Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-9904

van Nele Lijnen (Open Vld) d.d. 24 september 2013

aan de minister van Middenstand, KMO's, Zelfstandigen en Landbouw

Cybercrime - cijfers - hacking

computercriminaliteit
ministerie
gegevensbescherming

Chronologie

24/9/2013 Verzending vraag
18/10/2013 Antwoord

Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9909
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915

Vraag nr. 5-9904 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

Antwoord ontvangen op 18 oktober 2013 :

Wat het Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) betreft:

1. Buiten de automatische onderschepping van virussen of spyware, de “normale” pogingen tot indringen die opgevangen worden en geblokkeerd door de internet “firewall” van het FAVV, en voor zover het Agentschap dit heeft kunnen detecteren, is het FAVV nog niet aangevallen door hackers of cybercriminelen. In 2012 onderging het FAVV een plaatselijke infectie door een variante van de “conficker” worm; deze kon gemakkelijk verwijderd worden en er waren geen gevolgen aan verbonden.

2. Het FAVV had nog geen cyberaanvallen te betreuren buiten de bovenvermelde infectie. Een proportie van 0,05 % van inkomende e-mails wordt onderschept omdat er één of andere virus of malware in vervat zit. Het FAVV is meer dan ooit zeer voorzichtig en heeft de frequentie waarmee het zijn systemen op infecties scant verhoogd. Het FAVV is ook sneller om de nieuwe software versies en updates toe te passen, wat natuurlijk meer onderhoudswerk meebrengt zonder echte toegevoegde waarde.

3. Zoals in punt 1 reeds uitgelegd, had het Agentschap in 2012 één infectie te betreuren zonder noemenswaardige gevolgen.

4. Het FAVVheeft een ICT veiligheidsaudit voorzien in 2014 om een zicht te hebben - gezien de aard van gegevens die het verwerkt, de infrastructuur die het hiervoor inzet en de mensen die ermee werken – op de stand van beveiliging van zijngegevens en systemen. Deze audit moet zijn huidige maatregelen situeren tov een “normaal” beveiligingsniveau, eventuele zwakkere punten identificeren en desnoods enkele prioritaire verbeteringsacties identificeren.

Het FAVV kreeg vandaag (2 oktober 2013) vanwege het Computer Emergency Response Team (CERT) hulp om zijn systemen te controleren naar aanleiding van de recent ontdekte besmettingen voor spionage. De feitelijke verificaties zullen enkele weken in beslag nemen.

5. Er is op dit gebied geen “standaard” afhandelingsprocedure omdat de plaats, de inhoud, de aard van aanval en de gevolgen niet voorspelbaar zijn. Er zijn wel enkele acties vast bepaald.

Bijvoorbeeld voor virussen, spyware en dergelijke die door specifieke beveiligingssoftware automatisch ontdekt en gerapporteerd worden en onschadelijk gemaakt, is er een opvolging van de aard en aantallen om tijdig een verspreiding of een massale aanval te ontdekken. De hiërarchie wordt op de hoogte gebracht bij besmetting. Bij detectie van een abnormale aanval van op internet moet zijn verbinding direct afgesloten worden en wordt hulp ingeroepen (onder andere door melding bij de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT) en CERT) om de schade te bepalen en tegenmaatregelen te nemen. Van zodra er een poging is van afpersing of diefstal van gegevens zal er een klacht neergelegd worden bij de politie.

6. Neen, dit is nog niet gebeurd.

7. De diensten van het FAVV zijn niet “wettelijk” verplicht aanvallen te melden; abnormale aanvallen of pogingen vanuit internet worden aan FEDICT gemeld omdat deinternetaansluiting van het Agentschap via FEDICT loopt en om er zo proberen voor te zorgen dat anderen er ook kunnen aan ontsnappen en zich kunnen beveiligen tegen dezelfde aanval.

8. Niettegenstaande de reeds genomen maatregelen is de kans dat het FAVV reeds onopgemerkt aangevallen werd klein maar zeker niet uitgesloten: de door het Agentschap behandelde gegevens zijn minder attractief voor spionage of criminelen. En al zou het FAVV over genoeg financiële middelen en technische competenties beschikken om dit proberen uit te sluiten, zelfs dan blijft het een oneindige achtervolging van criminelen die steeds nieuwe zwakke plekken zoeken en uitbuiten, en experten die pas daarna tegenmaatregelen kunnen ontwikkelen en toepassen.

