SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2020-2021 Zitting 2020-2021
________________
22 juillet 2021 22 juli 2021
________________
Question écrite n° 7-1312 Schriftelijke vraag nr. 7-1312

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
aan de vice-eersteminister en minister van Justitie en Noordzee
________________
Cybersécurité - Électricité verte - Bornes de recharge - Panneaux solaires - Réseau d'électricité - Sécurité - Mesures Cybersecurity - Groene stroom - Laadpalen - Zonnepanelen - Stroomnet - Veiligheid - Maatregelen 
________________
piratage informatique
criminalité informatique
énergie électrique
sécurité des systèmes d'information
réseau énergétique
matériel électrique
computerpiraterij
computercriminaliteit
elektrische energie
informatiebeveiliging
energienet
elektrisch materiaal
________ ________
22/7/2021Verzending vraag
(Einde van de antwoordtermijn: 26/8/2021)
8/9/2021Antwoord
22/7/2021Verzending vraag
(Einde van de antwoordtermijn: 26/8/2021)
8/9/2021Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 7-1313 Ook gesteld aan : schriftelijke vraag 7-1313
________ ________
Question n° 7-1312 du 22 juillet 2021 : (Question posée en néerlandais) Vraag nr. 7-1312 d.d. 22 juli 2021 : (Vraag gesteld in het Nederlands)

Aux Pays-Bas, l'«Agentschap Telecom» (AT – Agence des télécommunications) a lancé une mise en garde contre la vulnérabilité du réseau d'électricité. Le développement de l'électricité verte et l'intégration de plus en plus poussée dans le réseau TIC qui l'accompagne rendent le système plus vulnérable aux pirates informatiques (cf. https://nos.nl/artikel/2388977-hackers-kunnen-stroomnet-saboteren-via-zonnepaneel-en-laadpaal).

Les pirates pourraient déséquilibrer, voire carrément détourner à leur profit et paralyser la fourniture électricité. La directrice de l'AT souligne que les producteurs, utilisateurs et fournisseurs de nouveaux services et d'appareils dits intelligents (comme les bornes de recharge) ne sont pas suffisamment conscients des risques.

Les bornes de recharge, dont certaines sont accessibles librement en rue et sont reliées au réseau local, constituent dès lors des cibles potentielles pour les pirates. Il en est de même du logiciel qui régule les panneaux solaires. Si le panneau d'un ménage individuel est piraté, cela ne posera guère de problèmes sur le réseau. Mais il en va autrement lorsque c'est le logiciel de commande des panneaux qui est attaqué. Dans les cas extrêmes, on pourrait compromettre l'approvisionnement énergétique sur une grande échelle, en particulier en cas d'action massive et coordonnée des pirates.

L'inquiétude ressentie aux Pays-Bas n'est pas sans fondement. Dans l'ouest des États-Unis, le réseau d'électricité a déjà été la cible d'un piratage voici deux ans déjà (cf. https://www.eenews.net/stories/1061111289). Bien que les dommages aient été limités, cet épisode a incité tant les services de sécurité que le fournisseur d'électricité concerné à redoubler de vigilance.

La Russie a déjà eu recours à cette technique par le passé. En 2015, le réseau d'électricité ukrainien a été paralysé pendant plusieurs heures à la suite d'une cyberattaque. Près de quatre-vingt-mille personnes ont été privées d'électricité pendant six heures (cf. https://www.reuters.com/article/us-ukraine-cybersecurity-sandworm-idUSKBN0UM00N20160108).

En ce qui concerne le caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale partagée avec les Régions, celles-ci intervenant surtout dans le volet préventif.

Je souhaiterais poser les questions suivantes au/à la ministre.

1) Dans quelle mesure notre réseau d'électricité est-il protégé contre d'éventuelles (cyber)attaques extérieures ? Des attaques ont-elles déjà eu lieu ? Si oui, pouvez-vous préciser le nombre d'attaques lancées contre notre réseau d'électricité ou la production ? Ces attaques ont-elles réussi ?

