Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-11311

van Nele Lijnen (Open Vld) d.d. 2 april 2014

aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen

de cyberveiligheid van kerncentrales

gegevensbescherming
kerncentrale
computercriminaliteit
nucleaire veiligheid
Federaal Agentschap voor Nucleaire Controle
nucleaire beveiliging

Chronologie

2/4/2014Verzending vraag
17/4/2014Antwoord

Herkwalificatie van : vraag om uitleg 5-4869

Vraag nr. 5-11311 d.d. 2 april 2014 : (Vraag gesteld in het Nederlands)

Experts hebben een onderzoek gedaan naar de cyberveiligheid van kerncentrales in de Verenigde Staten (VS) en Canada. Het resultaat: 25 zwakheden die de kerncentrales kwetsbaar maken voor hackers. Het gaat vooral om zwakke punten in het protocol dat voor de interne communicatie tussen de verschillende onderdelen zorgt. Die protocollen worden normaal niet gecontroleerd op veiligheid omdat ze niet direct verbonden zijn met het internet. Bovendien vermelden experts dat er een vals gevoel van veiligheid wordt gecreëerd. Ze stellen: "Hoe minder mensen op de hoogte zijn van de werking van de protocollen, hoe kleiner de kans dat iemand deze zal misbruiken."

De onderzoekers hebben echter ontdekt dat deze kwetsbaarheden grote gevolgen kunnen hebben. De centrales zouden kunnen worden stilgelegd of het systeem zou het kunnen worden verhinderd om te reageren op de opdrachten van de operatoren. In het slechtste geval nemen hackers het hele systeem over.

Bron: http://www.theguardian.com/technology/2013/oct/17/us-power-plants-hacking

Graag had ik volgende vragen gesteld:

1) Wat is de reactie op de mogelijke gevaren voor de Belgische kerncentrales inzake cyberaanvallen en de implicaties hiervan op ons land? Vertonen onze centrales ook dergelijke "zwakke punten" zoals in de VS? Kan dit concreet worden toegelicht? Acht de eerste minister een dergelijke aanval mogelijk?

2) Is al onderzoek gedaan naar de cyberveiligheid van de Belgische kerncentrales? Zo ja, wat waren de resultaten? Indien niet, waarom niet? Kan dit uitgebreid worden toegelicht?

3) Indien nog geen onderzoek werd gedaan, acht de eerste minister het noodzakelijk om in de toekomst een dergelijk onderzoek te verrichten? Waarom wel? Waarom niet?

4) Acht de eerste minister het mogelijk dat Belgische kerncentrales reeds het slachtoffer zijn geweest van cybercriminelen? Waarom wel? Waarom niet? Zo ja, kan dit uitgebreid worden toegelicht?

5) Is er beleidsmatig reeds een besef van de mogelijke impact van cyberacties op de veiligheid van de kerncentrales in ons land? Op welke manier?

6) Is ons land zich wel bewust van de mogelijke gevaren van aanvallen op protocollen die niet verbonden zijn met het internet, zoals beschreven in het artikel? Kan de eerste minister de situatie in België toelichten?

7) Wie staat in ons land in voor de cyberveiligheid van de kerncentrales?

Antwoord ontvangen op 17 april 2014 :

Naar aanleiding van de kernramp in de Japanse kerncentrale van Fukushima-Daiichi werden de Belgisch kerncentrales in 2011 onderworpen aan een zogenaamde stresstest of weerstandstest, in het kader van de initiatieven die gezamenlijk op Europees niveau werden genomen. De reikwijdte van deze weerstandstest werd in ons land niet beperkt tot extreme natuurfenomenen, maar werd uitgebreid tot mogelijke bedreigingen die het gevolg zijn van menselijk handelen, al of niet kwaadwillig, waaronder een cyberaanval.

De kwetsbaarheid van de kerncentrales van Doel en Tihange voor een cyberaanval werd door de exploitant geanalyseerd en vervolgens door het FANC en Bel V geëvalueerd op zijn betrouwbaarheid. Een samenvatting van de resultaten werd begin 2012 bekend gemaakt op de website van het FANC (http://www.fanc.fgov.be/nl/news/stresstests-nationaal-verslag-over-de-door-de-mens-veroorzaakte-gebeurtenissen/479.aspx).

De exploitant heeft de risico’s nagegaan die verbonden zijn met vier types van computeraanvallen:

- een externe aanval van buiten het computernetwerk van het bedrijf;

- een aanval buiten site, via het computernetwerk van het bedrijf;

- een aanval op de site, via het computernetwerk van de centrale;

- een aanval op de site door de rechtstreekse fysieke toegang tot de computers en systemen op de netwerken van de centrale.

De exploitant heeft vervolgens de mogelijkheid onderzocht van een eventueel verlies van de controle over de centrale door de operator, rekening houdend met de bestaande veiligheidssystemen.

