SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
24 septembre 2013 24 september 2013
________________
Question écrite n° 5-9911 Schriftelijke vraag nr. 5-9911

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au secrétaire d'Etat aux Affaires sociales, aux Familles et aux Personnes handicapées, chargé des Risques professionnels, et secrétaire dÉtat à la Politique scientifique, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, en staatssecretaris voor Wetenschapsbeleid, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Cybercriminalité - Chiffres - Hacking Cybercrime - cijfers - hacking 
________________
criminalité informatique
ministère
protection des données
computercriminaliteit
ministerie
gegevensbescherming
________ ________
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
20/12/2013 Antwoord
24/9/2013 Verzending vraag
12/11/2013 Rappel
18/12/2013 Rappel
20/12/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915
________ ________
Question n° 5-9911 du 24 septembre 2013 : (Question posée en néerlandais) Vraag nr. 5-9911 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Eu égard à la cybercriminalité actuelle, je souhaiterais une réponse aux questions suivantes :

1. Pouvez-vous me décrire la situation présente dans vos services ? Ont-ils déjà été la victime de pirates ou de cybercriminels, et dans l'affirmative, combien de fois ?

2. Le nombre de cyberattaques contre vos services a-t-il augmenté ces dernières années ? Pouvez-vous préciser, le cas échéant en donnant des chiffres ?

3. Si vos services ont déjà été la cible d'attaques, quels étaient la nature et les effets de chaque incident ? Par exemple, a-t-on dérobé des informations, attaqué un serveur ou un PC ou saboté une infrastructure ? Pouvez-vous fournir des détails ?

4. Compte tenu des cyberattaques dirigées contre certains services publics, avez-vous pris des mesures en vue de renforcer la sécurité de vos services ? Si oui, lesquelles ? Si non, pourquoi pas ?

5. S'il est ou s'il devait être question d'une cyberattaque sur vos services, quelle est la procédure standard de traitement ?

6. Vos services ont-ils déjà dû s'adresser au parquet à la suite de faits de cybercriminalité, et à combien de reprises ? Pouvez-vous préciser ?

7. Vos services ou votre administration sont-ils tenus de signaler de telles attaques à FEDICT ou à CERT ? Pourquoi (pas) ?

8. Estimez-vous vraisemblable que vos services aient déjà été attaqués par des cybercriminels, mais que ces attaques soient passées inaperçues en raison de techniques flexibles faisant appel à des technologies avancées ?

 

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

 
Réponse reçue le 20 décembre 2013 : Antwoord ontvangen op 20 december 2013 :

L’honorable membre trouvera ci-après la réponse à sa question.

1. Des virus ont attaqué des postes de travail à la Politique scientifique fédérale (Belspo). Il s’agissait de variantes de virus non encore identifiées par l’anti-virus PC de Belspo.

Belspo a connu également à deux reprises (2012 et 2013) des attaques par amplification de DNS (DNS amplification attacks). Celles-ci bombardaient de requêtes ses serveurs DNS sans provoquer toutefois de déni de service (Denial of service). Le service informatique a pallié à cette faiblesse en filtrant les requêtes DNS extérieures au niveau du pare-feu (firewall).

2. Les attaques virales au niveau des PC étaient au nombre de quatre en 2009, deux en 2010, sept en 2011, dix en 2012 et une en 2013.

3. Les fichiers contaminés ont pu être éliminés. Comme les utilisateurs n’ont pas accès à leur PC en tant qu’en administrateur, l’impact de ces attaques a été limité.

Les attaques DNS (système de noms de domaine) n’ont pas eu d’influence sur le fonctionnement de l’infrastructure de Belspo.

4. Différentes mesures de protection ont été prises, comme celles indiquées ci-dessous :

  • les serveurs de Belspo sont équipés d’un anti-virus différent de celui qui est installé sur les postes de travail afin de renforcer la détection.

  • le pare-feu a été remplacé par un modèle de dernière génération avec un contrôle au niveau applicatif.

  • l’échange de messages électroniques est contrôlé par un serveur mandataire (proxy) sur le pare-feu et par un serveur intermédiaire (gateway) équipé d’un anti-virus, d’un anti-spam et d’un système de filtrage sur le contenu.

  • l’accès aux sites internet est contrôlé par un filtre basé sur une sélection par catégorie et des « listes noires » dynamiques.

  • les ordinateurs externes (visiteurs, personnel externe) se connectent à internet via un réseau virtuel séparé de celui du service.

  • les connexions mobiles au réseau s’opèrent par le réseau privé virtuel (Virtual Private Network, VNP) avec authentification par carte d’identité ou par token + code pin.

