SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
8 novembre 2013 8 november 2013
________________
Question écrite n° 5-10355 Schriftelijke vraag nr. 5-10355

de Nele Lijnen (Open Vld)
van Nele Lijnen (Open Vld)

au premier ministre
aan de eerste minister
________________
Cybersécurité - Pays-Bas - « Stratégie nationale de cybersécurité » - Coopération - Approche - CERT Cyberveiligheid - Nederland - "Nationale Cybersecurity Strategie" - Samenwerking - Aanpak - CERT 
________________
Pays-Bas
protection des données
criminalité informatique
Nederland
gegevensbescherming
computercriminaliteit
________ ________
8/11/2013Verzending vraag
12/12/2013Antwoord
8/11/2013Verzending vraag
12/12/2013Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-10356
Ook gesteld aan : schriftelijke vraag 5-10357
Ook gesteld aan : schriftelijke vraag 5-10358		 Ook gesteld aan : schriftelijke vraag 5-10356
Ook gesteld aan : schriftelijke vraag 5-10357
Ook gesteld aan : schriftelijke vraag 5-10358
________ ________
Question n° 5-10355 du 8 novembre 2013 : (Question posée en néerlandais) Vraag nr. 5-10355 d.d. 8 november 2013 : (Vraag gesteld in het Nederlands)

Les Pays-Bas viennent de présenter leur deuxième « Stratégie nationale de cybersécurité ». Le projet transpire la confiance : les Pays-Bas ont beaucoup investi. C'est l'une des raisons pour lesquelles ce pays est devenu un centre internet international, a le marché internet le plus compétitif et la plus haute densité d'utilisateurs au monde. Nederland ICT, une association regroupant plusieurs centaines d'entreprises TIC, s'est déjà montrée optimiste, surtout en ce qui concerne la dimension internationale du projet. Une priorité ambitieuse vise à ce que les Pays-Bas soutiennent la mise en place d'un centre de connaissances en matière de droit international et de cybersécurité. Le centre de connaissances a pour but de favoriser l'utilisation pacifique du cyberespace. À cet effet, les Pays-Bas mettront en réseau les connaissances des centres existants. Le centre rassemble des experts et décideurs politiques internationaux, des diplomates, des militaires et des ONG. Lors de la Belgian Internet Security Conference du 24 octobre dernier, un expert de la CERT a toutefois présenté la situation de la Belgique sous un jour un peu plus négatif: « We are loosing this battle » (nous sommes en train de perdre cette bataille).

Je souhaiterais vous poser les questions suivantes :

1) En matière de cybersécurité, collabore-t-on déjà avec les Pays-Bas ou avec d'autres pays voisins ? De quelle manière ? Des initiatives seront-elles encore lancées dans un proche avenir et dans l'affirmative, lesquelles ?

2) Est-il exact que les Pays-Bas sont un peu plus avancés en matière de cybersécurité ? Pouvez-vous préciser pourquoi il (n')en est (pas) ainsi ? Pouvez-vous détailler les aspects de sécurité pour lesquels notre pays pourrait mieux faire à l'instar des Pays-Bas ?

3) Le nouveau plan néerlandais contient-il des aspects qui peuvent clairement être profitables à la Belgique ? Lesquels ? Pouvez-vous détailler votre réponse ?

4) De quelle manière notre pays aborde-t-il la cybersécurité au niveau international ? Met-il l'accent, tout comme les Pays-Bas, sur une approche internationale ? Pouvez-vous détailler votre réponse ?

5) « We are loosing this battle » : comment doit-on interpréter ces propos de la CERT sur la cybersécurité ? Pouvez-vous détailler votre réponse ?

 

Nederland heeft zopas haar tweede “Nationale Cybersecurity Strategie” voorgesteld. Het plan klinkt zelfverzekerd: “Nederland heeft veel geïnvesteerd (…). Nederland is mede daardoor een internationaal internetknooppunt, heeft de meest competitieve internetmarkt en één van de hoogste onlinegebruikersdichtheden ter wereld.” Nederland ICT, een vereniging van enkele honderden ICT-bedrijven, reageerde reeds optimistisch, vooral over de internationale dimensie van het plan. Een van de ambitieuze werkpunten luidt als volgt: “Nederland zet in op de ontwikkeling van een kennisknooppunt op het gebied van internationaal recht en cybersecurity. Doel van het kennisknooppunt is het bevorderen van het vreedzaam gebruik van het cyberdomein. Hiertoe zal Nederland kennis vanuit bestaande centra verbinden. Binnen het knooppunt worden internationale experts en beleidsmakers, diplomaten, militairen en NGO's samengebracht.” Op de Belgian Internet Security Conference van 24 oktober jongstleden stelde een expert van CERT de situatie in België evenwel een stuk negatiever voor: “We are losing this battle”.

