SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 décembre 2012 13 december 2012
________________
Question écrite n° 5-7568 Schriftelijke vraag nr. 5-7568

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au vice-premier ministre et ministre des Affaires étrangères, du Commerce extérieur et des Affaires européennes

aan de vice-eersteminister en minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken
________________
Services publics - Cyberattaques - Sécurisation informatique - Logiciels de protection - Formation du personnel Overheidsdiensten - Cyberaanvallen - Computerbeveiliging - Beveiligingssoftware - Opleiding personeel 
________________
criminalité informatique
protection des données
statistique officielle
virus informatique
Belnet
ministère
computercriminaliteit
gegevensbescherming
officiële statistiek
computervirus
Belnet
ministerie
________ ________
13/12/2012 Verzending vraag
26/3/2013 Rappel
24/9/2013 Rappel
30/10/2013 Herkwalificatie
2/1/2014 Antwoord
13/12/2012 Verzending vraag
26/3/2013 Rappel
24/9/2013 Rappel
30/10/2013 Herkwalificatie
2/1/2014 Antwoord
________ ________
Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7570
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7572
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7580
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7583
Aussi posée à : question écrite 5-7584
Requalifiée en : demande d'explications 5-4186
Aussi posée à : question écrite 5-7566
Aussi posée à : question écrite 5-7567
Aussi posée à : question écrite 5-7569
Aussi posée à : question écrite 5-7570
Aussi posée à : question écrite 5-7571
Aussi posée à : question écrite 5-7572
Aussi posée à : question écrite 5-7573
Aussi posée à : question écrite 5-7574
Aussi posée à : question écrite 5-7575
Aussi posée à : question écrite 5-7576
Aussi posée à : question écrite 5-7577
Aussi posée à : question écrite 5-7578
Aussi posée à : question écrite 5-7579
Aussi posée à : question écrite 5-7580
Aussi posée à : question écrite 5-7581
Aussi posée à : question écrite 5-7582
Aussi posée à : question écrite 5-7583
Aussi posée à : question écrite 5-7584
Requalifiée en : demande d'explications 5-4186
________ ________
Question n° 5-7568 du 13 décembre 2012 : (Question posée en néerlandais) Vraag nr. 5-7568 d.d. 13 december 2012 : (Vraag gesteld in het Nederlands)

De nos jours, l'usage des ordinateurs et d'internet est devenue la norme. L'administration vit avec son temps et emploie divers logiciels pour le traitement et l'échange de données. Il s'agit souvent d'informations confidentielles. Cette évolution vers une administration davantage numérisée représente une menace, car des lacunes dans la sécurité peuvent avoir pour effet de faire aboutir des informations dans de mauvaises mains.

Par exemple, les services de renseignement militaire et la Sûreté de l'État s'inquiètent de la sécurisation informatique de différents services publics. On a dit qu'une fois par semaine en moyenne, les services de renseignement militaire sont confrontés à une cyberattaque ciblée. Les intentions des pirates ou les buts du logiciel illégal varient : faire en sorte qu'un système se plante, recueillir des mots de passe ou d'autres données, etc.

Un premier problème est que la plupart des systèmes des administrations sont protégés par des programmes que le simple particulier peut se procurer. Ces programmes interceptent certaines attaques, genre virus ou logiciel espion, mais pas toutes. Les virus que le programme ne détecte pas peuvent cependant occasionner des dégâts. Un autre facteur possible est que l'utilisateur, à savoir le fonctionnaire, n'est pas conscient des nombreux dangers virtuels. Et lorsque l'utilisateur détecte une pratique répréhensible, il arrive qu'il ne la signale pas, ce qui veut dire que le danger reste invisible.

Je souhaiterais poser quelques questions :

1) Vos services se sont-ils occupés de sécuriser tout le réseau local ? En d'autres termes, tous les PC connectés à internet sont-ils protégés d'une manière ou d'une autre ?

2) Disposez-vous de données chiffrées sur les cyberattaques ou les problèmes causés à vos services par des virus, des logiciels espions, des pirates etc. ? Dans la négative, comment se fait-il qu'on ne récolte pas ces données ?

3) Les données et les ordinateurs qu'utilisent vos services sont-ils protégés par des programmes « ordinaires » qu'emploient aussi les particuliers, ou bénéficient-ils d'une protection supplémentaire ?