  • les dernières versions des produits utilisés pour la protection (software et firewall) ont été installées.

Malgré la mise en place des protections décrites ci-dessus, Belspo n’est pourtant pas à l’abri d’une attaque ciblée par des experts en piratage informatique ou d’une attaque virale nouvelle qui ne serait pas encore identifiée par les signatures anti-virus.

5. Le service ICT de Belspo tente de traiter le problème en interne avec l’aide soit du fournisseur du pare-feu, soit des fournisseurs des logiciels de sécurité ou encore éventuellement de l’équipe d’intervention d’urgence en informatique (Computer Emergency Response Team, CERT).

6. Non.

7. Le service ICT de Belspo n’a pas reçu de consignes de FEDICT l’obligeant à signaler les attaques. En cas d’attaque sur le pare-feu ou les serveurs, l’équipe d’intervention d’urgence en informatique est toutefois prévenue.

8. Les incursions sont de plus en plus intelligentes et les systèmes classiques ne permettent pas toujours d’y faire face. La protection des technologies de l’information est devenue une matière de plus en plus complexe et le service ICT de Belspo manque d’expertise et de ressources humaines pour traiter la sécurité de façon plus efficace. Je soutiendrai toute initiative visant à aborder le problème d’une manière globale au niveau de l’extranet fédéral.

Het geachte lid vindt hierna het antwoord op haar vraag.

1. Enkele werkposten bij het Federaal Wetenschapsbeleid (Belspo) zijn het slachtoffer geweest van een virusaanval, meer bepaald van varianten van virussen die het antivirusprogramma van Belspo nog niet heeft herkend.

Belspo is ook al tweemaal (in 2012 en 2013) door DNS amplification attacks getroffen die de DNS-servers met verzoeken bestookten zonder evenwel de dienst onbruikbaar te maken. Dat zwak punt werd door de IT-dienst opgevangen met het filteren via de firewall van de externe DNS-verzoeken.

2. In 2009 werden er vier virusaanvallen op pc's gedetecteerd, in 2010 twee, in 2011 zeven, in 2012 tien en in 2013 één.

3. De besmette bestanden konden worden verwijderd. Daar de gebruikers niet als administrator toegang hebben op hun pc, waren de gevolgen van die aanvallen beperkt.

Die DNS-aanvallen (domeinnamensysteem) hebben geen invloed gehad op de werking van de infrastructuur van Belspo.

4. Er werden verschillende beveiligingsmaatregelen genomen, die hierna worden opgesomd:

  • de servers van Belspo zijn uitgerust met een antivirusprogramma dat verschilt van dat wat op de werkposten werd geïnstalleerd om virussen nog beter te kunnen opsporen.

  • de tot dan gebruikte firewall is vervangen door een firewall van de laatste generatie met applicatiecontrole.

  • de uitwisseling van e-mails wordt gecontroleerd door een proxyfirewall en een gatewayserver uitgerust met een antiviruspakket, een antispamprogramma en een inhoudfiltersysteem.

  • de toegang tot websites wordt gefilterd op grond van categorieselectie en dynamische "zwarte lijsten".

  • externe pc's (van bezoekers of extern personeel) worden via een apart virtueel netwerk aan het internet verbonden.

  • mobiele netwerkverbindingen komen via VPN (Virtual Private Network) tot stand met authenticatie aan de hand van een identiteitskaart, een token of een pincode.

  • de laatste versies van de beveiligingsproducten (software en firewall) werden geïnstalleerd.

Ondanks de bovenvermelde beveiligingen, blijft Belspo een mogelijk doelwit van een gerichte aanval van professionele hackers of een aanval van een nog niet door de antivirushandtekeningen herkende nieuwe virus.

5. De ICT-dienst van Belspo tracht intern het probleem op te lossen met de hulp van een firewallproducent, een leverancier van beveiligingssoftware of zo nodig het CERT (Computer Emergency Response Team).

6. Neen.

7. De ICT-dienst van Belspo heeft nog geen instructies gekregen van FEDICT om aanvallen verplicht te melden. Bij een aanval op de firewall of de servers wordt toch het ICT-noodteam gewaarschuwd.

8. Computerinbraak gebeurt alsmaar met verfijndere methoden waarvoor klassieke oplossingen niet altijd voorhanden zijn. Het beveiligen van informatietechnologieën wordt met de dag complexer en het ontbreekt de ICT-dienst van Belspo aan expertise en personele middelen voor een efficiëntere beveiliging. Ik zal allerhande initiatieven steunen die erop zijn gericht het probleem ertoe op een alomvattende manier aan te pakken op het niveau van het federale extranet.