SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 mai 2013 13 mei 2013
________________
Question écrite n° 5-8994 Schriftelijke vraag nr. 5-8994

de Nele Lijnen (Open Vld)
van Nele Lijnen (Open Vld)

au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes
aan de minister van Overheidsbedrijven en Ontwikkelingssamenwerking, belast met Grote Steden
________________
Cybercriminalité - Cyberattaques ciblées - Entreprises - Sites web de l'administration fédérale - Sites web des entreprises publiques - Technique du watering hole - Sécurisation Cybercrime - Gerichte cyberaanvallen - Bedrijven - Websites van de federale overheid - Websites van overheidsbedrijven – Watering hole-techniek - Beveiliging 
________________
entreprise publique
administration centrale
virus informatique
criminalité informatique
piratage informatique
administration électronique
site internet
protection des données
overheidsbedrijf
centrale overheid
computervirus
computercriminaliteit
computerpiraterij
elektronische overheid
internetsite
gegevensbescherming
________ ________
13/5/2013Verzending vraag
18/9/2013Rappel
12/11/2013Rappel
13/12/2013Herkwalificatie
16/1/2014Antwoord
13/5/2013Verzending vraag
18/9/2013Rappel
12/11/2013Rappel
13/12/2013Herkwalificatie
16/1/2014Antwoord
________ ________
Requalifiée en : demande d'explications 5-4553 Requalifiée en : demande d'explications 5-4553
________ ________
Question n° 5-8994 du 13 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-8994 d.d. 13 mei 2013 : (Vraag gesteld in het Nederlands)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de dérober à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises et ce, par le biais de la technique du « watering hole ». Un cybercriminel prévoit d'accomplir un « exploit » sur un site web fort visité par les utilisateurs qu'il veut atteindre. À leur insu, les visiteurs du site infecté se retrouvent, par exemple, avec un cheval de Troie ou un malware. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire innocent. Il est tout à fait possible que les criminels subtilisent en une fois les données bancaires ou les droits intellectuels des entreprises. L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels ne s'intéressent pas à elles et qu'ils s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est pas le cas. Aux États-Unis (EU) la première victime n'est plus l'administration mais le secteur industriel. Lorsque des criminels ont besoin de données (données bancaires, contrats, données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais aux plus petites qui, collaborant étroitement avec ces dernières, disposent de nombreuses informations à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser au ministre les questions suivantes :

1) Par le passé, des sites web de l'administration fédérale ou d'entreprises publiques ont-ils déjà été victimes de la technique dite du « watering hole » dont l'administration était la cible ? Des sites web de l'administration (d'entreprises publiques) ont-ils déjà été utilisés comme « intermédiaire » ou le ministre a-t-il connaissance d'instances dont les PC ont été contaminés après visite d'un site web contaminé ?

2) Dans l'affirmative, le ministre peut-il étayer sa réponse à l'aide de chiffres portant sur les cinq dernières années ?

3) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du watering hole ?

4) Est-il très courant au sein de l'administration de limiter le nombre de sites web à visiter ou le personnel peut-il en général visiter à peu près tous les sites ? Le ministre peut-il détailler sa réponse ?

5) Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

6) Est-il très courant au sein de l'administration de réinitialiser régulièrement le mot de passe des ordinateurs, amenant l'utilisateur à devoir en choisir un nouveau ? Le ministre est-il partisan de cette pratique ?

7) Lorsque l'on découvre sur un ordinateur de l'administration un « Cheval de Troie », un « malware », ... susceptible de révéler des (risques d') infractions, est-il courant de créer un nouveau mot de passe pour cet ordinateur ?