4) Les données confidentielles sont-elles échangées par le canal de réseaux particuliers sécurisés, ou bien via la même connexion centrale ?

5) Le personnel de vos services est-il formé à faire face à ces menaces éventuelles ? L'incite-t-on à rapporter ce type de problèmes ? Disposez-vous de chiffres sur les rapports ou plaintes ?

 

Het gebruik van computers en internet is tegenwoordig de norm. Ook de overheid gaat met de tijd mee en gebruikt allerhande software om gegevens te verwerken en data uit te wisselen. Hierbij gaat het vaak om vertrouwelijke informatie. Die ontwikkeling naar een meer digitale overheid kan ook een bedreiging vormen voor de veiligheid van die overheid, want gaten in de beveiliging kunnen ertoe leiden dat data in verkeerde handen vallen.

Zo zijn de militaire inlichtingendienst en de Staatsveiligheid ongerust over de beveiliging van de informatica van de verschillende overheidsdiensten. Er werd bericht dat de militaire inlichtingendienst gemiddeld een keer per week wordt geconfronteerd met een gerichte ICT-aanval. De intenties van de hackers of illegale software zijn zeer divers: pogingen om de systemen te doen crashen, het vergaren van paswoorden of andere data, ...

Een eerste probleem is dat de meeste systemen van de overheidsdiensten worden beveiligd door programma's die de gewone particulier ook kan kopen. Die programma's houden wel een aantal aanvallen, virussen, spyware, enzovoort tegen, maar ook niet alles. Virussen die niet gekend zijn door het programma kunnen toch schade aanrichten. Een andere, mogelijke factor is het feit dat de gebruiker, dat wil zeggen de ambtenaar van een overheidsdienst, zich niet bewust is van de vele virtuele gevaren. Wanneer het misbruik toch wordt ontdekt door een gebruiker, wordt het soms niet gerapporteerd, waardoor het gevaar even onzichtbaar blijft.

Graag had ik hierover enkele vragen gesteld:

1) Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?

2) Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?

3) Worden de gegevens en computers waarmee uw diensten werken beveiligd door "gewone" beveiligingsprogramma's die ook gebruikt worden door particulieren, of is er sprake van extra informaticabeveiliging?

4) Gebeurt de uitwisseling van vertrouwelijke data via aparte, beveiligde netwerken, of wordt alles via dezelfde centrale verbinding uitgewisseld?

5) Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden? Beschikt u over cijfermateriaal met betrekking tot het aantal meldingen of klachten?

 
Réponse reçue le 2 janvier 2014 : Antwoord ontvangen op 2 januari 2014 :

1) Oui, une série de mesures dans le domaine de la sécurité du matériel et des logiciels a été mise en place. Les systèmes de classification de la Belgique et ceux de l'Union européenne (UE), l'Organisation du traité de l’Atlantique Nord (OTAN) et de la majorité des États membres de l'UE ne sont pas les mêmes. Il est toutefois strictement interdit de placer sur le réseau local relié à internet des informations sensibles (classées), tel que prévu dans la loi du 11/12/98, y compris les informations d'origine internationale protégées de la même manière.

2) Les chiffres précis concernant des attaques ciblées ne peuvent pas être donnés [à l'aide des systèmes de défense actuels]. Les attaques peuvent échouer et rester sans conséquences avant d’être détectées. Les attaques ciblées peuvent effacer leurs propres pistes. Toutes les attaques sont repérées et combattues par le biais de moyens ordinaires ou spécifiques. Cela demanderait beaucoup de temps de systématiquement opérer une distinction entre les différents types d'attaques qui ont été arrêtés par des moyens ordinaires.

[En plus de cette dernière catégorie, des indications laissent à penser que le nombre pourrait être supérieur à 3 par mois.] 

3) Au sein de la Direction ICT de mon Département se trouve un service de sécurité à part. Étant donné la crainte que le réseau des Affaires étrangères puisse être une cible intéressante pour les attaques ciblées, plus encore que les autres départements, une attention particulière est accordée à cet aspect de la sécurité. En plus des programmes de sécurité "normaux", différentes méthodes de détection de ce type de logiciel malveillant sont utilisées et de nouvelles sont actuellement étudiées. Dans un même ordre d’idées, nous travaillons avec Fedict, le CERT et le Ministère de la Défense. Comme déjà mentionné, l'information très sensible (niveau de classification «Confidentiel» et «Secret») n’est pas traitée sur le réseau habituel. 

