SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9910 Schriftelijke vraag nr. 5-9910

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au secrétaire d'État à l'Environnement, à l'Énergie et à la Mobilité, adjoint à la ministre de l'Intérieur et de l'Égalité des Chances, et secrétaire d'État aux Réformes institutionnelles, adjoint au premier ministre

aan de staatssecretaris voor Leefmilieu, Energie en Mobiliteit, toegevoegd aan de minister van Binnenlandse Zaken en Gelijke Kansen, en staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
4/2/2014 Herkwalificatie
25/2/2014 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
4/2/2014 Herkwalificatie
25/2/2014 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Geherkwalificeerd als : vraag om uitleg 5-4717
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Geherkwalificeerd als : vraag om uitleg 5-4717
________ ________
Question n° 5-9910 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9910 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 25 février 2014 : Antwoord ontvangen op 25 februari 2014 :

En ce qui concerne le Service public fédéral (SPF) Mobilité:

Comme vous vous référez à l'actualité récente, le mot « cybercriminalité », dans les présentes questions, est interprété comme des attaques ciblées contre nos services et non comme les menaces générales (virus, logiciels malveillants, espiogiciels, etc.). Pour ces dernières, je vous renvoie à notre réponse à vos questions posées le 13 décembre 2012.

1./ Jusqu'à présent, nous n'avons encore détecté aucune attaque (de cybercriminalité) contre nos services.

2/ Non. (Voir aussi question 1.) Les chiffres ne sont pas encore disponibles.

3/ Pas d’application

4/ Nos règles sont basées sur l'approche ISO 27002. Ce paquet de mesures a pour but de garantir la sécurité de l'information. À côté de cela, nous essayons aussi de détecter des comportements aberrants sur le réseau afin de repérer d'éventuelles attaques non encore identifiées.

5/ Nous parlons dans ce cas d'une procédure d'urgence au lieu d'une procédure standard. Lorsqu'une application est compromise, les étapes principales de la procédure sont les suivantes :

  • L'application sera placée le plus vite possible sous quarantaine et il sera interdit d'apporter une quelconque modification à la configuration ou à l'application tant que l'enquête n'est pas clôturée.

  • Le parquet, le CERT et Fedict seront avertis.

  • Dans le cas où cela concerne une application critique au niveau opérationnel, une nouvelle installation sera prévue pour garantir la continuité du service pendant la durée de l'enquête.

6/ Non. (Voir réponse 1.)

7/ Chaque détection d'attaque ciblée contre nos services sera signalée à

• Fedict en CERT pour avertir d'une part d'autres services et pour demander d'autre part une éventuelle aide si cela s'avère nécessaire.

• Le parquet.

8/ Le risque est réel et dépend notamment de la valeur des données qu'on voudrait s'approprier de cette manière.

Pour ce qui concerne le SPF Santé publique et Environnement:

1/ Le réseau local est protégé par un pare-feu qui régule les connexions réseau depuis et vers l'internet. L'accès aux sites internet est filtré par un proxy de manière à bloquer l'accès à des sites "dangereux" connus. Seules des connexions VPN sont autorisées via SSLVPN pour autant que le PC soit pourvu d'un scanner antivirus actif actualisé. Nos serveurs offrant des services au public/externes (site web public, messagerie, appplications telles que Portahealth et Absentéisme, etc.) sont protégés par un "reverse proxy". Toutes les machines Windows sont équipées de McAfee Antivirus et McAfee SiteAdvisor .

Aucune trace d'attaque ciblée contre nous n'a jamais été observée.

2/ Le nombre de détections du scanner antivirus a augmenté. Aucune information historique n'est disponible à ce sujet. Aucune statistique des attaques constatées par les systèmes de protection du réseau (pare-feu, reverse proxy) n'est disponible.

3/ Aucun incident n'est connu.

4/ On s'efforce toujours d'actualiser les logiciels présents sur les différents appareils. En outre, sur chaque PC, l'antivirus est actualisé autant que possible, tant la version du logiciel que les définitions de virus.

En réponse aux cas signalés dans la presse d'attaques récentes et de menaces au sein d'autres instances, diverses mesures à court terme ont été prises au niveau du réseau:

• Les systèmes majeurs de protection du réseau ont été actualisés, certains réglages de sécurité ont été vérifiés.

• Le DNS externe a été transformé en DNS sur autorisation.

• Une nouvelle règle d'accès a été configurée sur le pare-feu et les systèmes "edge". Cette règle peut être activée en cas d'attaque en cours. Lorsqu'elle est activée, cette règle bloque la toute grande majorité des adresses IP situées à l'étranger.

• Une liste a été établie reprenant les coordonnées d'instances pouvant être consultées en cas d'attaque (Fedict, Rapid Response Team Checkpoint et CERT.be).

