Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-8500

van Karl Vanlouwe (N-VA) d.d. 14 maart 2013

aan de minister van Justitie

De werking van het Computer Emergency Response Team

computercriminaliteit
gegevensbescherming
officiële statistiek

Chronologie

14/3/2013Verzending vraag
16/4/2013Antwoord

Herkwalificatie van : vraag om uitleg 5-2922

Vraag nr. 5-8500 d.d. 14 maart 2013 : (Vraag gesteld in het Nederlands)

Op de vooravond van de Europese top van 22 maart 2011 werden de Europese Commissie en de Europese Dienst voor Extern Optreden (EDEO) het slachtoffer van een cyberaanval. Omdat de aanval specifieke directoraten-generaal en ambtenaren van de Europese Commissie viseerden wordt de cyberaanval als bijzonder ernstig beschouwd.

Het Veiligheidsdirectoraat van de Commissie heeft reeds in 2009 een Actieplan tegen cyberaanvallen opgesteld. Daarin werd de lidstaten gevraagd tegen 2012 een Computer Emergency Response Team op te zetten dat schadelijke software moet kunnen detecteren. In België is dat Computer Emergency Response Team - of CERT - sinds 2010 actief en is men momenteel druk bezig met de gefaseerde operationalisering ervan.

Ter bescherming van federale informatiesystemen zou binnen ieder federaal departement een adviseur voor de coördinatie van de informatieveiligheid moeten worden aangesteld. Die aanstelling zou gebeuren via interne reorganisatie, met ondersteuning van de Federale Overheidsdienst voor Informatie en Communicatietechnologie (Fedict).

Het CERT vervult zijn opdracht in samenwerking en overleg met andere instanties, zoals het BIPT, de Computer Crime Units, de Federale Overheidsdienst (FOD) Justitie en Defensie. De samenwerking tussen die actoren moest bij een vorige rondvraag echter nog worden geformaliseerd. Een werkgroep voor incidentenbeheer zou werken aan een voorstel waarin de samenwerking met de verschillende federale actoren wordt geregeld.

Begin april 2011 heeft de toenmalige minister samen met zijn Nederlandse en Luxemburgse collega's een akkoord ondertekend waarin de CERT's van de drie landen het Honeyspider Network willen uitbouwen. Dat netwerk kan grote hoeveelheden webpagina's scannen naar kwaadaardige programma's. De Benelux CERT's willen gezamenlijk een pilootvorm uitwerken.

Het Comité I bracht op 24 augustus 2011 een rapport uit waarin het niet mals is voor het federale beleid inzake cyberdefensie. Het stelt dat het ontbreken van een globaal federaal beleid inzake informatieveiligheid tot gevolg heeft dat ons land zeer kwetsbaar is voor aanvallen tegen zijn vitale informatiesystemen en -netwerken.

Meerdere federale instellingen houden zich vandaag bezig met de beveiliging van de informaticasystemen: de Nationale Veiligheidsoverheid (NVO), Fedict, de federale internetprovider BelNET en het Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT). Geen enkele van die instellingen blijkt volgens het rapport echter een algemeen beeld te hebben van de kritieke infrastructuur van de informaticasystemen.

Het Comité I maakt zich ook zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

Ten slotte maakt het Comité I de bedenking dat de Belgische wetgeving enkel toelaat om vijandige systemen in het buitenland te neutraliseren in geval van een cyberaanval op de informatiesystemen van Defensie. Indien aanvallen plaatsvinden op andere FOD's of nationale kritieke infrastructuur, kan hierop slechts achteraf, defensief worden gereageerd, zonder dat het vijandelijke systeem mag worden geneutraliseerd.

Mijn vragen aan de minister zijn:

1) Hoeveel cybercrime-incidenten heeft haar departement van het CERT ontvangen sinds dat team is opgericht?

- Gelieve een onderverdeling van de incidenten te geven van normale, ernstige en grote incidenten, met enkele concrete voorbeelden die bij elke klasse horen.

- Hoeveel incidenten worden momenteel onderzocht?

- Voor hoeveel incidenten was een domeinoverschrijdend onderzoek nodig?

- Voor hoeveel incidenten is geen verder onderzoek mogelijk? Hoeveel incidenten zijn gesloten omdat er slechte informatie-uitwisseling was?

