SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
23 janvier 2023 23 januari 2023
________________
Question écrite n° 7-1863 Schriftelijke vraag nr. 7-1863

de Els Ampe (Open Vld)
van Els Ampe (Open Vld)

au premier ministre
aan de eerste minister
________________
Terminaux GNL - Infrastructure critique - Sécurité - Cyberattaques - Sabotage - Protection - Mesures LNG-terminals - Kritieke infrastructuur - Veiligheid - Cyberaanvallen - Sabotage - Bescherming - Maatregelen 
________________
sécurité des infrastructures critiques
criminalité informatique
piratage informatique
sécurité des systèmes d'information
gaz naturel
infrastructure industrielle
Russie
guerre de l'information
distribution du gaz
 beveiliging van kritieke infrastructuur
computercriminaliteit
computerpiraterij
informatiebeveiliging
aardgas
industriële infrastructuur
Rusland
informatieoorlog
gasdistributie
________ ________
23/1/2023Verzending vraag
(Einde van de antwoordtermijn: 23/2/2023)
23/1/2023Verzending vraag
(Einde van de antwoordtermijn: 23/2/2023)
________ ________
Ook gesteld aan : schriftelijke vraag 7-1864
Ook gesteld aan : schriftelijke vraag 7-1865		 Ook gesteld aan : schriftelijke vraag 7-1864
Ook gesteld aan : schriftelijke vraag 7-1865
________ ________
Question n° 7-1863 du 23 janvier 2023 : (Question posée en néerlandais) Vraag nr. 7-1863 d.d. 23 januari 2023 : (Vraag gesteld in het Nederlands)

Les pirates informatiques s'intéressent aux terminaux GNL (gaz naturel liquéfié) néerlandais. Ils cherchent à savoir s'il leur est possible de les pirater et réalisent d'autres opérations exploratoires. C'est ce que constatent les experts de la société Dragos spécialisée dans la cyberprotection. Selon le Federal Bureau of Investigation américain (FBI) et d'autres chercheurs, ces groupes ont des liens avec la Russie. Les experts craignent que les terminaux subissent prochainement une cyberattaque et soient éventuellement paralysés. (cf. https://www.rtlnieuws.nl/economie/artikel/5348201/hackers rusland lng gasterminal nederland europese unie cyberoorlog).

Selon Casey Brooks, spécialiste chez Dragos, les groupes de pirates nommés «Xenotime» et «Kamacite» ont déjà analysé en détail les systèmes numériques du terminal GNL de Gasunie dans le chenal d'Eemshaven, dans le port d'Amsterdam. Le FBI a révélé que «Xenotime» et «Kamacite» entretenaient des liens avec les services secrets russes.

L'entreprise néerlandaise ElectricIQ a également signalé une activité accrue autour de l'infrastructure vitale en Europe et aux Pays-Bas. Joep Gommers d'ElectricIQ a déclaré à RTL qu'il est logique que les pirates russes s'en prennent aux terminaux GNL néerlandais: «(traduction) Cela s'inscrit assurément dans le modus operandi et les centres d'intérêt de la Russie en ce moment» (cf. https://finance.yahoo.com/news/russian hackers target dutch lng 170000151.html).

Selon cette entreprise, c'est la première fois que «Xenotime» prend l'Europe pour cible.

En raison de la guerre en Ukraine, les entreprises de cybersécurité observent cette année une hausse sensible du nombre de cyberattaques en général. De janvier à septembre 2022, il est question d'une moyenne mensuelle de plus de cinq millions de cyberattaques isolées, selon les chiffres de l'entreprise de cybersécurité ESET. C'est 20 % de plus qu'en 2021. L'entreprise de cyberprotection Fox-IT estime que la crise énergétique fait planer la menace concrète que des personnes malveillantes s'en prennent à des entreprises actives dans le secteur énergétique. «(traduction) Entre autres dans la chaîne d'approvisionnement pour le transport et la distribution du GNL», déclare un porte-parole de Fox-IT.

Ce n'est pas la première fois que la Russie ou ses citoyens sont accusés d'attaquer l'infrastructure énergétique à l'étranger. Début octobre 2022, le service de sécurité intérieure norvégien a ouvert une enquête sur de nouvelles observations de drones à proximité d'infrastructures capitales, quelques heures seulement après la brève fermeture de l'aéroport de Bergen, proche d'une importante base de la marine norvégienne, à la suite d'observations de drones.

«(traduction) Les drones peuvent être utilisés pour espionner ou simplement semer la panique. La Russie a tout simplement plus à gagner qu'à perdre en déployant des activités de renseignement en Norvège aujourd'hui plutôt qu'avant la guerre», expliquent les autorités.