À plus long terme, d'autres actions seront entreprises et l'implémentation d'une sécurisation supplémentaire du réseau sera examinée.

• Mises à jour non courantes de l'appareillage réseau

• Meilleure connexion avec analyse de l'activité réseau

• Recherche de modules de sécurisation supplémentaires (comme AFM et ASM pour le reverse proxy (F5 BIG-IP))

• Recherche d'une solution IPS/IDS

• Recherche d’une solution d’accès pour les terminaux mobiles

En fonction du temps et des moyens disponibles, ces mesures entraîneront une meilleure protection du réseau.

5/ L'attaque sera atténuée aussi bien que possible à l'aide des moyens disponibles. Le service chargé de la sécurité au SPF, de même que Fedict, seront informés et sollicités pour fournir aide et conseils.

Une procédure de gestion d’incidents de sécurité est en cours de développement (selon les principes d’ITIL V3) impliquant des procédures d’escalade, des schémas standards de résolution, l’appel à un IRT (incident response team)

6/ Non

7/ Le conseiller en sécurité de notre SPF demande de signaler tout incident de sécurité. Ce service se charge de la suite du traitement.

Le SPF n’est pas obligé de communiquer les incidents de sécurité à FedICT ou au CERT, aucune loi contraignante n’existe.

Par contre, les législations Registre National, BCSS, e-Health et FediCT imposent un rapportage au Comité de Direction du SPF de la part du Conseiller en Sécurité

Les incidents qui touchent les données tombant sous l’application des légilsations bcss, e-health, reach et biocides sont, par application de normes de sécurité spécifiques, communiquées aux organismes centralisateurs correspondants (BCSS/e-Health ou ECHA)

De façon plus générale, et en application des principes de bonne gestion de la sécurité de l’information (normes ISO 27xxx), les incidents de sécurité futurs devraient être communiqués systématiquement aux partenaires concernés.

8/ Il est possible que des attaques ou tentatives d'attaque aient eu lieu contre nos services. Aucune panne, aucun dysfonctionnement n'ont toutefois été constatés ni signalés, ni par les administrateurs de systèmes ni par les utilisateurs.

Pour ce qui concerne le SPF Économie :

En ce qui concerne le SPF Economie, Petites et moyennes entreprises (PME), Classes moyennes et Energie, je renvoie l’honorable membre vers la réponse apportée par mon collègue, le vice-premier ministre et ministre de l’Économie, des Consommateurs et de la mer du Nord, à la question n° 5-9900.

Voor wat de Federale Overheidsdienst (FOD) Mobiliteit betreft:

Aangezien u verwijst naar de recente actualiteit is “cybercrime” in deze vragen geïnterpreteerd als gerichte aanvallen op onze diensten en niet de algemene ( virussen, malware, spyware , enz.) bedreigingen. Voor deze laatste verwijs ik naar ons antwoord op uw vragen gesteld op 13 december 2012.

1/ Tot op heden hebben we nog geen (cybercrime) aanvallen gedetecteerd bij onze diensten

2/ Neen , (zie ook vraag 1 ) Cijfers zijn niet beschikbaar

3/ Niet van toepassing

4/ Onze maatregelen zijn gebaseerd op de ISO 27002 aanpak. Dit pakket van maatregelen heeft tot doel de veiligheid van informatie te verzekeren. Daarnaast proberen we afwijkende gedragingen in het netwerk te detecteren om eventuele nog niet geïdentificeerde aanvallen op te sporen

5/ We spreken in dit geval van een emercency prcedure in plaats van een standaard procedure. Wanneer een applicatie gecompromitteerd is zijn dit de belangrijkste stappen in de procedure :

  • De applicatie wordt zo snel mogelijk in quanrantaine geplaatst en het is verboden tot nader bericht om eender welke wijziging aan te brengen aan de configuratie of aan de applicatie tot het onderzoek is afgelopen

  • Het Parket , CERT en Fedict worden verwittigd

  • Ingeval het een business kritische applicatie betreft wordt er een nieuwe installatie voorzien om de dienstverlening te verzekeren tijdens de duur van het onderzoek .

6/ Neen (zie antwoord1 )

7/ Elke gerichte gedetecteerde aanval op onze diensten wordt gemeld aan

• Fedict en CERT om enerzijds andere diensten te waarschuwen en voor eventuele vraag voor support indien nodig

• Het parket

8/ De kans is reëel en wordt mede bepaald door de waarde van de gegevens die men op deze manier kan bemachtigen.

