| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||||||
| ________ | ________ | ||||||||||||
| Session 2013-2014 | Zitting 2013-2014 | ||||||||||||
| ________ | ________ | ||||||||||||
| 9 janvier 2014 | 9 januari 2014 | ||||||||||||
| ________ | ________ | ||||||||||||
| Question écrite n° 5-10748 | Schriftelijke vraag nr. 5-10748 | ||||||||||||
de Nele Lijnen (Open Vld) |
van Nele Lijnen (Open Vld) |
||||||||||||
au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique |
aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken |
||||||||||||
| ________ | ________ | ||||||||||||
| CERT - Cybercrime - Incidents - Signalements - Enregistrement - Traitement - Nombre | CERT - Cybercrime - Beveiligingsincidenten - Meldingen - Registratie - Verwerking - Aantallen | ||||||||||||
| ________ | ________ | ||||||||||||
| criminalité informatique virus informatique statistique officielle |
computercriminaliteit computervirus officiële statistiek |
||||||||||||
| ________ | ________ | ||||||||||||
|
|
||||||||||||
| ________ | ________ | ||||||||||||
| Aussi posée à : question écrite 5-10747 | Aussi posée à : question écrite 5-10747 | ||||||||||||
| ________ | ________ | ||||||||||||
| Question n° 5-10748 du 9 janvier 2014 : (Question posée en néerlandais) | Vraag nr. 5-10748 d.d. 9 januari 2014 : (Vraag gesteld in het Nederlands) | ||||||||||||
Sur le site web de la CERT, on peut lire : « CERT.be collecte des informations à propos d'incidents en cours (attaques en cours, nouvelles vulnérabilités...) soit automatiquement (via les systèmes de senseurs de CERT.be, honeypots, darknets et autres) ; soit via les informations fournies par des tierces parties comme d'autres CSIRTs ». Par ailleurs, la CERT signale que les informations collectées automatiquement ne peuvent être traitées intégralement en raison des capacités limitées. Ces remarques correspondent à la réponse que la CERT a apportée à ma question n° 5-10519 : « Pour les chiffres cités dans votre question, CERT.be est convaincu que le nombre réel de contaminations en Belgique, mesuré sur un an, est beaucoup plus élevé. » Cela s'explique entre autres par le fait qu'il n'est pas obligatoire de signaler les problèmes. Un expert de la CERT a déjà laissé entendre que l'absence de cette obligation résultait d'un exercice d'équilibre entre une meilleure collecte des données et les effets positifs qui découlent de la notification spontanée et volontaire des incidents. Mes questions sont les suivantes. 1) Pouvez-vous préciser la part des signalements traités et celle des signalements qui ne le sont pas ? Je souhaiterais obtenir les données relatives aux années 2010, 2011, 2012 et 2013, ventilées par année et par trimestre. Pouvez-vous me communiquer ces quantités à la fois en chiffres absolus et en pourcentages ? Pouvez-vous distinguer les signalements provenant de sources automatiques de ceux qui viennent de tierces parties ? 2) Combien de signalements la CERT a-t-elle reçues par la messagerie électronique [email protected] en 2010, 2011, 2012 et 2013 ? Pouvez-vous ventiler les chiffres par trimestre ? 3) Combien de signalements la CERT a-t-elle reçues par fax, puisque, selon le site web, il s'agit aussi d'un mode de communication possible ? Pouvez-vous ventiler les chiffres par trimestre pour les mêmes années ? 4) Considérez-vous les chiffres communiqués en réponse à la question 1 comme problématiques ? Pouvez-vous expliquer pourquoi ? 5) Que pensez-vous de l'idée de rendre éventuellement obligatoire le signalement d'incidents par des acteurs importants ? Pouvez-vous argumenter ? |
Op de website van CERT lees ik: "CERT.be verzamelt informatie over beveiligingsincidenten (nieuwe aanvallen, kwetsbaarheden, ...), ofwel automatisch (via sensoren van CERT.be, honeypots, darknets en andere vergelijkbare systemen) of door informatie verschaft door een derde partij zoals andere CSIRTs." Tegelijk is door CERT opgemerkt dat deze automatische aanlevering van meldingen niet volwaardig verwerkt kan worden door de beperkte capaciteiten. Deze bemerkingen stemmen overeen met wat CERT antwoordt naar aanleiding van mijn vraag 5-10519: "Wat betreft de cijfers waarnaar u in uw vraag verwijst, is CERT.be overtuigd dat het werkelijke aantal besmettingen in België over een jaar gemeten veel hoger ligt." Een van de redenen is dat het melden van problemen niet verplicht is. Een expert van CERT liet reeds verstaan dat het ontbreken van deze verplichting een evenwichtsoefening is tussen het beter verzamelen van gegevens en de positieve effecten die ontstaan wanneer deze meldingen spontaan en uit vrije wil gebeuren. Hierover heb ik volgende vragen: 1) Kan u mij vertellen wat het aandeel is van de meldingen die wel verwerkt worden, en welke hoeveelheid niet? Dit voor de jaren 2010-11-12-13, opgedeeld per jaar en per kwartaal. Kan u deze cijfers zowel procentueel als absoluut meedelen? Kan u dit tevens opdelen in meldingen die komen van automatische bronnen of informatie die komt van derde partijen? 2) Hoeveel meldingen kreeg CERT via [email protected] in de jaren 2010-11-12-13? Kan u de cijfers opdelen per kwartaal? 3) Hoeveel meldingen ontving CERT in die jaren per fax, aangezien dit ook een mogelijkheid is volgens de website? Kan u ze opdelen per kwartaal voor dezelfde jaren? 4) Ziet u de cijfers uit het antwoord op vraag 1 als problematisch? Kan u toelichten waarom wel of niet? 5) Hoe staat u ten opzichte van het al dan niet verplicht maken van het melden van incidenten door relevante actoren? Kan u dit argumenteren? |