 

In een recent rapport stelt het Amerikaanse bedrijf Symantec dat het aantal gerichte cyberaanvallen in 2012 met 42 % is toegenomen. Het hoofddoel van deze aanvallen is het stelen van intellectuele eigendom, waarbij kleine en middelgrote ondernemingen (kmo's), de industrie en de overheidssector vooral aangevallen worden. Is het doel van de criminelen niet per se om info te stelen van die bedrijven, dan fungeren de bedrijven als slachtoffer in een poging om grotere bedrijven aan te vallen. Dit via de zogenaamde "watering hole" techniek. Een cybercrimineel plant hierbij een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die hij eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een "trojan" of "malware". Vervolgens kan de crimineel in de pc's of de website van de organisatie die hij eigenlijk wilde binnendringen. Het bedrijf waarvan de website wordt aangevallen is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.

Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dit klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidssector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, maar wel de kleinere die nauw met hen samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van deze bedrijven aangevallen, maar wel de administratie die toegang heeft tot de documenten.

Graag had ik de minister volgende vragen gesteld:

1) Zijn er in het verleden al websites van de federale overheid of overheidsbedrijven het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de overheid(sbedrijven) reeds gebruikt als "tussenpersoon", of heeft u weet van instanties waarbij overheidspc's werden besmet na het bezoeken van een besmette website?

2) Zo ja, kan de minister dit toelichten met cijfers over de afgelopen vijf jaar?

3) Zo niet, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken zoals de watering hole techniek vast te stellen?

4) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het personeel in het algemeen zowat alle websites bezoeken? Kan de minister dat toelichten?

5) Indien er restricties zijn, is dat omwille van de cyberveiligheid of de productiviteit?

6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Is de minister hier een voorstander van?

7) Wanneer op een pc van de overheid een "trojan", "malware", … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot ) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?

 
Réponse reçue le 16 janvier 2014 : Antwoord ontvangen op 16 januari 2014 :

Pour ce qui concerne le Service public fédéral (SPF) Affaires étrangères, Commerce extérieur et Coopération au Développement, cette question relève des compétences du ministre des Affaires étrangères puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne le Service public de programmation (SPP) Intégration sociale, cette question relève de la secrétaire d'État à l'Asile et la Migration, à l'Intégration sociale et à la Lutte contre la pauvreté puisque la gestion quotidienne du département relève de celles-ci.

Pour ce qui concerne le groupe Société nationale des chemins de fer belges (SNCB) :

1. 2. et 3. En tant que service ICT de la SNCB-Holding, ICTRA n'a pas connaissance de tels incidents, mais ne peut pas non plus les exclure totalement.

A l'heure actuelle, des contrôles préventifs, détectifs et correctifs sont mis en œuvre, et des améliorations continues sont prévues afin de réduire le risque autant que possible.

4. et 5. Au sein du Groupe SNCB, la pratique est de limiter techniquement le nombre de sites consultables, et ce conformément à la législation et à la réglementation en vigueur. Ces restrictions sont instaurées pour des questions de cyber-sécurité et de productivité.

6. La réinitialisation régulière des mots de passe est une pratique largement répandue au sein du Groupe SNCB.

7. Les mots de passe définis par ICTRA comme "compromis", sont réinitialisés et/ou désactivés le plus rapidement possible.

Pour ce qui concerne Belgacom :

1. Des tentatives d’attaques durant lesquelles les employés de Belgacom reçoivent un e-mail contenant un lien vers un site web tentant d’infecter les PC ont lieu régulièrement. Toutefois, Belgacom assure un screening permanent afin d’éviter tout dommage.

2. Jusqu’à présent, les différentes attaques ont été détectées et déjouées par différents services de Belgacom. Belgacom dispose d’un Belgacom Computer Security Incident Response Team (CSIRT) qui fournit du support coordonné pour la prévention et la gestion des incidents. CSIRT maintient les statistiques des incidents détectés ou reportés. Ces informations sont confidentielles et ne peuvent donc être fournies.

3. En principe, un anti-virus veille à la sécurité des sites réalisés par Belgacom. Pour les sites internet auxquels les employés désirent accéder au départ de leur poste de travail, Belgacom utilise Websense qui analyse les sites sous l’aspect « Cheval de Troie » ou « malware » et les identifie, le cas échéant, en tant que « Malicious website ». Ces sites sont bloqués pour tous les employés de Belgacom.