Graag had ik u volgende vragen gesteld:

1) Wordt er inzake cyberveiligheid al samen gewerkt met Nederland of met andere buurlanden ? In welke vorm? Worden in de nabije toekomst nog initiatieven gelanceerd, en zo ja, de welke?

2) Klopt het dat Nederland een stuk verder staat inzake cyberveiligheid? Kunt u toelichten waarom wel of niet? Kunt u uitleggen voor welke veiligheidsaspecten ons land beter zou kunnen presteren in vergelijking met Nederland?

3) Zijn er aspecten van het nieuwe Nederlandse plan waarvan ons land duidelijk kan leren? De welke? Kunt u dat toelichten?

4) Op welke manier pakt ons land cybersecurity internationaal aan? Zet ons land net zoals Nederland sterk in op een internationale aanpak? Kunt u dat toelichten?

5) “We are losing this battle” : hoe moet men die uitspraak van het CERT over de Belgische cyberveiligheid interpreteren? Kunt u dat uitgebreid toelichten?

 
Réponse reçue le 12 décembre 2013 : Antwoord ontvangen op 12 december 2013 :

1. Computer Emergency Response Team (CERT).be est accréditée comme équipe CERT par la TF-CSIRT et le FIRST, les forums pour les équipes CERT au sein, respectivement, de l’Europe et du monde entier. Cela signifie que CERT.be échange des informations et des connaissances (techniques et opérationnelles) sur certains incidents, techniques et outils (logiciels, données, expériences, …).

Depuis longtemps, CERT.be collabore étroitement avec le Nederlandse Nationaal Cyber Security Center (NCSC) et le Computer Incident Response Team Luxemburg du Luxembourg (CIRCL). Cette coopération trouve son origine dans les accords de coopération historiques entre les pays du Benelux et est renforcée par le fait qu’il s’agit de pays voisins.

CERT.be fait également partie du Groupe des CERT gouvernementaux européens (EGC), un groupe informel de CERT gouvernementaux qui développe une coopération effective en matière de réponse aux incidents entre les membres, sur la base des similitudes dans les groupes-cibles et les problèmes des CERT gouvernementaux européens ou des CERT nationaux.

Dans le passé, CERT.be a également lancé une initiative de coopération entre CERT.be, le NCSC et CERT.at (Autriche) dans le domaine du développement d’outils pour le traitement automatisé de certains types de rapports d’incidents. Pour des raisons budgétaires, la participation de CERT.be à ce projet a fortement diminué. Ce projet est poursuivi par d’autres instances. Il sera évidemment examiné si, dans le futur, CERT.be pourra de nouveau participer à cette intéressante et importante coopération.

Par définition, il est toujours envisagé, dans le cadre de nouvelles initiatives et de nouveaux projets ad hoc, s’il est possible de collaborer avec d’autres pays. Eu égard aux liens étroits avec les Pays-Bas et le Luxembourg, ces pays voisins entrent en premier lieu en ligne de compte.

CERT.be collabore également avec le CIRCL dans le domaine de l’échange d’indicateurs et de connaissances concernant les menaces nouvelles et existantes.

2. Les Pays-Bas ont récemment publié leur « Nationale Cybersecurity Strategie 2 » (Stratégie de Cybersécurité nationale 2). Cette évolution de la première stratégie s’intitule « Van bewust naar bekwaam » (D’une prise de conscience vers une capacité de réaction). Cela indique clairement qu’une prise de conscience accrue a été créée aux Pays-Bas, notamment par la mise en œuvre de la première stratégie qui datait de 2011 et qui s’intitulait « Slagkracht door samenwerking » (L’efficacité par la coopération).