||||||||||||
| Réponse reçue le 14 mai 2014 : | Antwoord ontvangen op 14 mei 2014 : | ||||||||||||
1) Tous les incidents sont repris dans les statistiques. Tous les signalements d'incident ne mènent pas à un incident. Certains signalements sont liés à un seul et même incident. D'autres ne mènent absolument pas à un incident. Certains incidents sont clos après un certain temps, par exemple s'il n'y a plus de réponse de la part de la personne responsable du signalement ou parce que CERT.be ne dispose/disposait pas d'assez de ressources pour examiner l'incident plus en profondeur. Sur la base de la taxonomie et du système actuels, il n'est pas possible de fractionner les chiffres davantage. CERT.be a reçu 6.678 signalements en 2013. Cette même année, il y eut environ 339 cyberincidents par mois. En termes de signalements automatiques, 521.970 ont été reçus et étaient relatifs à des ordinateurs infectés. 2) Tous les signalements mentionnés dans les statistiques ont été faits via [email protected] et étaient parfois précédés d'un contact téléphonique. CERT.be demande toujours d'envoyer un e-mail. Cette méthode est en effet la plus efficace et permet de laisser une trace incontestable pour les deux parties, en ce inclus un numéro d'incident unique. 3) Aucun signalement n'a été reçu par fax. 4) Ces chiffres mettent en évidence le fait que la Belgique, ainsi que les autres partenaires, doivent faire face à la cyber-menace. Le doublement des chiffres par rapport à l'année passée ne peut pas s'expliquer que par l'augmentation du nombre d'incidents. Il résulte également du fait que CERT.BE est mieux connu par les victimes d'incidents. 5) Tout d'abord, CERT.be est partisan du signalement spontané, étant donné que la confiance est la meilleure base qui soit pour la collaboration, la transparence et l'honnêteté. Une obligation aura sans aucun doute un effet sur le nombre de signalements, mais mènera également à une diminution de la confiance. Par exemple, qui sanctionnera une entreprise ou une organisation si l'on découvre qu'un incident n'a pas été signalé ? Le CERT doit-il également le signaler s'il le constate ? Cela mine naturellement la confiance portée à CERT.be en tant qu'instance fiable. Demeure encore un problème : de nombreux incidents qui ne seraient pas signalés ne seront jamais révélés, ce qui mènera, en fin de compte, à une perte de confiance et à une image altérée de ce qui s'est réellement passé. À cet effet, il est fondamental d'établir une confiance et de prévoir un mandat clair pour CERT.be. |
1) Alle incidenten werden opgenomen in de statistieken. Niet alle incidentmeldingen geven aanleiding tot een incident. Sommige meldingen gaan over één en hetzelfde incident. Sommige meldingen geven helemaal geen aanleiding tot een incident. Bepaalde incidenten worden na een tijd afgesloten omdat er bijvoorbeeld geen respons meer komt van de melder of omdat CERT.be niet voldoende resources ter beschikking had/heeft om dieper op het incident in te gaan. Op basis van de huidige taxonomie en het huidige systeem kan een verdere opsplitsing niet gebeuren. CERT.be heeft 6.678 notificaties ontvangen in 2013. Er waren gemiddeld 339 cyberincidenten per maand in 2013. Er werden 521.970 automatische meldingen betreffende besmette computers ontvangen. 2) Alle meldingen in de statistieken werden gemeld via [email protected], ook al gaat soms een telefonisch contact vooraf. CERT.be vraagt steeds om een mail te sturen aangezien deze manier van werken het meest efficiënt is en voor beide partijen een onweerlegbaar spoor laat, inclusief een uniek incidentnummer. 3) Er werd geen enkele melding via fax ontvangen. 4) Deze cijfers tonen aan dat België, zoals de andere partners, rekening moet houden met cyberdreiging. De verdubbeling tegenover vorig jaar, kan niet enkel verklaard worden door de verhoging van het aantal incidenten. Ze is ook het resultaat van het feit dat CERT.be beter bekend raakt bij de slachtoffers van incidenten. 5) CERT.be blijft in de eerste plaats een voorstander van een spontane melding aangezien vertrouwen de beste basis is voor samenwerking, transparantie en eerlijkheid. Een verplichting heeft ongetwijfeld een effect op het aantal meldingen maar leidt aan de andere kant ook tot een verminderd vertrouwen. Wie zal bijvoorbeeld een bedrijf of organisatie bestraffen indien er wordt ontdekt dat een incident niet werd gemeld? Moet CERT.be dit dan ook aangeven indien ze dit zou vaststellen? Dat ondermijnt uiteraard het vertrouwen in CERT.be als vetrouwensinstantie. Blijft nog de problematiek dat vele incidenten die niet gemeld zouden worden ook nooit het daglicht zullen zien waardoor het uiteindelijke effect een verlies aan vertrouwen is en een incorrect beeld van wat er echt gebeurd. Het opbouwen van vertrouwen en het voorzien van een duidelijk mandaat voor CERT.be zijn hiervoor van fundamenteel belang. |