Des responsables américains ont annoncé dernièrement la découverte d'un système avancé et d'une efficacité alarmante, permettant d'attaquer des installations industrielles et capable notamment de provoquer des explosions dans l'industrie énergétique. Ce programme manipule des appareils présents dans presque toutes les installations industrielles complexes plutôt que de viser des failles inconnues pouvant être corrigées facilement; presque chaque installation pourrait donc en être victime, pensent les experts (cf. https://www.washingtonpost.com/technology/2022/04/13/pipedream malware russia lng/).

En ce qui concerne le caractère transversal de la question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais vous poser les questions suivantes.

1) Pouvez-vous me dire si nos services de sécurité ont déjà signalé que la Russie tentait de s'en prendre à nos centrales GNL (comme celle de Zeebrugge), comme c'est le cas aux Pays-Bas? Si oui, pouvez-vous expliquer l'origine de la menace? Dans la mesure où cette information ne met pas en péril la sécurité, pouvez-vous indiquer quelles mesures supplémentaires ont été prises pour renforcer la protection? Si non, pour quelle raison?

2) A-t-on déjà observé des tentatives d'intrusion numérique dans l'infrastructure de telles centrales GNL au cours des trois dernières années? Si oui, combien au total et combien depuis l'année dernière? A-t-on pu identifier l'origine de ces attaques? Quelles étaient les centrales prises pour cible? Quel était l'objectif présumé des pirates?

3) A-t-on signalé des tentatives d'intrusion physique dans de tels terminaux ou des observations non autorisées (au moyen de drones, par exemple) de nos centrales ou autres structures semblables d'approvisionnement énergétique? Si oui, quel a été le nombre d'incidents en 2022? De quelles sanctions les auteurs ont-ils écopé ? S'ils étaient de nationalité étrangère, quelle était-elle? Les auteurs étaient-ils eux-mêmes en activité au sein de ces centrales?

4) La Russie étant parfaitement consciente de la vulnérabilité de notre approvisionnement énergétique, pouvez-vous me dire si des mesures de sécurité supplémentaires ont été prises à l'échelon fédéral pour éviter une ingérence ou un sabotage pouvant affecter notre approvisionnement? Pouvez-vous détailler votre réponse?

5) Pourriez-vous expliquer dans les grandes lignes les mesures tant physiques que numériques qui sont prises pour protéger l'infrastructure gazière contre le sabotage et les cyberattaques? Des mesures supplémentaires sont-elles encore en préparation, sachant que la guerre en Ukraine accroît le risque de sabotage?

6) Dispose-t-on de plans d'urgence à activer en cas de sabotage ou d'attaque de certaines de nos infrastructures énergétiques susceptibles de compromettre la sécurité de notre approvisionnement? Dispose-t-on également de plans de représailles s'il s'avérait que des puissances étrangères sont responsables du sabotage?

7) Peut-on parler d'une vigilance accrue sur ces sites et en particulier dans les terminaux GNL? Si non, pour quelle raison? Si oui, cela concerne-t-il à la fois la protection physique et la protection numérique?

 

Hackers hebben interesse in de systemen van Nederlandse LNG (liquid natural gas)-terminals. Ze onderzoeken of ze kunnen inbreken en voeren andere verkennende operaties uit. Dat zien onderzoekers van cyberbeveiliger Dragos. Volgens de Amerikaanse Federal Bureau of Investigation (FBI) en andere onderzoekers zijn de groepen gelieerd aan Rusland. Experts vrezen dat de terminals binnenkort digitaal worden aangevallen en mogelijk worden platgelegd (cf. https://www.rtlnieuws.nl/economie/artikel/5348201/hackers-rusland-lng-gasterminal-nederland-europese-unie-cyberoorlog).

Volgens onderzoeker Casey Brooks van Dragos hebben hackersgroepen genaamd «Xenotime» en «Kamacite» de digitale systemen van de LNG-terminal van Gasunie in de Rotterdamse Eemshaven reeds doorspit. De FBI heeft onthuld dat «Xenotime» en «Kamacite» banden hebben met de Russische geheime dienst.

Het Nederlandse bedrijf ElectricIQ heeft ook melding gemaakt van toegenomen activiteit rond vitale infrastructuur in Europa en Nederland. Joep Gommers van ELectricIQ zei tegen RTL dat het logisch is dat Russische hackers het nu gemunt hebben op Nederlandse LNG-terminals: «Het ligt zeker binnen de modus operandi en focus van Rusland op dit moment» (cf. https://finance.yahoo.com/news/russian-hackers-target-dutch-lng-170000151.html).

Volgens dat bedrijf is het wel de eerste keer dat «Xenotime» zich op Europa richt.