- Zijn reeds veroordelingen door rechtbanken uitgesproken? Om welke dossiers gaat het?

2) Zijn de federale overheidsdiensten, de diensten van het federale parlement en de regering volgens de normen van de Europese Unie voldoende beveiligd tegen cyberaanvallen? Welke beveiligingsnormen worden gebruikt en waarom?

3) Bestaat er een zogenaamd Disaster Recovery Plan, als plan-B indien de kritieke systemen van ons land het slachtoffer worden van een cyberaanval?

4) Is in het departement van de minister reeds een adviseur ter coördinatie van de informatieveiligheid aangesteld? Waaruit bestaan zijn taken en aan wie rapporteert hij?

5) Hoe coördineert de FOD Justitie de leiding over het cyberdefensieproject? Hoeveel keer werd een domeinoverschrijdend overleg gehouden sinds dat de FOD de leiding heeft? Zit het project nog op schema?

6) Hoe verloopt de samenwerking met Binnenlandse Zaken, Defensie, Fedict, Economie, Wetenschapsbeleid en Buitenlandse Zaken in het kader van cyberdefensie? Werd ze reeds geformaliseerd zodat het CERT en de FOD Justitie bij incidenten tijdig kunnen handelen?

7) Welke sectoren krijgen prioriteit in het cyberdefensieproject en welke actoren houden zich met welke sector bezig?

8) Welke inspanningen kan de regering doen om ons land minder kwetsbaar te maken? Wordt werk gemaakt van een gecoördineerde federale cyberstrategie?

9) Welke rol speelt het Ministerieel Comité Inlichtingen en Veiligheid bij de coördinatie van de rol van de inlichtingendiensten in het cyberdefensieproject?

10) Het Comité I maakt zich zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren. Wordt het departement Justitie ook met dit probleem geconfronteerd?

11) Deelt het departement van de minister de bekommernis dat er meer slagkracht moet zijn om cyberaanvallen te kunnen neutraliseren, in plaats van slechts achteraf defensief te kunnen reageren?

12) Hoe dikwijkls zijn via een cyberaanval documenten van de FOD Justitie gestolen? Wanneer was dit, om welke documenten gaat het en wat is de gevoeligheid van de gestolen informatie? Welke maatregelen werden genomen?

13) Welke infrastructuren worden door de FOD Justitie als kritiek en gevoelig geďdentificeerd en krijgen prioriteit in cyberdefensie?

14) Hoe verloopt de samenwerking met de CERT's van Nederland en het Groothertogdom Luxemburg in het samenwerkingsverband van het Honeyspider Network? Hoelang zal dit project duren en welke kosten hangen eraan vast? Hoeveel mensen worden op het project gezet? Wordt de samenwerking geleid vanuit de FOD Justitie of van de FOD bevoegd voor het CERT?

Antwoord ontvangen op 16 april 2013 :

1) Statistieken van september 2009 tot en met oktober 2011:

Wat 2012 betreft en specifiek de incidenten die door Computer Emergency Response Team (CERT) werden waargenomen voor de Federale Overheidsdienst (FOD) Justitie kan ik u het volgende meedelen :

Voor meer gedetailleerde gegevens verwijs ik u door naar de rubriek statistieken in de activiteitenverslagen van CERT.

2) Ik kan mij uiteraard niet uitspreken over andere departementen. Voor de FOD Justitie zijn in deze twee aspecten van belang. De Internet Access Street is een op state of the art technologieën gebaseerde infrastructuur die continu bewaakt wordt door een provider in het kader van een contract met resultaatsverbintenis. Inzake beveiligingsnormen is door de stafdienst ICT en de FOD gekozen voor het ISO 2700x-kader, omdat het een internationaal aanvaard normenkader is inzake informatiebescherming. De beveiliging van het interne netwerk van Justitie is één van de kerntaken van de Stafdienst ICT van de FOD Justitie. De PCs worden maximaal beveiligd binnen de bestaande technologische mogelijkheden. Er wordt ook aanzienlijk geïnvesteerd in bijkomende maatregelen zodat er verschillende niveau’s van defensie zijn.