Lors de l’élaboration de la stratégie de cybersécurité belge, l’on s’est évidemment renseigné auprès des pays voisins, dont les Pays-Bas. Aussi la stratégie belge tient-elle déjà compte des connaissances et des expériences d’autres pays européens. La grande différence est que les Pays-Bas ont non seulement élaboré une stratégie nationale mais ont également prévu un budget important pour la mise en œuvre de celle-ci. Cela explique notamment pourquoi ce pays en est déjà à une seconde version de la stratégie nationale.

Les atouts majeurs de l’approche néerlandaise sont la coopération (à la fois nationale, internationale et publique-privée) et l’accent sur la prise de conscience. Il est à noter que les Pays-Bas bénéficient, historiquement, d’un climat favorable en ce qui concerne les partenariats public-privé.

La stratégie belge doit surtout être mise en œuvre, suivie et adaptée, si nécessaire, après une évaluation périodique.

Le modèle proposé pour la Belgique prévoit le maintien des différents services et acteurs qui sont actifs dans le domaine de la cybersécurité et de la cybercriminalité et un organe central de coordination et d’orientation. Cette approche peut dès lors offrir des avantages dans le domaine de la communication d’incidents à CERT.be, vu qu’il est plus clair, pour chacun, que CERT.be joue un rôle de pompier et non de policier.

3. La deuxième stratégie néerlandaise a été élaborée après une évaluation par le « Cyber Security Raad » (Conseil de Cybersécurité) néerlandais. L’évaluation et l’adaptation en permanence de la stratégie constituent un point fort de nos voisins du nord. La coopération gagne encore en importance et l’on évolue de partenariats public-privé vers la participation public-privé.

En outre, les autorités néerlandaises investiront dans la sécurité de leurs propres réseaux et services. Un budget important est également prévu pour la recherche dans le domaine de la cybersécurité. Les Pays-Bas veulent, par ailleurs, jouer un rôle de pionnier dans le domaine de la coopération internationale en matière de cyberdéfense, cyberdiplomatie et cyberdéveloppement.

En général, les Pays-Bas renforcent le NCSC existant, investissent dans l’enseignement et essaient d’adapter leur législation.

4) Une partie de la réponse à cette question a déjà été abordée en détail dans la réponse à la question 1).

CERT.be a un historique de coopération poussée avec d’autres équipes au sein et en dehors de l’Europe. Cette situation s’explique par le fait que l’équipe est issue de l’équipe CERT du réseau de recherche Belnet. CERT.be a, dès lors, toujours poursuivi l’objectif d’encourager et de mettre en œuvre une coopération entre les partenaires dans le domaine du développement d’outils et de services.

CERT.be n’a pas toujours pu répondre aux nombreuses demandes de coopération provenant de l’Europe et au-delà (ENISA, autres équipes CERT, ...) faute de moyens nécessaires. A présent que le gouvernement a prévu un investissement considérable, y compris pour CERT.be, en vue de l’implémentation de la cyberstratégie belge, CERT.be sera à nouveau en mesure d’envoyer une représentation aux réunions internationales et, idéalement, l’équipe pourrait jouer à nouveau un rôle important au niveau de la coopération et du partage des connaissances et de l’information.

5. Ces paroles sont extraites d’une présentation de Christian Van Heurck (coordinateur de CERT.be chez Belnet) donnée récemment au cours de la Belgian Internet Security Conference – BISC 2013. La présentation est disponible sous format PDF sur le site suivant :

http://bisc.belnet.be/sites/default/files/Presentation%20of%20Christian%20Van%20Heurck_0.pdf

La teneur de la présentation indique qu’il y a toujours un manque de prise de conscience (awareness) dans le domaine de la cybersécurité en général, manque qui se fait sentir chez le grand public, chez les chefs d’entreprise, au sein des organismes publics, et même dans la sphère politique.

La présentation montre également (à la lumière des expériences acquises par les acteurs de terrain) que les problèmes dans le domaine de la cybersécurité ne diminuent pas, mais augmentent plutôt et qu’il en sera également ainsi dans le futur. Par ailleurs, la plupart des problèmes en matière de cybersécurité conduisent de plus en plus à des abus commis par des cybercriminels.

