SÉNAT Question écrite n° 7-1554 - SENAAT Schriftelijke vraag nr. 7-1554

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2021-2022

Zitting 2021-2022

________

30 mars 2022

30 maart 2022

________

Question écrite n° 7-1554

Schriftelijke vraag nr. 7-1554

de Tom Ongena (Open Vld)

van Tom Ongena (Open Vld)

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing

________

Cybersécurité - Hébergeurs - Cybercriminalité - Plaintes - Chiffres et tendances - Lutte - Politique belge en matière de cybersécurité - Mesures

Cyberveiligheid - Hostingbedrijven - Cybercrime - Klachten - Cijfers en tendensen - Strijd - Belgische cyberbeleid - Maatregelen

________

sécurité des systèmes d'information
centre serveur
protection des données
statistique officielle
poursuite judiciaire
criminalité informatique
Pays-Bas

informatiebeveiliging
informatiedienstverlening
gegevensbescherming
officiële statistiek
gerechtelijke vervolging
computercriminaliteit
Nederland

________

30/3/2022	Verzending vraag (Einde van de antwoordtermijn: 28/4/2022)
28/4/2022	Antwoord

30/3/2022	Verzending vraag (Einde van de antwoordtermijn: 28/4/2022)
28/4/2022	Antwoord

________

Aussi posée à : question écrite 7-1551
Aussi posée à : question écrite 7-1552
Aussi posée à : question écrite 7-1553

________

Question n° 7-1554 du 30 mars 2022 : (Question posée en néerlandais)

Vraag nr. 7-1554 d.d. 30 maart 2022 : (Vraag gesteld in het Nederlands)

Une enquête récente de la société de sécurité informatique Kaspersky révèle que les Pays-Bas restent toujours aussi populaires pour les cybercriminels. Cela s'explique notamment par la qualité de l'infrastructure numérique ; les connexions à internet y sont rapides et bon marché (cf. https://pointer.kro ncrv.nl/online criminelen bestoken de wereld met cyberaanvallen vanuit nederland).

Ces pratiques ne sont pas restées sans réponse. Dans une lettre adressée au secteur de l'internet, la police néerlandaise a, encore récemment, mis en garde contre les revendeurs d'hébergement étrangers, des sociétés qui sous-louent de l'espace sur le serveur d'un hébergeur. Ces espaces d'hébergement sont utilisés pour toutes sortes de pratiques illégales, telles que l'envoi de spams, l'hébergement de contenus pédopornographiques et le lancement d'attaques au moyen de logiciels rançonneurs.

On estime qu'il existe aux Pays-Bas entre huit cents et deux mille hébergeurs, qui louent de l'espace sur des serveurs informatiques pour, par exemple, faire tourner un site internet ou entreposer de grandes quantités de données. Un grand groupe de locataires et de revendeurs internationaux (des entreprises qui sous-louent à leur tour de l'espace) ont recours à leurs services.

Parmi ces revendeurs, il y a des sociétés douteuses qui proposent leurs services à des cybercriminels. Il arrive ainsi que des attaques au moyen de logiciels rançonneurs ou autres soient lancées à partir d'autres pays via des hébergeurs légitimes néerlandais.

Il est difficile de poursuivre ces revendeurs dans la pratique. Un règlement européen dispose en effet que les hébergeurs ne peuvent pas être tenus responsables de la manière dont leurs serveurs sont utilisés.

En ce qui concerne le caractère transversal de la présente question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors vous poser les questions suivantes :

1) Pourriez-vous indiquer le nombre de procès-verbaux, d'affaires pénales, de plaintes, etc., qui, pour chacune des trois dernières années, concernent des hébergeurs belges ayant des contenus illégaux sur leurs serveurs? Combien de ces plaintes ont été déposées par les sites d'hébergement eux-mêmes? Combien l'ont été par des clients? Combien de ces plaintes émanent de visiteurs ou d'utilisateurs des sites hébergés par de tels hébergeurs ? Combien de ces plaintes ont été déclarées recevables et quelles peines ont été infligées?

2) Pourriez-vous préciser la nature des infractions commises par de tels hébergeurs belges au cours des trois dernières années? Veuillez, si possible, ventiler votre réponse par catégorie (spam, contenu illégal ou criminel, logiciel rançonneur, etc.). Êtes-vous en mesure de chiffrer les dommages subis par nos entreprises sur une base annuelle?