4. et 5. L’accès à internet est limité pour le personnel de Belgacom pour des raisons de sécurité et également afin de bloquer l’accès à certains contenus comme les contenus pornographiques ou racistes. Les employés qui souhaitent avoir accès aux média sociaux doivent souscrire à la Policy interne en la matière. .

6. Chez Belgacom, les mots de passe doivent être renouvelés régulièrement et les employés ont la possibilité de les modifier quand ils le souhaitent.

7. Les procédures internes prévoient le remplacement du mot de passe lorsque c’est nécessaire. En principe, les programmes anti-virus présents sur les PC détectent et éliminent ces problèmes. Si ce n’est pas possible, l’utilisateur est invité par le helpdesk informatique à effectuer une réinstallation de son PC.

Pour ce qui concerne bpost :

1. Selon les données dont dispose l'entreprise, les sites web de bpost n'ont pas été utilisés comme intermédiaires. Aucun tiers ne nous a en outre signalé avoir été la victime de cette technique via les sites web de bpost. bpost n'est pas non plus au courant d'attaques perpétrées à l'encontre de l'entreprise qui auraient eu recours à cette technique.

2. Sans objet.

3. bpost prend toutes les mesures nécessaires pour se protéger de toute forme de « malware ». L'entreprise utilise pour ce faire le logiciel disponible sur le marché pour protéger tant les PC et ordinateurs portables que le réseau interne et les serveurs pour les connexions Internet. Aucune distinction spécifique n'est faite à cet égard entre la technique dite « watering-hole » dont il est question ici et autre « malware ». Ce logiciel de protection est mis à jour quotidiennement.

4. Les directives internes de bpost interdisent l'accès aux sites web présentant le continu suivant : pornographie, jeux de hasard, hameçonnage, sources de spyware/malware, chat ou messagerie instantanée, sites de rencontres, réseaux sociaux, logiciel indésirable potentiel, contenu suspect. Les sites avec « Spyware Effects / Privacy Concerns », « Proxy Avoidance » et « Remote Access Tools » sont également bloqués.

5. Ces restrictions s'appliquent tout d'abord pour des raisons de sécurité, mais certaines découlent également du code de conduite applicable aux membres du personnel de bpost.

6. Les directives de bpost prévoient que les mots de passe doivent répondre à un certain degré de sécurité et doivent, en principe, être modifiés tous les 90 jours.

7. Non. En cas de virus, le PC ou ordinateur portable concerné est réinstallé. Les noms d'utilisateur et mot de passe peuvent continuer à être utilisés tant que la période normale de 90 jours n'est pas dépassée.

Wat betreft de Federale Overheidsdienst (FOD) Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking valt deze vraag valt onder de bevoegdheden van de minister van Buitenlandse Zaken, aangezien het dagelijks beheer van het departement hieronder valt.

Wat betreft de Programmatorische Overheidsdienst (POD) Maatschappelijke Integratie valt deze vraag onder de bevoegdheid van de Staatssecretaris voor Asiel en Migratie, Maatschappelijke Integratie en Armoedebestrijding, aangezien het dagelijks beheer van het departement hieronder valt.

Wat betreft de Nationale Maatschappij der Belgische Spoorwegen (NMBS)-groep:

1. 2. en 3. ICTRA heeft als ICT-dienst van de NMBS-Holding geen kennis van dergelijke incidenten maar kan dit ook niet volledig uitsluiten.

Momenteel zijn preventieve, detective en correctieve controles geïmplementeerd en zijn er continue verbeteringen voorzien om dit risico zo goed mogelijk te mitigeren.

4. en 5. Binnen de NMBS groep is het de praktijk om het aantal bezoekbare websites technisch te beperken. Dit is in overeenstemming met de geldende wet- en regelgeving. Deze restricties worden ingesteld omwille van de cyberveiligheid en de productiviteit.

6. Het regelmatig resetten van wachtwoorden is een wijdverspreide praktijk bij de NMBS groep.

7. Wachtwoorden, gedefinieerd te ICTRA als "gecompromitteerd", worden zo spoedig mogelijk gereset en/of buiten dienst gesteld.