2) De quelles manières les services de sécurité et autres garantissent-ils la sécurité de nos réseaux d'électricité ? L'électricité que nous importons de l'étranger a-t-elle une influence sur la sécurité de nos réseaux ?

3) Combien de problèmes de sécurité le système de recharge intelligente pose-t-il ?

4) Que peuvent faire les consommateurs pour garantir la sécurité de leurs stations de recharge, panneaux solaires et autres appareils électriques connectés ? Comment les pouvoirs publics peuvent-ils les y aider ?

5) Existe-t-il des projets visant à renforcer la sécurité des bornes de recharge (surtout publiques) et autres appareils de ce genre ? Pourquoi (pas) ?

 

In Nederland stuurde het Agentschap Telecom een waarschuwing uit over de kwetsbaarheid van het stroomnet. Door de vergroening van de elektriciteit en de daarbij steeds verdergaande gekoppelde integratie binnen het ICT-netwerk, wordt het geheel kwetsbaar voor hackers (cf. https://nos.nl/artikel/2388977-hackers-kunnen-stroomnet-saboteren-via-zonnepaneel-en-laadpaal).

Hackers kunnen de stroomvoorziening uit balans brengen of zelfs volledig kapen en stilleggen. Het Nederlandse hoofd van het Agentschap Telecom benadrukt dat producenten, gebruikers en leveranciers van nieuwe diensten en zogenoemde slimme apparatuur (zoals laadpalen) zich onvoldoende bewust zijn van dat risico.

Laadpalen, waarvan er sommige vrij op straat staan en gekoppeld zijn aan het lokale netwerk, zijn dan ook potentiële doelwitten voor hackers. Hetzelfde geldt voor de software die zonnepanelen reguleert. Indien het paneel van een individueel huishouden gehackt wordt, dan is dat niet zo'n probleem voor het netwerk. Dat verandert echter wanneer de software om de panelen aan te sturen wordt aangevallen. In extreme gevallen kan men de energiebevoorrading op grote schaal in gevaar brengen, in het bijzonder als dit gepaard gaat met een massale, gecoördineerde actie van de aanvallers.

Deze plotse Nederlandse bezorgdheid komt niet uit het niets. In het westen van de Verenigde Staten werd twee jaar geleden reeds een hack uitgevoerd op het stroomnet (cf. https://www.eenews.net/stories/1061111289). Hoewel de schade beperkt bleef, was het een reden tot vergrote waakzaamheid , zowel bij de veiligheidsdiensten als de stroomleverancier in kwestie.

Rusland in het bijzonder heeft deze techniek in het verleden al gebruikt. In 2015 werd het Oekraïense stroomnetwerk voor meerdere uren platgelegd door een cyberaanval. Ongeveer tachtigduizend mensen zaten zes uur zonder stroom (cf. https://www.reuters.com/article/us-ukraine-cybersecurity-sandworm-idUSKBN0UM00N20160108).

Wat betreft het transversaal karakter van de vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte ministers:

1) In hoeverre is ons stroomnet beveiligd tegen eventuele externe (cyber)aanvallen? Zijn er reeds aanvallen gebeurd? Zo ja, kan u toelichten hoeveel aanvallen op ons stroomnet of de productie gericht waren? Waren deze succesvol?

2) Op welke manieren garanderen de veiligheids- en andere diensten de veiligheid van onze stroomnetten? Heeft de stroom die wij importeren vanuit het buitenland een invloed op de veiligheid van onze netten?

3) Hoeveel veiligheidsproblemen zijn er verbonden aan het zogenaamde «smart-charging» systeem?

4) Wat kunnen consumenten zelf doen om de veiligheid te garanderen over hun laadstations, zonnepanelen en andere gelinkte elektrische apparaten? Hoe kan de overheid hierbij helpen?

5) Zijn er plannen om de beveiliging te verhogen van (vooral openbare) laadpalen en dergelijke? Waarom wel of niet?