Wat het Belgisch interventie en restitutie bureau (BIRB) betreft:

1. In 2012 heeft het BIRB zes geïnfecteerde computers onschadelijk gemaakt en heeft het twee externe aanvallen op zijn e-mailserver afgeweerd.

2. De eerste cyberaanval op de e-mailserver van het BIRB vond plaats op 30 januari 2012 en de tweede op 17 februari 2012. Sindsdien heeft zich geen cyberaanval meer voorgedaan.

3. De eerste cyberaanval was gericht op de e-mailserver en had tot doel deze server in te zetten voor het versturen van ongewenste e-mailberichten. De intrusie was mogelijk via een elektronische account die onvoldoende beschermd was. Daardoor was het e-mailsysteem tijdelijk buiten gebruik. Ook de tweede aanval richtte zich tot de e-mailserver. Er werd geprobeerd via een “brute force attack” de server binnen te dringen, evenwel zonder succes. De server werd tijdens het volledige weekend offline gehaald. ’s Maandags werd de toestand geleidelijk genormaliseerd.

4. De belangrijkste maatregel die het BIRB heeft genomen naar aanleiding van de cyberaanvallen, bestond uit de invoering van een meer complex wachtwoord voor bepaalde accounts van het interne netwerk.

5. De standaardafhandelingsprocedure is erop gericht het voorwerp van de aanval (server, computer, router, enz.) fysisch buiten het bereik van de agressor te plaatsen, vervolgens na te gaan welke methode de agressor gebruikt om het gevaar vervolgens te neutraliseren. Elk incident van dit soort wordt via een verslag gemeld aan de INFOSEC-verantwoordelijke van het BIRB.

6. Het BIRB heeft voor dit soort incidenten nog geen beroep gedaan op de diensten van het parket.

7. Het BIRB is niet op de hoogte van duidelijke richtlijnen ter zake.

8. De ingang en uitgang van het netwerk van het BIRB wordt beveiligd door een firewall. De technologie van de firewall van het BIRB is van recente datum en wordt voortdurend geüpdatet zodat hij een maximale bescherming kan bieden tegen de technologische vooruitgang van een cyberaanval. De servers die toegankelijk zijn van buitenaf, zijn fysisch geïsoleerd in een DMZ voor hen alleen.

Wat het Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA) betreft:

1. Intern netwerk : nee

DMZ (Web site): ja (twee keer)

2. Neen, het CODA heeft niets vastgesteld. Het ICT team is momenteel onderbemand, en het CODA heeft dus geen tijd om de ‘LOG’files regelmatig te controleren.

3. Zoals hierboven vermeld, enkel de website van het CODA. Maar de website bevat geen vertrouwelijke of kritische gegevens en kan gemakkelijk hersteld worden. (aanval FTP)

Tijd nodig voor de herinstallatie : 4 uur.

4. Neen.

5. Ontkoppelen van de betrokken apparaten van het netwerk

Checkup van deze apparaten

Opzoeken van de mogelijke oorzaken via collega’s of Internet

De nodige maatregelen nemen in overeenstemming met het niveau van veiligheid (update van bepaalde software, verandering van het paswoord, enz.)

Reactivering op het netwerk en toezicht gedurende de volgende dagen.

6. Neen.

7. Neen. Het CODA heeft al contact opgenomen met BELNET toen het problemen ondervond met zijn website.

8. Het CODA weet het niet, maar het moet gebeuren. Tot nu toe hebben de beschermingssystemen van het CODA goed gewerkt (Checkpoint manager, Trends Micro, Barracuda...).

Wat de Federale Overheidsdienst (FOD) Economie betreft:

Ik verwijs u naar het antwoord gegeven door mijn collega, de vice-eerste minister en minister van Economie, Consumenten en Noordzee, de heer Johan Vande Lanotte.