Volgens de evaluatie van de exploitant kan een cyberaanval niet leiden tot een verlies van de veiligheidsfuncties van de Belgische kerncentrales omdat:

- de besturings- en beschermingssystemen van de reactoren noch met het computernetwerk van de centrale, noch met dat van het bedrijf verbonden zijn;

- de bijna-totaliteit van de besturings- en beschermingssystemen van de reactoren gebruik maakt van een ‘analoge’ technologie (dus niet digitaal) via kabels die niet kwetsbaar is voor cyberaanvallen;

- er maatregelen (met inbegrip van de fysieke beveiliging) voorzien zijn om de informaticasystemen die de veiligheidsfuncties ondersteunen, te beschermen.

- een verbeteringsprogramma werd ingevoerd om het beveiligingsniveau te verhogen.

De evaluatie door het FANC en Bel V bevestigen deze conclusies. Een van de bijkomende aandachtspunten die door hen werd geïdentificeerd voor nadere opvolging in de toekomst betreft de kwetsbaarheid van de industriële systemen van het type SCADA (Supervisory Control and Data Acquisition), die toeneemt door het opduiken van nieuwe malware die ontwikkeld wordt om zulke systemen aan te vallen. De kwetsbaarheid van deze SCADA protocollen voor het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen, vormt eveneens het onderwerp van de studie waarnaar u verwijst.

Het FANC heeft geen kennis van incidenten waarbij Belgische kerncentrales het slachtoffer zouden zijn geweest van cybercriminelen.

De Belgische veiligheidsautoriteiten zijn zich bewust van het feit dat kerncentrales een mogelijk doelwit kunnen zijn van cyberaanvallen. Dit blijkt onder meer uit de volgende elementen:

a) België heeft het initiatief genomen om het toepassingsgebied van de weerstandstesten van 2011 uit te breiden tot het risico van een cyberaanval.

b) In het nationaal rapport over deze stresstests wordt gesteld dat cyberrisico’s van nabij dienen te worden gevolgd, omdat:

- De kwetsbaarheid/het risico toeneemt naarmate de informaticatechnologie van de installaties verder moderniseert.

- De kwetsbaarheid/het risico toeneemt naarmate meer beroep wordt gedaan op onderaanneming voor het uitvoeren van werken. Dit risico wordt gedeeltelijk beheerd door de oppuntstelling van interne normen voor de omkadering van de externe intervenanten.

- De kwetsbaarheid van de industriële systemen van het type SCADA (Supervisory Control and Data Acquisition) verhoogt met het opduiken van nieuwe malware die ontwikkeld wordt om zulke systemen aan te vallen.

c) België beschikt over een specifieke regelgeving inzake de fysieke beveiliging van nucleaire installaties en inzake de beveiliging van geclassificeerde en gecategoriseerde informatie, onder andere van toepassing op de fysieke beveiligingsmaatregelen waarmee kerncentrales worden beschermd. (KB’s van 17 oktober 2011). Deze regelgeving is een noodzakelijke bouwsteen voor een effectief beleid inzake cyberbeveiliging.

d) De doelstelling bestaat om in 2014 een specifieke “Design Basis Threat” (DBT) inzake cyberdreigingen uit te werken. Een DBT is een geclassificeerd document waarin mogelijke generieke dreigingsactoren worden beschreven met onder andere een beschrijving van hun motivatie, intentie, mogelijkheden en modus operandi. Het opstellen van deze DBT is een interactief proces tussen het FANC en andere betrokken overheidsdiensten en waaraan ook ICT-experten deelnemen. Dit is een materie die snel evolueert en zowel internationaal als nationaal dienen de nodige initiatieven verder ontwikkeld te worden om te weerstaan aan deze dreiging. Vandaar dat ook het FANC verdere initiatieven neemt in lijn met de huidige ontwikkelingen op internationaal vlak.

e) België volgt daarom ook de verschillende werkgroepen binnen het Internationaal Atoomagentschap (IAEA) die specifieke aanbevelingen uitwerken voor de cyberbeveiliging binnen de nucleaire sector. Cybersecurity zal in de komende jaren meer en meer op de agenda staan van diverse internationale conferenties met betrekking tot de nucleaire beveiliging.

f) België onderhoudt contacten met buitenlandse bevoegde overheden om in de mate van het mogelijke informatie uit te wisselen.

Zoals reeds gesteld is een van de aandachtspunten uit de stresstesten van 2011 dat in de toekomst nader zal opgevolgd worden, de kwetsbaarheid van de industriële SCADA systemen (Supervisory Control and Data Acquisition). De kwetsbaarheid neemt toe met de verdere modernisering van IT installaties van de kerncentrales, de toenemende onderaanneming in de ICT sector en het opduiken van nieuwe malware die specifiek ontwikkeld wordt om deze SCADA systemen aan te vallen. Dit soort van risico’s maakt deel uit van de cyber-DBT voor de nucleaire sector.

Het verzekeren van de fysieke beveiliging van een nucleaire installatie zoals een kerncentrale, behoort in de allereerste plaats tot de verantwoordelijkheid van de exploitant (KB van 17 oktober 2011 betreffende de fysieke beveiliging van het kernmateriaal en de nucleaire installaties). Het Federaal Agentschap voor Nucleaire Controle (FANC) ziet toe op de naleving door de exploitanten van de regelgeving op zowel de veiligheid als de beveiliging van deze installaties.