3) Parmi les plaintes précitées émanant ou concernant des hébergeurs, combien dénonçaient des pratiques illégales commises par des «revendeurs», c'est-à-dire des sociétés qui sous-louent de l'espace sur certains serveurs?

4) Quelle est l'ampleur de la cybercriminalité mondiale, sous toutes ses facettes, commise à partir de serveurs belges? Pourriez-vous décrire les tendances observées au cours des cinq dernières années?

5) Estimez-vous que la politique belge actuelle en matière de lutte contre la cybercriminalité suffise à dissuader les personnes se livrant à des activités criminelles via des hébergeurs néerlandais? Si oui, quelles sont les mesures les plus efficaces à cet effet, selon vous? Si non, quels points doivent encore être améliorés, selon vous?

6) Pourriez-vous indiquer dans quelle mesure les cadres relatifs aux hébergeurs belges ont été détaillés? Pourriez-vous préciser dans quelle mesure ont tient compte de la possibilité que ces parties d'espaces de serveurs soient «sous-louées? Si ce n'est pas encore le cas, quelle en est la raison ?

7) Quelles mesures ont déjà été prises pour éviter les abus commis aussi bien par les fournisseurs d'accès à internet que par les hébergeurs? Pouvez-vous indiquer s'il existe, comme aux Pays-Bas, une liste des personnes ou entreprises qui sont connues pour se livrer à des pratiques malhonnêtes via des espaces sous-loués sur des serveurs d'un hébergeur. Selon vous, comment pourrait-on faire en sorte que les fournisseurs soient mieux informés de ces pratiques malhonnêtes? Quelles mesures ont déjà été prises à cet égard? Veuillez illustrer votre réponse à l'aide d'exemples.

8) Dans quelle mesure la Federal Computer Crime Unit peut-elle mettre fin à ces pratiques malhonnêtes en ligne? Selon vous, quels sont les mesures et les types d'approche les plus efficaces pour les faire cesser? Selon vous, quelles sont encore les lacunes dans la législation qui peuvent faire obstacle à cette action?

Uit een onlangs gepubliceerd onderzoek van computerbeveiligingsbedrijf Kaspersky blijkt dat Nederland onverminderd populair is voor cybercriminelen. Dit heeft te maken met de goede digitale infrastructuur; het internet is er snel en goedkoop (cf. https://pointer.kro-ncrv.nl/online-criminelen-bestoken-de-wereld-met-cyberaanvallen-vanuit-nederland).

Deze praktijken bleven niet onbeantwoord. In een brief gericht aan de internetsector waarschuwde de Nederlandse politie onlangs nog voor buitenlandse resellers, bedrijven die serverruimte van hostingbedrijven doorverhuren. De serverruimtes worden gebruikt voor diverse illegale praktijken zoals het versturen van spam, het hosten van kinderporno en het uitvoeren van ransomware aanvallen.

Naar schatting zijn er in Nederland zo'n achthonderd tot tweeduizend hostingbedrijven. Zij verhuren ruimte op computerservers om bijvoorbeeld een website op te draaien of voor het stallen van grote hoeveelheden van data. Een groot cluster aan huurders en internationale resellers (bedrijven die de ruimte weer doorverhuren) maakt daarvan gebruik.

Tussen deze resellers zitten ook foute bedrijven, die hun diensten aan cybercriminelen aanbieden. Zo kan het dat vanuit het buitenland, via Nederlandse legitieme hosters, ransomware of andere aanvallen worden uitgevoerd.

Deze resellers zijn in de praktijk moeilijk te vervolgen. Er is namelijk een Europese verordening die stelt dat hostingbedrijven in principe niet aansprakelijk gesteld kunnen worden voor wat er op hun servers gebeurt.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Kan u het aantal processen-verbaal, strafzaken, klachten, enz., voor respectievelijk de jongste drie jaar mededelen die betrekking hebben tot Belgische hostingbedrijven die illegale content hosten? Hoeveel van deze klachten komen van de hostingsites zelf? Hoeveel van klanten? Hoeveel van de bezoekers of gebruikers van de sites die gehost worden door dergelijke hostingbedrijven? Hoeveel van deze klachten werden ontvankelijk verklaard en welke straffen kreeg men?