A défaut d’une plus grande prise de conscience dans toutes les couches de la population, les problèmes résultant de la cybersécurité et de la cybercriminalité ne cesseront d’augmenter, ce qui coûtera finalement beaucoup d’argent à notre société et aura un impact négatif sur la sécurité globale de notre société. En effet, les cybercriminels collaborent, utilisent des techniques de plus en plus sophistiquées et progressent constamment.

L’expression « We are losing this battle » doit donc être envisagée dans ce contexte. Ces paroles sont intentionnellement interpellantes afin de créer une prise de conscience accrue. En effet, une prise de conscience est nécessaire pour que soit reconnue la gravité de la problématique. Et la reconnaissance constitue le premier pas le plus fondamental vers une approche efficace du problème. La reconnaissance de la cybermenace est également un des piliers de la stratégie de cybersécurité belge.

1. Computer Emergency Response Team (CERT).be is als CERT-team geaccrediteerd door TF-CSIRT en FIRST, de fora voor CERT-teams binnen respectievelijk Europa en de gehele wereld. Dit betekent dat CERT.be (technische en operationele) informatie en kennis uitwisselt over bepaalde incidenten, technieken en hulpmiddelen (software, data, ervaring, …).

CERT.be werkt reeds langer nauw samen met het Nederlandse Nationaal Cyber Security Center (NCSC) en het Luxemburgse Computer Incident Response Team Luxemburg (CIRCL). Deze samenwerking vind z’n oorsprong in de historische samenwerkingsverbanden tussen de Benelux-landen en wordt gesterkt door het feit dat het hierbij om buurlanden gaat.

Verder maakt CERT.be ook deel uit van de European Government CERTs Group (EGC), een informele groep van overheids-CERTs die werkt aan het uitbouwen van effectieve samenwerking op het gebied van incident respons tussen de leden, gestoeld op de gelijkenissen in doelgroepen en problemen onder Europese overheids-CERTs of nationale CERTs.

In het verleden werd er vanuit CERT.be ook een initiatief tot samenwerking opgezet tussen CERT.be, NCSC en CERT.at (Oostenrijk) op het gebied van het ontwikkelen van tools voor de geautomatiseerde verwerking van bepaalde types van incidentmeldingen. Omwille van budgettaire redenen werd de deelname van CERT.be aan dit project sterk verminderd. Dit project wordt door anderen verder gezet. Uiteraard zal er bekeken worden of CERT.be in de toekomst weer kan deelnemen aan deze interessante en belangrijke samenwerking.

Per definitie wordt ook steeds afgewogen of bij nieuwe initiatieven en ad-hoc projecten kan samengewerkt worden met andere landen en gelet op de nauwe banden met Nederland en Luxemburg wordt hierbij in eerste instantie aan deze buurlanden gedacht.

CERT.be werkt ook samen met CIRCL op het gebied van het uitwisselen van indicatoren voor en kennis op het gebied van nieuwe en bestaande dreigingen.

2. Nederland heeft recent haar Nationale Cybersecurity Strategie 2 gepubliceerd. Deze evolutie van de eerste strategie heeft als werktitel “Van bewust naar bekwaam”. Dit geeft duidelijk aan dat er in Nederland een hogere mate van bewustwording is gecreëerd, mede door het implementeren van de eerste strategie die dateerde van 2011 en die als werktitel had “Slagkracht door samenwerking”.

Uiteraard is men zich bij het opstellen van de Belgische Cyber Security Strategie ook gaan informeren bij onze buurlanden, waaronder Nederland. De Belgische strategie heeft dan ook al rekening gehouden met de kennis en ervaring in andere Europese landen. Het grote verschil is dat men in Nederland niet enkel een nationale strategie heeft opgesteld maar ook een ruim budget heeft voorzien voor de implementatie ervan en mede daardoor is men daar nu ook toe aan een tweede versie van de nationale strategie.

De belangrijkste troeven van de Nederlandse aanpak zijn samenwerking (zowel nationaal als internationaal alsook publiek-privaat) en een focus op bewustwording. Het dient te worden opgemerkt dat historisch gezien in Nederland een gunstig klimaat heerst voor wat betreft publiek-private samenwerkingen.

De Belgische strategie dient vooral te worden geïmplementeerd, te worden opgevolgd en daar waar nodig ook te worden bijgestuurd na een periodieke evaluatie.