3) Er is actueel geen centrale autoriteit met een globale aanpak voor de bescherming van kritieke infrastructuur. In het kader van de EPCIP richtlijn (European program for critical infrastructure protection) dient er evenwel binnen elke sector voor de geïdentificeerde kritieke infrastructuren een beveiligingsplan met preventieve beschermingsmaatregelen opgesteld te worden. Cert.be is bezig met de infrastructuur die moet toelaten om bepaalde overheidsdiensten en kritische infrastructuren onderling te laten communiceren bij een grootschalige cyberaanval.

4) U doelt wellicht op de Cyber Security Strategie maar hiervoor dien ik u te verwijzen naar de diensten van de Kanselarij. Het regeerakkoord voorziet dat er een cyberstrategie opgesteld wordt om het federaal veiligheidsbeleid voor informatienetwerken en -systemen in België te ontwikkelen. Dit is in handen van de het Overlegplatform Informatieveiligheid, kortweg BELNIS.

5) De artikelen 20 en volgende van de “FedIctwet” van 15 augustus 2012 voorzien erin dat elke FOD een informatieveiligheidsadviseur aanwijst. Het statuut van deze functie of rol wordt verduidelijkt in het ontwerp van koninklijk besluit dat deze wet zal uitvoeren maar hiervoor dien ik u te verwijzen naar mijn collega Staatssecretaris Bogaert.

Binnen de FOD Justitie worden momenteel de opdrachten van de adviseur al voor een deel de facto opgenomen door de Dienst Informaticaveiligheid en wordt de functie van aangestelde voor de gegevensbescherming bedoeld in de privacywet, momenteel toevertrouwd aan een adviseur-generaal, die tweetalig adjunct is van de leidinggevende ambtenaar van een directoraat-generaal.

6) In 2005 werd door het Ministerieel Comité voor Inlichting en Veiligheid het Overlegplatform Informatieveiligheid (BELNIS) opgericht. De verschillende actoren komen in het kader van dit platform maandelijks samen. Één van de werkgroepen die door het BELNIS platform werd opgericht brengt de verantwoordelijkheden en processen bij het behandelen van veiligheidsincidenten verder in kaart.

Het nationale CERT is de centrale coördinator bij het behandelen van belangrijke cyber aanvallen.

Bij incidenten wordt er ad hoc samengekomen om de informatie te delen en om eventuele acties te coördineren.

7 en 8) BELNIS werkt aanbevelingen uit voor het oprichten van een nationaal agentschap voor informatieveiligheid. Voor meer informatie dien ik u opnieuw door te verwijzen naar de diensten van de Kanselarij.

9) Het ministerieel Comité stelt de algemene politiek inzake inlichting vast, bepaalt de prioriteiten van de Veiligheid van de Staat en van de Algemene Dienst Inlichting en Veiligheid van de Krijgsmacht, en coördineert hun activiteiten. Het Comité bepaalt bovendien de politiek inzake de bescherming van gevoelige informatie. Het College voor inlichting en veiligheid ziet toe op de gecoördineerde uitvoering van de beslissingen van het ministerieel Comité.

10) De grootste prioriteit gaat actueel uit naar het opzetten van een informatiebeschermingsorganisatie (mét personele invulling) voor de FOD die rechtsstreeks rapporteert aan de Voorzitter en het directiecomité. In tweede instantie moet een van ICT onafhankelijke audit-functie uitgebouwd worden. Daarbij wordt recrutering van de noodzakelijke technische expertise ongetwijfeld een heikel punt.

11) Een proactieve aanpak is noodzakelijk en moet o.i. realistischerwijs federaal gecoördineerd worden. Dit zal ongetwijfeld deel uitmaken van de Cyber Security Strategie waarvan eerder sprake.

12) Er zijn geen incidenten met deze impact gekend.

13) De kritieke businessapplicaties zijn eerder in kaart gebracht in het kader van een risico-analyse vanuit het oogpunt van de businesscontinuiteit.

14) Ik beschik wat deze vraag betreft niet over de nodige gegevens. CERT.be is het federale Cyber Emergency Team, opgericht in 2009, dat wordt uitgebaat door Belnet, het Belgisch nationaal onderzoeksnetwerk, in opdracht van de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT). Het team hangt dus bestuursrechtelijk niet af van Justitie.