Wat betreft Belgacom:

1. Het gebeurt regelmatig dat personeelsleden van Belgacom een mail ontvangen die een link bevat naar een website met de bedoeling de pc's te besmetten. Nochtans zorgt Belgacom voor een permanente screening om cyberaanvallen en de schadelijke gevolgen ervan te voorkomen.

2. Tot nu toe werden aanvallen gedetecteerd en verijdeld door verschillende Belgacom-diensten. Belgacom beschikt over een gespecialiseerd team Belgacom Computer Security Incident Response Team (CSIRT) dat de preventie van cyberaanvallen en de interventies bij eventuele incidenten coordineert. CSIRT houdt statistieken bij van gedetecteerde of gemelde cyberaanvallen. Deze statistieken zijn vertrouwelijk en kunnen dus niet meegedeeld worden.

3. De door Belgacom zelf gerealiseerde en beheerde websites worden in principe beveiligd door een antivirussysteem.Om websites die voor haar werknemers toegangelijk zijn vanop hun pc te screenen op “malware” en “Trojan horses”, maakt Belgacom gebruik van Websense. Geïnfecteerde sites worden voor alle Belgacom-werknemers geblokkeerd.

4. en 5. De toegang tot het internet voor het personeel van Belgacom wordt beperkt om veiligheidsredenen en om websites met pornografische en racistische inhoud te blokkeren. Personeelsleden krijgen pas een persoonlijke toegang tot de sociale media nadat ze hiertoe de desbetreffende interne gedragspolicy onderschreven hebben.

6. Bij Belgacom moeten paswoorden regelmatig vernieuwd worden. Bovendien kunnen personeelsleden, indien zij dat wensen; hun paswoord wijzigen.

7. De interne procedures voorzien in de vervanging van een paswoord indien nodig. In principe detecteren de op de pc's geïnstalleerde antivirusprogramma's deze gevaren. Indien dat niet mogelijk is, wordt de gebruiker door de informaticahelpdesk verzocht om zijn pc opnieuw te installeren.

Wat betreft bpost:

1. Volgens de gegevens waarover het bedrijf beschikt, werden de websites van bpost niet gebruikt als tussenpersoon. Er zijn ook geen meldingen van derden die het slachtoffer van deze techniek zouden zijn geweest via de websites van bpost. bpost heeft ook geen weet van aanvallen tegen het bedrijf die deze techniek gebruikt zouden hebben.

2. Zonder voorwerp.

3. bpost neemt alle nodige maatregelen om zich te beschermen tegen allerhande vormen van “malware”. Het bedrijf gebruikt daarvoor de op de markt voorhanden zijnde software om zowel de PC’s en laptops als het interne netwerk en de servers voor de internetverbindingen te beschermen. Er wordt daarbij geen specifiek onderscheid gemaakt tussen de “watering-hole”-techniek waarvan hier sprake of andere “malware”. Deze beveiligingssoftware wordt dagelijks bijgewerkt.

4. Interne richtlijnen van bpost laten niet toe dat websites met volgende inhoud worden bezocht: pornografie, gokspelen, phishing, bronnen van spyware/malware, chat- of instant messaging, dating, sociale netwerken, potentieel ongewenste software, verdachte inhoud. Ook sites met “Spyware Effects / Privacy Concerns”, “Proxy Avoidance” and “Remote Access Tools” worden geweerd.

5. Dit gebeurt in de eerste plaats omwille van veiligheidsredenen maar een en ander vloeit ook voort uit de gedragscode voor personeelsleden van bpost.

6. De richtlijnen van bpost voorzien dat de paswoorden een zekere graad van veiligheid moeten hebben en in principe om de 90 dagen moeten gewijzigd worden.

7. Neen. Bij een infectie wordt de betrokken PC of laptop opnieuw geïnstalleerd. Login en paswoord kunnen geldig blijven tot de normale periode van 90 dagen verstreken is.