Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-9909

van Nele Lijnen (Open Vld) d.d. 24 september 2013

aan de minister van Financiën, belast met Ambtenarenzaken

Cybercrime - cijfers - hacking

computercriminaliteit
ministerie
gegevensbescherming

Chronologie

24/9/2013Verzending vraag
12/11/2013Rappel
29/11/2013Antwoord

Ook gesteld aan : schriftelijke vraag 5-9897
Ook gesteld aan : schriftelijke vraag 5-9898
Ook gesteld aan : schriftelijke vraag 5-9899
Ook gesteld aan : schriftelijke vraag 5-9900
Ook gesteld aan : schriftelijke vraag 5-9901
Ook gesteld aan : schriftelijke vraag 5-9902
Ook gesteld aan : schriftelijke vraag 5-9903
Ook gesteld aan : schriftelijke vraag 5-9904
Ook gesteld aan : schriftelijke vraag 5-9905
Ook gesteld aan : schriftelijke vraag 5-9906
Ook gesteld aan : schriftelijke vraag 5-9907
Ook gesteld aan : schriftelijke vraag 5-9908
Ook gesteld aan : schriftelijke vraag 5-9910
Ook gesteld aan : schriftelijke vraag 5-9911
Ook gesteld aan : schriftelijke vraag 5-9912
Ook gesteld aan : schriftelijke vraag 5-9913
Ook gesteld aan : schriftelijke vraag 5-9914
Ook gesteld aan : schriftelijke vraag 5-9915

Vraag nr. 5-9909 d.d. 24 september 2013 : (Vraag gesteld in het Nederlands)

Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:

1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?

2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?

3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?

4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?

5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?

6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?

7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?

8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?

Antwoord ontvangen op 29 november 2013 :

1. en 3. In februari 2012 werd de Federale Overheidsdienst (FOD) Financiën het slachtoffer van een besmetting met het virus Sality.Gen, die gevolgen had voor een aantal werkposten zonder de werking van het departement te blokkeren.

Met de hulp van externe specialisten, met name van het bedrijf McAfee, heeft de FOD Financiën haar volledige pc-park gesaneerd en haar organisatie en interne procedures aangepast, rekening houdend met de aanbevelingen van de veiligheidsaudit die als gevolg van dit incident werd uitgevoerd.

Ondertussen werd er sinds juni 2012 een nieuw antivirussysteem geïnstalleerd. Dit systeem beschikt over nieuwe functionaliteiten om in real time de status van het pc-park te controleren, de beveiliging van de werkposten permanent up-to-date te houden en de reactiviteit te verhogen door middel van een gedecentraliseerd systeem voor de distributie van veiligheidspatches.

2. Er werden twee pogingen tot "SQL-Injection" vastgesteld: in maart 2013 (applicatie "Tarweb" – douanetarieven) en in oktober 2013. De beveiligingssystemen hebben hun rol correct vervuld en er werd geen enkele schade of informatiediefstal vastgesteld.

Het vastgestelde aantal verdachte situaties is zeer beperkt; men kan dus niet spreken van een toename.

Wat de virussen betreft, stellen we een constant aantal virusdetectiewaarschuwingen vast op de werkposten van de ambtenaren. Dit aantal detecties bedraagt 2 000 à 3 000 per maand, voor een park van 25 000 werkposten. Deze detecties betekenen dat de beschermingen hebben gewerkt.

4. Bij de installatie van de nieuwe antivirussystemen 2012 heeft de administratie licenties en services aangekocht (voor de werkposten en de servers) voor een bedrag van 249 429 euro inclusief btw.

De FOD Financiën beschikt over een belangrijke beveiligingsinfrastructuur en over de organisatie om deze in te zetten.

Zo installeert de FOD Financiën een "Web application firewall".

Een procedure analyseert geregeld de code van de "e-govtoepassingen" (toepassingen die diensten leveren aan burgers en ondernemingen) om zwakkere schakels in de beveiliging op te sporen.

Daarnaast onderhoudt de FOD Financiën contact met diverse openbare instellingen (CERT, Fedict …) om lessen te trekken uit de informaticaproblemen waarmee deze werden geconfronteerd.

5. Zodra de FOD Financiën weet heeft van een vastgestelde of vermoede aanval, of van een specifiek aanvalsrisico, gaat ze als volgt te werk:

In geval van onderbreking van de dienst of een andere betekenisvolle impact, brengt de FOD Financiën de gebruikers (ambtenaren of burgers) op de hoogte via haar Communicatiecel, of via haar intranet- of internetsites.

Zodra het onmiddellijke risico afgewenteld is, worden de volgende acties ondernomen:

Zodra de toestand onder controle is, worden de geblokkeerde diensten opnieuw in werking gesteld. Er wordt een incidentrapport opgesteld.

Indien een betekenisvol probleem wordt vastgesteld, wordt de ICT-veiligheidscoördinator op de hoogte gebracht om een gecoördineerde actie van de verschillende betrokken teams mogelijk te maken.

6. In enkele gevallen, en in het bijzonder in het geval van phishing, werd contact opgenomen met de federale politie om het waargenomen feit te signaleren. Deze contacten vinden plaats op diverse manieren:

Het komt zelden voor dat een feit aanleiding vormt voor een gerechtelijke klacht. Deze stap wordt pas overwogen indien voldoende informatie ter beschikking is om een nuttige actie te ondernemen. In het andere geval beperken we ons tot het informeren van de politie; deze kan actie ondernemen in het geval van accumulatie van vergelijkbare feiten.

7. Er werd informatie uitgewisseld met CERT, op initiatief van CERT of op initiatief van de FOD Financiën. De aard van deze contacten betreft ofwel een loutere informatie-uitwisseling, ofwel een vraag tot concrete acties. In het geval van phishingpogingen waarbij identificatie mogelijk was van de site waar de gestolen informatie werd verzameld, werd aan CERT gevraagd maatregelen te nemen om de toegang hiertoe te blokkeren. Dit soort maatregelen betreft het wereldwijde web en beperkt zich niet tot de infrastructuur van de FOD Financiën.

8. De FOD Financiën neemt een hele reeks veiligheidsmaatregelen en beschikt over een veiligheidsinfrastructuur die in staat is zijn IT-infrastructuur te beschermen tegen de gekende of redelijkerwijs voorspelbare aanvallen. Deze veiligheidsmaatregelen en -infrastructuur evolueren met de gevaren mee: hetzij door een updating van de veiligheidspatches, antivirussen, …, hetzij door de realisatie van nieuwe investeringen indien zich nieuwe gevaren aandienen. De hackers kunnen echter altijd nieuwe aanvalstechnieken ontwikkelen die nog niet voorzien waren, en waarvoor niet onmiddellijk een antwoord voorhanden is. Verdedigingstechnieken tegen nieuwe aanvalstechnieken zijn altijd pas met enige vertraging beschikbaar. De aanvaller dient onderweg echter altijd eerst meerdere hindernissen op te ruimen. Hiervoor is een grote expertise vereist.