Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-10748

van Nele Lijnen (Open Vld) d.d. 9 januari 2014

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken

CERT - Cybercrime - Beveiligingsincidenten - Meldingen - Registratie - Verwerking - Aantallen

computercriminaliteit
computervirus
officiële statistiek

Chronologie

9/1/2014Verzending vraag
14/3/2014Rappel
14/5/2014Antwoord

Ook gesteld aan : schriftelijke vraag 5-10747

Vraag nr. 5-10748 d.d. 9 januari 2014 : (Vraag gesteld in het Nederlands)

Op de website van CERT lees ik: "CERT.be verzamelt informatie over beveiligingsincidenten (nieuwe aanvallen, kwetsbaarheden, ...), ofwel automatisch (via sensoren van CERT.be, honeypots, darknets en andere vergelijkbare systemen) of door informatie verschaft door een derde partij zoals andere CSIRTs." Tegelijk is door CERT opgemerkt dat deze automatische aanlevering van meldingen niet volwaardig verwerkt kan worden door de beperkte capaciteiten. Deze bemerkingen stemmen overeen met wat CERT antwoordt naar aanleiding van mijn vraag 5-10519: "Wat betreft de cijfers waarnaar u in uw vraag verwijst, is CERT.be overtuigd dat het werkelijke aantal besmettingen in België over een jaar gemeten veel hoger ligt." Een van de redenen is dat het melden van problemen niet verplicht is. Een expert van CERT liet reeds verstaan dat het ontbreken van deze verplichting een evenwichtsoefening is tussen het beter verzamelen van gegevens en de positieve effecten die ontstaan wanneer deze meldingen spontaan en uit vrije wil gebeuren.

Hierover heb ik volgende vragen:

1) Kan u mij vertellen wat het aandeel is van de meldingen die wel verwerkt worden, en welke hoeveelheid niet? Dit voor de jaren 2010-11-12-13, opgedeeld per jaar en per kwartaal. Kan u deze cijfers zowel procentueel als absoluut meedelen? Kan u dit tevens opdelen in meldingen die komen van automatische bronnen of informatie die komt van derde partijen?

2) Hoeveel meldingen kreeg CERT via [email protected] in de jaren 2010-11-12-13? Kan u de cijfers opdelen per kwartaal?

3) Hoeveel meldingen ontving CERT in die jaren per fax, aangezien dit ook een mogelijkheid is volgens de website? Kan u ze opdelen per kwartaal voor dezelfde jaren?

4) Ziet u de cijfers uit het antwoord op vraag 1 als problematisch? Kan u toelichten waarom wel of niet?

5) Hoe staat u ten opzichte van het al dan niet verplicht maken van het melden van incidenten door relevante actoren? Kan u dit argumenteren?

Antwoord ontvangen op 14 mei 2014 :

1) Alle incidenten werden opgenomen in de statistieken. Niet alle incidentmeldingen geven aanleiding tot een incident. Sommige meldingen gaan over één en hetzelfde incident. Sommige meldingen geven helemaal geen aanleiding tot een incident. Bepaalde incidenten worden na een tijd afgesloten omdat er bijvoorbeeld geen respons meer komt van de melder of omdat CERT.be niet voldoende resources ter beschikking had/heeft om dieper op het incident in te gaan. Op basis van de huidige taxonomie en het huidige systeem kan een verdere opsplitsing niet gebeuren. 

CERT.be heeft 6.678 notificaties ontvangen in 2013. Er waren gemiddeld 339 cyberincidenten per maand in 2013. Er werden 521.970 automatische meldingen betreffende besmette computers ontvangen. 

2) Alle meldingen in de statistieken werden gemeld via [email protected], ook al gaat soms een telefonisch contact vooraf. CERT.be vraagt steeds om een mail te sturen aangezien deze manier van werken het meest efficiënt is en voor beide partijen een onweerlegbaar spoor laat, inclusief een uniek incidentnummer. 

3) Er werd geen enkele melding via fax ontvangen. 

4) Deze cijfers tonen aan dat België, zoals de andere partners, rekening moet houden met cyberdreiging. De verdubbeling tegenover vorig jaar, kan niet enkel verklaard worden door de verhoging van het aantal incidenten. Ze is ook het resultaat van het feit dat CERT.be beter bekend raakt bij de slachtoffers van incidenten. 

5) CERT.be blijft in de eerste plaats een voorstander van een spontane melding aangezien vertrouwen de beste basis is voor samenwerking, transparantie en eerlijkheid. Een verplichting heeft ongetwijfeld een effect op het aantal meldingen maar leidt aan de andere kant ook tot een verminderd vertrouwen. Wie zal bijvoorbeeld een bedrijf of organisatie bestraffen indien er wordt ontdekt dat een incident niet werd gemeld? Moet CERT.be dit dan ook aangeven indien ze dit zou vaststellen? Dat ondermijnt uiteraard het vertrouwen in CERT.be als vetrouwensinstantie. Blijft nog de problematiek dat vele incidenten die niet gemeld zouden worden ook nooit het daglicht zullen zien waardoor het uiteindelijke effect een verlies aan vertrouwen is en een incorrect beeld van wat er echt gebeurd. Het opbouwen van vertrouwen en het voorzien van een duidelijk mandaat voor CERT.be zijn hiervoor van fundamenteel belang.