Voor wat de FOD Volksgezondheid en Leefmilieu betreft:

1/ Het lokale netwerk wordt beschermd door een firewall die de netwerkconnecties reguleert van en naar het Internet. De toegang tot Internetwebsites wordt gefilterd door een proxy zodat toegang tot gekende ‘gevaarlijke’ sites worden geblokkeerd. Via SSLVPN worden slechts VPN-connecties toegelaten mits een op de PC aanwezige up-to-date actieve virusscanner. Onze servers die publieke/externe services aanbieden (publieke website, mail, applicaties zoals portahealth en absenteisme, enz.) worden afgeschermd door een reverse proxy. Op alle Windows machines is McAfee Antivirus en McAfee SiteAdvisor geïnstalleerd.

Er zijn nooit sporen van een gerichte aanval tegen ons waargenomen.

2/ Het aantal detecties van de virusscan is gestegen. Er zijn daarvan geen historische data beschikbaar. Cijfers van aanvallen waargenomen door de netwerkbeveiligingsapparatuur (firewall, reverse proxy) zijn niet beschikbaar.

3/ Er zijn geen incidenten bekend.

4/ Er wordt steeds getracht om de software op de verschillende apparatuur up-to-date te houden. Verder wordt de antivirus op elke pc, zo goed mogelijk up-to-date gehouden, zowel de softwareversie als de virusdefinities.

Als antwoord op de meldingen in de pers van recente aanvallen en dreigingen bij andere instanties zijn er een aantal korte termijnmaatregelen genomen op netwerkniveau:

• belangrijke netwerkbeveiligingsapparatuur is up-to-date gebracht, bepaalde security instellingen zijn nagekeken

• de externe DNS is omgevormd tot een authorative DNS.

• Er is een nieuwe toegangsregel geconfigureerd op de firewall en de edge devices. Deze regel kan worden geactiveerd in geval van een aanval die bezig is. Bij activatie blokkeert deze regel de overgrote meerderheid van IP-adressen uit het buitenland.

• Er is een lijst opgesteld met contactdetails van instanties die geconsulteerd kunnen worden in geval van een aanval (Fedict, Rapid Response Team Checkpoint en CERT.be).

Op langere termijn zullen verdere acties worden ondernomen en de implementatie van een verdere beveiliging van het netwerk worden onderzocht:

• Niet-triviale upgrades van netwerkapparatuur

• Betere logging met analyse van netwerkactiviteit

• Onderzoek naar bijkomende beveiligingsmodules (zoals AFM en ASM voor de reverse proxy (F5 BIG-IP))

• Onderzoek naar een IPS/IDS oplossing

• Onderzoek naar een oplossing voor de netwerktoegang voor mobiele toestellen

Afhankelijk van de beschikbare tijd en middelen zal dit leiden naar een betere beveiliging van het netwerk.

5/ De aanval zal zo goed mogelijk met de beschikbare middelen worden gemitigeerd. De dienst belast met de Security op de FOD alsook Fedict zal op de hoogte worden gebracht en gevraagd om bijstand en advies.

Er wordt momenteel gewerkt aan een procedure voor het beheer van veiligheidsincidenten (volgens de beginselen van ITIL V3) inclusief escalatieprocedures, standaardresolutieschema’s, het inroepen van de hulp van een IRT (incident response team)

6/ Nee

7/ De veiligheidsadviseur van onze FOD vraagt melding te maken van elk security-incident. Deze dienst handelt dit verder af.

De FOD is niet verplicht om veiligheidsincidenten te melden aan FedICT of CERT, er bestaat geen enkele bindende wet.

De wetgevingen Rijksregister, KBO, e-Health en FediCT daarentegen leggen een verplichte rapportering aan het Directiecomité van de FOD door de Veiligheidsadviseur op

Incidenten die betrekking hebben op gegevens die vallen onder de toepassing van de wetgevingen KBO, e-health, reach en biociden worden, in toepassing van specifieke veiligheidsnomren, gemeld aan de desbetreffende centraliserende organismen (KBO/e-Health of ECHA)

Meer in het algemeen en in overeenstemming met de principes van een goed informatieveiligheidsbeheer (ISO 27xxx normen), zouden veiligheidsincidenten in de toekomst systematisch moeten gemeld worden aan de betrokken partners.

8/ Het is mogelijk dat er aanvallen of pogingen geweest zijn op onze diensten. Er werden echter geen uitvallen noch disfuncties vastgesteld noch gemeld, noch door de systeembeheerders noch door de gebruikers

Voor wat de FOD Economie betreft:

Wat betreft de FOD Economie, Kleine en Middelgrote Ondernemingen (KMO), Middenstand en Energie, verwijs ik het geachte lid naar het antwoord van mijn collega, de vice-eerste minister en minister van Economie, Consumenten en Noordzee, op de vraag nr. 5-9900.