 
Réponse reçue le 8 septembre 2021 : Antwoord ontvangen op 8 september 2021 :

De façon générale pour cette question, je me dois de vous renvoyer à la direction générale de l’Énergie du Service public fédéral (SPF) Économie. En effet, cette dernière dispose d’une vue d’ensemble des services compétents aux niveaux fédéral et régional. Le Centre de crise, sous la tutelle de la ministre de l’Intérieur, pourra également vous éclairer sur les mesures concrètes visant à assurer la sécurité de nos infrastructures critiques.

En ce qui concerne la Justice, on peut apporter les réponses suivantes aux questions posées :

1) La sécurisation du réseau électrique belge ne relève pas de la compétence de la Justice. Cette expertise se situe plutôt au niveau des producteurs d’électricité, des gestionnaires de réseau, du Centre de crise (NCCN), du Centre pour la Cybersécurité (CCB) ainsi que des autorités régionales et fédérales compétentes.

2) La Sûreté de l'État (VSSE) recueille des renseignements sur les menaces (telles que l’espionnage, l’ingérence ou le terrorisme) contre les intérêts fondamentaux tels que la sûreté intérieure et extérieure du pays et le potentiel scientifique et économique belge. Si des informations pertinentes sur des menaces contre les sources d’alimentation électrique belges sont détectées, elles sont partagées avec les institutions compétentes (comme le SPF Économie, le NCCN, les producteurs et distributeurs d’électricité concernés ainsi que les ministres de tutelle).

3) L’objet de cette question ne relève pas non plus de la compétence de la Justice.

4) La Justice ne dispose pas de l’expertise pour pouvoir fournir ce type d’avis. Des mesures de protection de base telles que l’installation adéquate de mises à jour de sécurité et une politique de mots de passe solide pour les appareils connectés à Internet constituent évidemment un premier pas positif.

5) La Justice n’a pas connaissance de projet visant à prendre de telles mesures de sécurité complémentaires.

In het algemeen moet ik voor deze vraag verwijzen naar de algemene directie Energie van de Federale Overheidsdienst (FOD) Economie, die zicht heeft op het complete plaatje van bevoegde diensten op federaal en regionaal niveau. Ook het Crisiscentrum, onder de bevoegdheid van de minister van Binnenlandse Zaken, zal input kunnen leveren over de concrete maatregelen ter beveiliging van onze kritieke infrastructuur.

Wat betreft Justitie kan het volgende worden geantwoord op de gestelde vragen:

1) Justitie is niet bevoegd inzake de beveiliging van het Belgische stroomnet. Deze expertise ligt eerder bij de stroomproducenten, de netbeheerders, het Crisiscentrum (NCCN), het Cybersecurity Centrum (CCB) en de bevoegde regionale en federale autoriteiten.

2) De Veiligheid van de Staat (VSSE) verzamelt inlichtingen over dreigingen (zoals spionage, inmenging of terrorisme) ten opzichte van de fundamentele belangen zoals de interne en externe veiligheid van het land en het Belgische wetenschappelijk en economisch potentieel. Indien pertinente informatie over dreigingen ten opzichte van de Belgische stroomvoorzieningen wordt gedetecteerd, dan zal deze worden gedeeld met de bevoegde instellingen (zoals de FOD Economie, het NCCN, de betrokken stroomproducenten en -distributeurs, alsook de voogdijministers).

3) Ook dit onderwerp valt niet onder bevoegdheid van Justitie.

4) Justitie beschikt niet over de expertise om dit soort adviezen te kunnen geven. Basisbeschermingsmaatregelen zoals het adequaat installeren van veiligheidsupdates en een sterk wachtwoordbeleid voor toestellen verbonden aan het internet zijn natuurlijk een goede eerste stap.

5) Justitie is niet op de hoogte van plannen om dergelijke aanvullende veiligheidsmaatregelen te treffen.