4) Les informations classées au sens de la loi du 11/12/98 ne sont actuellement que très rarement échangées par voie électronique. Mon ministère travaille actuellement à d’autres possibilités via des réseaux sécurisés à cet effet. 

5) À diverses reprises et de diverses façons les employés sont sensibilisés à la prudence. Nous notons que le personnel comprend parfaitement les risques liés à l'utilisation d’Internet. Le personnel a été chargé d’avertir à la fois l'administration centrale de Bruxelles mais aussi les postes lorsqu’une irrégularité est constatée. Il convient d’opérer une distinction entre les incidents que chaque citoyen peut rencontrer (par exemple les e-mails de soi-disant « princes nigérians ») et les incidents réels de sécurité via lesquels une tentative est faite en vue d’obtenir des données de manière irrégulière et/ou avoir accès aux systèmes d'accès des AE. Pour la première catégorie, aucune statistique n’est tenue, pour la deuxième, le nombre de notifications se limite à quelques-unes par trimestre.

1) Ja, een reeks maatregelen op het gebied van hard- en software beveiliging zijn in plaats gesteld. De classificatie schema’s van België en die van de Europese Unie (EU), Noord-Atlantische Verdragsorganisatie (NATO) en de meeste EU Lidstaten zijn niet dezelfde. Maar het is strikt verboden gevoelige (geclassificeerde) informatie, zoals bedoeld in de wet van 11/12/98, inclusief de informatie van internationale oorsprong die op dezelfde manier beschermd wordt, op het internet verbonden lokale netwerk te plaatsen. 

2) Exacte cijfers voor gerichte aanvallen kunnen niet gegeven worden [gebruik makend van de huidige verdedigingmiddelen]. Aanvallen kunnen falen en zonder gevolgen blijven voor ze opgemerkt worden. Gerichte aanvallen kunnen hun eigen sporen uitwissen. Alle aanvallen worden met beide middelen opgespoord en bestreden, gewone en specifieke. Het zou veel tijd vragen om systematisch achteraf een onderscheid te gaan maken tussen de verschillende soorten aanvallen die door middel van gewone middelen tegengehouden werden.

[Naast deze laatste category zijn er toch aanwijzingen dat het aantal hoger zou kunnen liggen dan 3 per maand.] 

3) Binnen de Stadirectie ICT van mijn Departement bestaat een aparte veiligheidsdienst.

Vanuit de bezorgdheid dat het computernetwerk van Buitenlandse Zaken meer nog dan dat van andere departementen, een interessant doelwit kan zijn voor gerichte aanvallen, wordt extra aandacht besteed aan dit aspect van de beveiliging. Naast de “gewone” beveiligingsprogramma’s worden voor het opsporen van dit soort malware verschillende methodes gebruikt en worden er nieuwe onderzocht. Ook wordt er op dit vlak samengewerkt met Fedict, CERT en het ministerie van Defensie. Zoals reeds vermeld wordt zeer gevoelige informatie (classificatieniveaus “Vetrouwelijk” en “Geheim”) niet op het gewone computernetwerk behandeld. 

4) Geclassificeerde informatie in de zin van de wet van 11/12/98 wordt momenteel slechts beperkt electronisch uitgewisseld. Mijn departement werkt aan de uitbreiding van de mogelijkheden via aparte daarvoor beveiligde netwerken.

5) Op verschillende tijdstippen  en via verschillende wegen worden de medewerkers aangemaand tot voorzichtigheid. We stellen vast dat bij het personeel een gezond besef bestaat van de risico’s die het gebruik van he internet met zich mee brengt.

Personeel heeft instructie om elke onregelmatigheid te melden, zowel op Hoofdbestuur Brussel als op de posten. Er dient onderscheid gemaakt te worden tussen incidenten die elke burger kunnen overkomen (bvb de mails van zgn “Nigeriaans prinsen”) en werkelijke veiligheidsincidenten waarbij een poging wordt gedaan om op oneigenlijke wijze gegevens te verkrijgen en/of zich toegang te verschaffen tot de systemen van BZ. Voor de eerste categorie worden geen statistieke bijgehouden, voor de tweede beperkt het aantal meldingen zich tot enkele per kwartaal.