2) Gelieve de aard van inbreuken weer te geven van dergelijke Belgische hostingbedrijven in de jongste drie jaar. Indien mogelijk uitgesplitst per categorie (spam, illegale of criminele materie, ransomware, enz.). Kan u een cijfer geven wat betreft de schade voor onze ondernemingen op jaarbasis?

3) Bij hoeveel van de bovengenoemde klachten van of over hostingbedrijven werden deze illegale praktijken bewerkstelligd door zogenaamde «resellers», anders gezegd bedrijven die de ruimte doorverhuren op bepaalde servers?

4) Hoeveel van de wereldwijde cybercrime in al zijn facetten is afkomstig vanuit Belgische servers? Licht de tendensen toe van de jongste vijf jaar.

5) Gelieve te duiden of het huidige Belgische cyberbeleid voldoende is om degenen die criminele activiteiten ondernemen via Nederlandse hostingproviders af te schrikken. Indien ja, welke maatregelen zijn volgens u het meest effectief hieromtrent? Indien neen, welke punten moeten volgens u nog verbeterd worden?

6) Gelieve te illustreren in welke mate de kaders voor Belgische hostingbedrijven zijn uitgewerkt. Kan u toelichten in hoeverre hierbij rekening wordt gehouden met het feit dat stukjes serverruimte kunnen «doorverhuurd» worden? Indien dit nog niet het geval is, gelieve mee te delen waarom.

7) Welke stappen zijn reeds gezet om wanpraktijken te voorkomen bij zowel internetproviders als hostingproviders? Kan u toelichten of er een lijst beschikbaar is naar Nederlands voorbeeld, waarop personen of bedrijven staan die erom bekend staan malafide praktijken te bewerkstelligen via doorverhuurde hostingproviders? Hoe kan men de providers beter op de hoogte brengen van deze wanpraktijken volgens u? Welke stappen zijn reeds gezet? Gelieve te illustreren.

8) In hoeverre kan de Federal Computer Crime Unit deze malafide online praktijken een halt toeroepen? Welke maatregelen of soorten aanpak zijn volgens u het best om dit te stoppen? Kan u illustreren waar volgens u nog lacunes in de wetgeving zitten die dit kunnen tegenwerken?

Réponse reçue le 28 avril 2022 :

Antwoord ontvangen op 28 april 2022 :

1) à 3) La Banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base des procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets liés à l’infraction, les moyens de transport utilisés, les destinations de lieu, etc.

Il est possible, sur base des informations disponibles dans la BNG, de fournir des rapports statistiques sur une large sélection de délits ICT (criminalité informatique, ransomware, phishing, fraude à la carte de paiement, etc.). Il n’est cependant pas possible, sur base des variables statistiques présentes dans la banque de données policières, d’établir le nombre de sociétés d’hébergement belges qui hébergent des données illégales ou de déterminer dans quel pays se trouve le serveur par le biais duquel ces délits ont été commis.

Pour le surplus, je vous renvoie vers le ministre de la Justice.

4) Pour répondre correctement à cette question, nous aurions besoin non seulement de nos propres chiffres, mais aussi de chiffres internationaux corrects et complets. Comme nous ne disposons pas de ces chiffres, il n’est pas possible de répondre à cette question de manière quantitative.

Toutefois, nous savons que, contrairement à certains de nos pays voisins, nous disposons d’une infrastructure de serveurs relativement limitée sur notre territoire, ce qui nous amène à penser que la part de la Belgique est plutôt limitée dans ce contexte. Cela est confirmé par le nombre relativement faible de demandes de protection des données que nous recevons de l’étranger chaque année.

5) & 7) Ces questions parlementaires ne relèvent pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB) et de la compétence du ministre de la Justice.

6) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du ministre de la Justice.

8) La Federal Computer Crime Unit (FCCU) de la direction centrale DJSOC est spécifiquement engagée dans la lutte contre les formes graves de criminalité informatique, y compris celles qui nécessitent une réaction rapide en cas d’incidents affectant les infrastructures critiques et vitales. Elle apporte également pour les services centraux un soutien spécialisé dans l’examen forensiques des supports de données numériques et développe une expertise dans certains matières de haute technologie, et ce, au service de l’ensemble de la police intégrée. Les tâches de la FCCU comprennent également l’échange d’informations internationales.