Door de oorlog in Oekraïne zien cybersecuritybedrijven dit jaar een flinke stijging van het aantal cyberaanvallen in het algemeen. In de maanden januari tot september 2022 ligt dat op gemiddeld ruim vijf miljoen unieke cyberaanvallen per maand, blijkt uit cijfers van cybersecuritybedrijf ESET. Dat is ruim 20 % meer dan in 2021. Beveiliger Fox-IT schat in dat door de energiecrisis er concrete dreiging is dat kwaadwillenden zich op bedrijven richten die actief zijn in de energiesector. «Met name in de toeleveringsketen voor de aanvoer en distributie van LNG», stelt een woordvoerder van Fox-IT.

Dit is niet de eerste keer dat Rusland of zijn burgers worden beschuldigd van aanvallen op energie-infrastructuur in het buitenland. Begin oktober 2022 opende de Noorse binnenlandse veiligheidsdienst een onderzoek naar nieuwe waarnemingen van drones in de buurt van belangrijke infrastructuurlocaties, slechts enkele uren nadat de luchthaven van Bergen, die in de buurt ligt van de belangrijkste marinebasis van Noorwegen, kortstondig was gesloten vanwege waarnemingen van drones.

«De drones kunnen worden gebruikt voor spionage of gewoon om angst te zaaien. Rusland heeft gewoon meer te winnen en minder te verliezen door nu inlichtingenactiviteiten in Noorwegen te ontplooien dan vóór de oorlog», aldus de lokale autoriteiten.

Amerikaanse functionarissen kondigden onlangs de ontdekking aan van een alarmerend geavanceerd en effectief systeem om industriële installaties aan te vallen, dat onder meer explosies in de energie-industrie kan veroorzaken. Dit programma manipuleert apparatuur die in vrijwel alle complexe industriële installaties wordt aangetroffen in plaats van in te spelen op onbekende gebreken die gemakkelijk kunnen worden verholpen, zodat bijna elke installatie het slachtoffer kan worden, aldus de onderzoekers (cf. https://www.washingtonpost.com/technology/2022/04/13/pipedream-malware-russia-lng/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Kan u meedelen of er reeds signalen zijn binnengekomen van onze veiligheidsdiensten, dat net zoals in Nederland, Rusland tracht onze LNG-centrales (zoals die in Zeebrugge) te treffen? Indien ja, kan u toelichten vanwaar de dreiging kwam? Kan u in de mate dat dit de veiligheid niet in het gedrang brengt meedelen welke bijkomende maatregelen men heeft getroffen voor extra beveiliging? Indien neen, waarom niet?

2) Zijn er reeds digitale inbraakpogingen geweest op de infrastructuur van dergelijke LNG-centrales de jongste drie jaar? Zo ja, hoeveel in het totaal en hoeveel sinds vorig jaar? Konden de aanvallen getraceerd worden vanwaar ze afkomstig waren? Welke centrales werden concreet aangevallen? Wat leek hun vermoedelijke specifiek doelwit te zijn?

3) Zijn er meldingen geweest van fysieke inbraakpogingen bij dergelijke terminals of ongeoorloofde observaties (zoals door middel van drones) bij onze centrales of soortgelijke energiebevoorradingsstructuren? Zo ja, hoeveel incidenten waren er in 2022? Welke straffen kregen de daders? Indien ze een buitenlandse nationaliteit hadden, zou u deze kunnen meedelen? Waren de daders zelf werkzaam binnen deze centrales?

4) Met het feit dat Rusland zich terdege bewust is van de kwetsbaarheid van onze energiebevoorrading, kan u meedelen of er extra veiligheidsmaatregelen zijn genomen op federaal niveau om inmenging en sabotage hierrond tegen te gaan? Kan u dit toelichten?

5) Zou u kunnen duiden welke maatregelen in grote lijnen, zowel op fysiek als digitaal vlak, worden genomen om de gasinfrastructuur te beschermen tegen sabotage en cyberaanvallen? Staan er nog extra plannen in de steigers hieromtrent, aangezien de oorlog in Oekraïne de kans op sabotage doet toenemen?

6) Zijn er noodplannen die klaarliggen indien bepaalde energie-infrastructuren zouden worden gesaboteerd of aangetast met als gevolg dat hierdoor de leveringszekerheid in het gedrang komt? Liggen er tevens ook plannen klaar omtrent represailles mocht blijken dat buitenlandse mogendheden achter de sabotage zitten?

7) Is er sprake van verhoogde waakzaamheid op deze sites en in het bijzonder de LNG-Terminals? Zo neen, waarom niet? Zo ja, betreft dit zowel de fysieke als de digitale beveiliging?