de aanbevelingen van de veiligheidsaudit die als gevolg van dit incident werd uitgevoerd.

Ondertussen werd er sinds juni 2012 een nieuw antivirussysteem geïnstalleerd. Dit systeem beschikt over nieuwe functionaliteiten om in real time de status van het pc-park te controleren, de beveiliging van de werkposten permanent up-to-date te houden en de reactiviteit te verhogen door middel van een gedecentraliseerd systeem voor de distributie van veiligheidspatches.

2. Er werden twee pogingen tot "SQL-Injection" vastgesteld: in maart 2013 (applicatie "Tarweb" – douanetarieven) en in oktober 2013. De beveiligingssystemen hebben hun rol correct vervuld en er werd geen enkele schade of informatiediefstal vastgesteld.

Het vastgestelde aantal verdachte situaties is zeer beperkt; men kan dus niet spreken van een toename.

Wat de virussen betreft, stellen we een constant aantal virusdetectiewaarschuwingen vast op de werkposten van de ambtenaren. Dit aantal detecties bedraagt 2 000 à 3 000 per maand, voor een park van 25 000 werkposten. Deze detecties betekenen dat de beschermingen hebben gewerkt.

4. Bij de installatie van de nieuwe antivirussystemen 2012 heeft de administratie licenties en services aangekocht (voor de werkposten en de servers) voor een bedrag van 249 429 euro inclusief btw.

De FOD Financiën beschikt over een belangrijke beveiligingsinfrastructuur en over de organisatie om deze in te zetten.

Zo installeert de FOD Financiën een "Web application firewall".

Een procedure analyseert geregeld de code van de "e-govtoepassingen" (toepassingen die diensten leveren aan burgers en ondernemingen) om zwakkere schakels in de beveiliging op te sporen.

Daarnaast onderhoudt de FOD Financiën contact met diverse openbare instellingen (CERT, Fedict …) om lessen te trekken uit de informaticaproblemen waarmee deze werden geconfronteerd.

5. Zodra de FOD Financiën weet heeft van een vastgestelde of vermoede aanval, of van een specifiek aanvalsrisico, gaat ze als volgt te werk:

  • de aard van de aanval definiëren,

  • het doelwit van de aanval identificeren,

  • de ernst van de aanval evalueren,

  • de middelen zoeken om de aanvaller of de bron van de aanval te identificeren,

  • de toegang van de aanvaller tot de beoogde resource trachten te neutraliseren,

  • indien nodig de geviseerde dienst tijdelijk blokkeren om een oplossing te vinden.

In geval van onderbreking van de dienst of een andere betekenisvolle impact, brengt de FOD Financiën de gebruikers (ambtenaren of burgers) op de hoogte via haar Communicatiecel, of via haar intranet- of internetsites.

Zodra het onmiddellijke risico afgewenteld is, worden de volgende acties ondernomen:

  • de kwetsbare plek in het systeem opsporen waarlangs de aanval mogelijk werd gemaakt,

  • de nodige maatregelen nemen om deze kwetsbaarheid uit te schakelen.

Zodra de toestand onder controle is, worden de geblokkeerde diensten opnieuw in werking gesteld. Er wordt een incidentrapport opgesteld.

Indien een betekenisvol probleem wordt vastgesteld, wordt de ICT-veiligheidscoördinator op de hoogte gebracht om een gecoördineerde actie van de verschillende betrokken teams mogelijk te maken.

6. In enkele gevallen, en in het bijzonder in het geval van phishing, werd contact opgenomen met de federale politie om het waargenomen feit te signaleren. Deze contacten vinden plaats op diverse manieren:

  • via de website "www.ecops.be".

  • via direct contact met de agenten van de FCCU.

Het komt zelden voor dat een feit aanleiding vormt voor een gerechtelijke klacht. Deze stap wordt pas overwogen indien voldoende informatie ter beschikking is om een nuttige actie te ondernemen. In het andere geval beperken we ons tot het informeren van de politie; deze kan actie ondernemen in het geval van accumulatie van vergelijkbare feiten.

7. Er werd informatie uitgewisseld met CERT, op initiatief van CERT of op initiatief van de FOD Financiën. De aard van deze contacten betreft ofwel een loutere informatie-uitwisseling, ofwel een vraag tot concrete acties. In het geval van phishingpogingen waarbij identificatie mogelijk was van de site waar de gestolen informatie werd verzameld, werd aan CERT gevraagd maatregelen te nemen om de toegang hiertoe te blokkeren. Dit soort maatregelen betreft het wereldwijde web en beperkt zich niet tot de infrastructuur van de FOD Financiën.

8. De FOD Financiën neemt een hele reeks veiligheidsmaatregelen en beschikt over een veiligheidsinfrastructuur die in staat is zijn IT-infrastructuur te beschermen tegen de gekende of redelijkerwijs voorspelbare aanvallen. Deze veiligheidsmaatregelen en -infrastructuur evolueren met de gevaren mee: hetzij door een updating van de veiligheidspatches, antivirussen, …, hetzij door de realisatie van nieuwe investeringen indien zich nieuwe gevaren aandienen. De hackers kunnen echter altijd nieuwe aanvalstechnieken ontwikkelen die nog niet voorzien waren, en waarvoor niet onmiddellijk een antwoord voorhanden is. Verdedigingstechnieken tegen nieuwe aanvalstechnieken zijn altijd pas met enige vertraging beschikbaar. De aanvaller dient onderweg echter altijd eerst meerdere hindernissen op te ruimen. Hiervoor is een grote expertise vereist.