Pour la police fédérale, la FCCU s’est engagée à collaborer à des projets européens visant à lutter contre les services d’hébergement dits «pare-balles» et les infrastructures de serveurs utilisées à des fins criminelles.

Dans la pratique, cependant, la FCCU n’a pas été chargée de recherches ou de projets concrets dans ce domaine, en partie en raison de ses capacités limitées et en partie parce que notre pays compte moins de grands fournisseurs d’hébergement que les Pays-Bas ou la France, par exemple, et que le problème est donc moins aigu.

Outre la FCCU, d’autres services de police peuvent jouer un rôle en la matière: lorsqu’il s’agit de supprimer ou de bloquer des contenus illicites, la cellule i2 (Internet Investigations) de DJSOC est impliqué et lorsqu’une enquête est géographiquement localisée, elle peut également être menée par la Regional Computer Crime Unit (RCCU) de l’arrondissement en question.

Pour ce qui concerne d’éventuelles modifications dans la législation, je vous renvoie vers le ministre de la Justice.

1) tot 3) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modus operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de bestemmingen-plaats, enz.

Op basis van de informatie in de ANG is het mogelijk om cijfermatig te rapporteren over een ruime selectie aan ICT-misdrijven (informaticacriminaliteit, ransomware, phishing, betaalkaartfraude, enz.). Het is echter, op basis van de statistische variabelen in de politiedatabank, niet mogelijk om aan te geven hoeveel Belgische hostingbedrijven illegale content hosten of om nader te bepalen in welk land de server, via dewelke deze misdrijven werden gepleegd, zich bevond.

Voor het overige verwijs ik u naar de minister van Justitie.

4) Om deze vraag correct te kunnen beantwoorden zouden we niet alleen moeten beschikken over eigen cijfermateriaal, maar ook over correcte en complete internationale cijfers. Aangezien we niet over dit cijfermateriaal beschikken, is het niet mogelijk om deze vraag kwantitatief te beantwoorden.

We weten echter wel dat we, in tegenstelling tot enkele van onze buurlanden, een relatief beperkte serverinfrastructuur hebben op ons grondgebied, waardoor gevoelsmatig kan worden gesteld dat het Belgische aandeel in deze context eerder beperkt is. Dit wordt bevestigd door het relatief klein aantal datavrijwaringsverzoeken die we vanuit het buitenland jaarlijks ontvangen.

5) & 7) Deze parlementaire vragen vallen niet onder mijn bevoegdheden maar behoren tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert en tot die van de minister van Justitie.

6) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de minister van Justitie.

8) De Federal Computer Crime Unit (FCCU) van de centrale directie DJSOC is specifiek belast met met het bestrijden van ernstige vormen van informaticacriminaliteit, onder meer deze die een snelle reactie vereisen in geval van incidenten ten aanzien van kritieke en vitale infrastructuren. Daarnaast levert zij voor de centrale diensten een gespecialiseerde steun bij het forensisch onderzoeken van digitale gegevensdragers en ontwikkelt zij een expertise in bepaalde hoogtechnologische materies, ten dienste van de geïntegreerde politie. Ook internationale informatie-uitwisseling behoort tot de taken van de FCCU.

De FCCU heeft zich, namens de federale politie, geëngageerd om mee te werken aan Europese projecten rond het aanpakken van zogenaamde bulletproof hosting services en crimineel gebruikte serverinfrastructuur. In de praktijk is de FCCU thans echter niet belast met concrete onderzoeken of projecten hieromtrent, deel wegens capaciteitsbeperkingen en anderzijds omdat ons land minder grote hostingproviders telt dan bijvoorbeeld Nederland of Frankrijk en de problematiek zich dan ook minder scherp stelt.

Naast de FCCU kan er in deze materie echter ook een rol zijn weggelegd voor andere politiediensten: als het gaat over het verwijderen of blokkeren van illegale content is met name de dienst i2 (Internet Investigations) van DJSOC betrokken en wanneer een onderzoek geografisch gelokaliseerd is, kan het ook worden gevoerd door de Regionale Computer Crime Unit van het betrokken arrondissement.

Wat eventuele wijzigingen in de wetgeving betreft, verwijs ik u naar de minister van Justitie.