Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

Gelieve hierna de elementen van antwoord te willen vinden op de gestelde vraag.

1. De Stafdienst Informatie- en Communicatietechnologieën wordt dagelijks geconfronteerd met praktijken van externe operators die op frauduleuze wijze trachten binnen te dringen in de informaticasystemen van de Federale overheidsdienst (FOD) en misbruik te maken van de identiteit van ambtenaren, door hun gebruikersaccount te hacken. Deze talrijke pogingen hebben tot op heden hun doel niet bereikt.

2. Mijn diensten beschikken niet over exacte cijfers die een analyse toelaten van de evolutie van de cybercrime over de jaren heen. De actuele firewall laat niet toe de gegevens te bewaren van de incidenten tijdens het afgelopen jaar noch van deze van de vorige jaren. Wij weten dat het aantal vrij hoog is en dat de dienst informatica voortdurend op zijn hoede moet zijn om onmiddellijk en deskundig te kunnen reageren. De aankoop van een nieuwe firewall die het mogelijk maakt deze gegevens te bewaren ligt momenteel ter studie. De analyse van de aanvallen moet worden uitgevoerd door gekwalificeerd personeel, speciaal aangewezen voor het uitoefenen van deze opdracht, tenminste wanneer de aan het departement toegekende budgettaire enveloppe de aanwerving en voltijdse tewerkstelling van gespecialiseerde analisten toelaat.

3. De dienst informatica heeft het hoofd moeten bieden aan een gerichte aanval op de mailserver van het departement. Gedurende verschillende uren werd er ook een massa spammail verspreid onder het mom van de officiële benaming van het departement, waarna de server op een zwarte lijst kwam te staan en op die manier, gedurende verschillende uren, het versturen van mail onmogelijk was.

De dienst ICT heeft dus:

• de identiteitsdiefstal ongedaan gemaakt: de gehackte email account werd tijdelijk gedesactiveerd en het paswoord van de gebruiker in kwestie werd gewijzigd;

• de mailserver op een meer restrictieve manier geconfigureerd;

• contact opgenomen met de firma die het departement op een zwarte lijst had geplaatst: een uitgebreid verslag werd opgesteld over de oorzaken van het incident en een gedetailleerde beschrijving van de getroffen maatregelen om het probleem te verhelpen en te vermijden dat het zich herhaald werd hen overgemaakt.

Als gevolg daarvan werkten de systemen terug normaal.

Intern heeft de directie van de dienst informatica beslist meer energie te steken in het op punt stellen van een restrictiever beleid betreffende het creëren en gebruiken van paswoorden en het schrijven en intern verspreiden van informatieve documenten betreffende het gebruik van mail en internet.

4. Het departement tracht in de mate van het mogelijke de aanvallen te anticiperen, de detectiesystemen en de reactiesnelheid te verbeteren.

De recente aanvallen op andere federale overheidssites hebben geen wezenlijke invloed gehad op de bezorgdheid van het departement in het dagdagelijks beveiligen van hun informatica- en communicatiesystemen.

5. Standaard onderscheidt men drie niveaus alarm-reactie:

• niet verlammende aanval: geen onderbreking van de dienst ;

• doelgerichte aanval op een dienst: deze wordt afgesneden van het netwerk;

• doelgerichte aanval op alle diensten: in quarantainestelling van alle diensten die op die manier volledig afgesloten zijn van de buitenwereld: geen mail, geen VPN, geen internettoegang meer, enz.

Om veiligheidsredenen en om een zeker niveau van vertrouwelijkheid te garanderen, wijd ik hier niet verder uit over de concrete maatregelen die werden genomen voor het geval van een veralgemeende aanval.

6. Neen.

7. Enige verplichting: het departement maakt deel uit van het netwerk van de Sociale Zekerheid, gegroepeerd rond de Kruispuntbank van de Sociale Zekerheid en zijn veiligheidsadviseur is gehouden zijn collega’s te verwittigen over de aard en de ernst van een incident binnen zijn instelling. Na analyse kan de Kruispuntbank van de Sociale Zekerheid beslissen de instelling in quarantaine te stellen door haar te ontkoppelen van het netwerk van de Sociale Zekerheid.

8. Een veiligheidsniveau van 100 % bestaat niet; daarom is het waarschijnlijk zich voor te stellen dat wij worden aangevallen zonder het te weten. Maar een nieuwe generatie firewalls laat vandaag toe spookverbindingen op te sporen.

De dienst informatica tracht, met de budgettaire middelen en het personeel dat hem ter beschikking staat, maatregelen te nemen die het veiligheidsniveau moeten verhogen door te investeren, in de mate van het mogelijke, in materiaal en software die toelaten dit doel te bereiken.