Wat het Rijksinstituut voor de sociale verzekeringen der zelfstandige RSVZ) betreft:

1. Er zijn geen gevallen bekend waarbij het RSVZ slachtoffer werd van hackers of cybercriminelen.

2. Niet van toepassing. Zie antwoord op vraag 1.

3. Niet van toepassing. Zie antwoord op vraag 1.

4. Er werd recentelijk een "quick scan" uitgevoerd van de meest risicovolle systemen door een firma gespecialiseerd in forensisch IT onderzoek. Verder worden er op regelmatige basis IT veiligheidsaudits uitgevoerd.

5. De maatregelen welke genomen dienen te worden bij een gebeurlijke cyberaanval zijn afhankelijk van de ernst en het type van aanval.

In het algemeen zal de eerste prioriteit liggen bij het beperken van de schade (stoppen van gegevenslekken, opnieuw operationeel maken van aangevallen systemen, …) en het verwittigen van de bevoegde instanties (Zie antwoord op vraag 7).

Vervolgens zal er, in overleg met de bevoegde diensten, getracht worden om de verantwoordelijken te identificeren en op te sporen.

Ten slotte zal er bekeken worden hoe de systemen van het RSVZ nog beter kunnen beveiligd worden zodat een dergelijke aanval in de toekomst kan vermeden worden.

6. Niet van toepassing. Zie antwoord op vraag 1.

7. De Openbare Instellingen van de Sociale Zekerheid (hierna genoemd OISZ) gebruiken een gemeenschappelijke communicatie-infrastructuur (backbone): het Extranet van Sociale Zekerheid. Alle cyberaanvallen op een OISZ dienen eerst via BELNET, FEDMAN en dan EXTRANET te passeren. Op die drie niveaus bestaan er escalatieprocedures en zijn er securitymaatregelen geïmplementeerd. Op niveau van Extranet zijn er monitoringsystemen aanwezig (IDS + SIEM) en is er zowel een intern als een extern team dat continu de data van deze monitoringsystemen analyseert (intern= Smals; extern= externe firma). Bij vermoeden van een aanval worden de escalatieprocedures geactiveerd. Smals heeft contactpersonen bij FEDICT en BELNET en procedures om bij aanvallen een gezamenlijke aanpak te hanteren. Indien nodig, worden er derde partijen bij betrokken (de PROVIDERS/CERT/ Federal Computer Crime Unit (FCCU)...).

Op niveau van Extranet en op niveau van een OISZ zijn er maatregelen getroffen om security-incidenten te vermijden (malware protectie, IDS & SIEM, firewalls, DMZ, applicatie firewalls, ...). Indien toch geavanceerde cyberaanvallen plaatsvinden van het type "malware infection" (complexe malware, detectie spionagesoftware, ...), zijn opnieuw de hiervoor vermelde escalatieprocedures van toepassing. Indien een OISZ dit type aanval/infectie zelf vaststelt, dient zij contact op te nemen met de KSZ + Smals (security+ supervision Smals). Deze laatsten zullen analyseren of er een impact is op het Extranet en op de andere OISZ-en en hierop de gepaste maatregelen treffen (en indien nodig een escalatieprocedure lanceren). Indien het een lokaal probleem betreft (dus beperkt tot één OISZ), moet door de OISZ onderzocht worden of er derde partijen (FCCU, parket, CERT...) dienen te worden verwittigd. Dit hangt echter af van het type incident en het hieraan verbonden juridisch kader (bijv. wet inzake informaticacriminaliteit).

8. Het is zeer moeilijk om dit risico in te schatten vermits het RSVZ tot nu toe geen enkele aanwijzing heeft dat zijn systemen ooit aangevallen zouden geweest zijn. Gezien het grote aantal veiligheidsmaatregelen welke er door het RSVZ en het Extranet van de Sociale Zekerheid getroffen worden (Zie hoger) lijkt het weinig realistisch, zonder dat dit evenwel volledig kan uitgesloten worden.

Wat de DG Zelfstandigen - FOD Sociale Zekerheid betreft:

Ik verwijs u naar het antwoord gegeven door mijn collega, de vice-eerste minister en minister van Volksgezondheid, mevrouw Laurette Onkelinx.