Het model dat werd voorgesteld voor België voorziet in het behoud van de verschillende diensten en spelers die actief zijn op het gebied van cyberbeveiliging en cybercrime en in een centraal overkoepelend orgaan voor de sturing en de coördinatie. Deze aanpak kan aldus voordelen bieden op het gebied van het melden van incidenten aan CERT.be aangezien het voor iedereen duidelijker blijft dat CERT.be de rol van brandweer heeft en niet die van politie.

3. De tweede Nederlandse strategie is er gekomen na een evaluatie door de Nederlandse Cyber Security Raad. Het continu evalueren en bijsturen van de strategie is een sterk punt van onze noorderburen. Samenwerking wordt nog belangrijker en men verschuift van publiek-private partnerships naar publiek-private participatie.

De Nederlandse overheid zal ook zelf investeren in de veiligheid van eigen netwerken en diensten en er wordt ook een aanzienlijk budget voorzien voor onderzoek op het gebied van cybersecurity. Verder wil Nederland een voortrekkers rol nemen op het gebied van internationale samenwerking op het gebied van cyberverdediging, -diplomatie en -ontwikkeling.

In het algemeen zorgt Nederland voor een versterking van het bestaande NCSC en wordt er ook geïnvesteerd in onderwijs en gestreefd naar een aangepaste wetgeving.

4) Een gedeelte van het antwoord op deze vraag kwam reeds uitvoerig aan bod bij het beantwoorden van vraag 1).

CERT.be heeft een historiek van doorgedreven samenwerking met andere teams binnen Europa en daarbuiten. Het feit dat het team gegroeid is uit het CERT-team van het Belnet-onderzoeksnetwerk is hiervoor een verklaring. CERT.be heeft dan ook steeds gestreefd om de samenwerking tussen partners op het gebied van ontwikkeling van tools en diensten te stimuleren en te bewerkstelligen.

CERT.be heeft niet steeds kunnen tegemoet komen aan vragen tot samenwerking vanuit Europa en daarbuiten (ENISA, andere CERT-teams, ...) omwille van het ontbreken van de nodige middelen. Nu de regering een aanzienlijke investering voorziet, ook ten aanzien van CERT.be, voor de implementatie van de Belgische cyber strategie, moet het dan ook voor CERT.be weer mogelijk worden om een vertegenwoordiging te sturen naar de internationale bijeenkomsten en idealiter zou het team weer een belangrijke rol moeten kunnen opnemen op het gebied van samenwerking en het delen van kennis en informatie.

5. Deze uitspraak is gegrepen uit een presentatie van Christian Van Heurck (coördinator van CERT.be bij Belnet) gegeven tijdens de recente Belgian Internet Security Conference – BISC 2013. De presentatie kan in PDF-vorm gevonden worden op de volgende locatie:

http://bisc.belnet.be/sites/default/files/Presentation%20of%20Christian%20Van%20Heurck_0.pdf

De teneur van de presentatie is dat er nog steeds een gebrek is aan bewustwording (awareness) op het gebied van cyber security in het algemeen: awareness bij het grote publiek, bij bedrijfsleiders, binnen overheidsinstellingen, ja zelfs binnen de politiek.

De presentatie geeft ook aan (aan de hand van de ervaringen van die mensen die in het veld staan) dat de problemen op het gebied van cyber security niet afnemen maar eerder toenemen en dit zal ook zeker zo zijn naar de toekomst toe. Bovendien leiden de meeste cyber security problemen meer en meer tot misbruik door cybercriminelen.

Indien er niet meer bewustzijn ontstaat in alle lagen van de bevolking, zullen de problemen die het gevolg zijn van cyber security en cybercrime enkel toenemen, wat uiteindelijk onze maatschappij veel geld kost en een negatieve impact heeft op de algemene veiligheid van onze samenleving. Cybercriminelen werken immers wel samen, gebruiken steeds meer gesofisticeerde technieken en staan niet stil.

De uitspraak “We are losing this battle” moet dan ook in deze context worden gezien. Deze uitspraak werd bewust confronterend gedaan met als bedoeling om meer bewustwording te creëren. Immers door bewustwording komt een erkenning van de ernst van de problematiek. En erkenning is de eerste en meest fundamentele stap in een efficiënte aanpak van het probleem. De erkenning van de cyberdreiging is ook één van de pijlers van de Belgische Cyber Security Strategie.