SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
15 juin 2023 15 juni 2023
________________
Question écrite n° 7-2034 Schriftelijke vraag nr. 7-2034

de Rik Daems (Open Vld)

van Rik Daems (Open Vld)

à la ministre de la Défense

aan de minister van Defensie
________________
Infrastructures critiques - Cybersécurité - Espionnage - Piratage - Acteurs étatiques - Chine - Protection - Mesures Kritieke infrastructuur - Cybersecurity - Spionage - Hacking - Statelijke actoren - China - Bescherming - Maatregelen 
________________
sécurité des infrastructures critiques
sécurité des systèmes d'information
Chine
protection des communications
échange d'information
guerre de l'information
beveiliging van kritieke infrastructuur
informatiebeveiliging
China
telefoon- en briefgeheim
uitwisseling van informatie
informatieoorlog
________ ________
15/6/2023Verzending vraag
(Einde van de antwoordtermijn: 20/7/2023)
25/7/2023Antwoord
15/6/2023Verzending vraag
(Einde van de antwoordtermijn: 20/7/2023)
25/7/2023Antwoord
________ ________
Aussi posée à : question écrite 7-2033
Aussi posée à : question écrite 7-2035
Aussi posée à : question écrite 7-2033
Aussi posée à : question écrite 7-2035
________ ________
Question n° 7-2034 du 15 juin 2023 : (Question posée en néerlandais) Vraag nr. 7-2034 d.d. 15 juni 2023 : (Vraag gesteld in het Nederlands)

Des pirates informatiques téléguidés par la Chine s'introduisent dans des infrastructures critiques des États-Unis (USA) (cf. https://nos.nl/artikel/2476415 china laat hackers infrastructuur vs binnendringen zeggen inlichtingendiensten). Il s'agit d'entreprises de communication et d'utilité publique, d'usines, de réseaux de transport, ainsi que du secteur de la construction, du secteur maritime, du secteur public et des secteurs des TI. Ils s'apprêtent ainsi à paralyser ces systèmes vitaux. Il est possible que cette attaque soit une opération à l'échelle mondiale et ne concerne pas seulement les États-Unis.

La mise en garde fait suite à la récente découverte d'un faisceau d'activités suspectes de la part de Volt Typhoon, un groupe de pirates agissant au nom de la Chine, selon les services de renseignement. Tant Microsoft que les services de renseignement des États-Unis, du Royaume-Uni, du Canada, de l'Australie et de la Nouvelle-Zélande tirent la sonnette d'alarme à cet égard. Le Service général de renseignement et de sécurité (AIVD) et le Service militaire de renseignement et de sécurité (MIVD) des Pays-Bas ont encore lancé une mise en garde en avril 2023: la Chine se livre à un espionnage à grande échelle des entreprises et universités néerlandaises (cf. https://nos.nl/artikel/2472027 na aivd wijst ook mivd op chinese spionagepraktijken).

Pareil développement de cybercapacités constitue une sérieuse menace sur le plan militaire. Dernièrement, la Défense belge a déjà été victime d'une cyberattaque d'origine chinoise (cf. https://www.hln.be/binnenland/chinese hackers kosten belgische defensie al 2 25 miljoen euro~a64b504f/).

En ce qui concerne le caractère transversal de la question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne donc une compétence transversale partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.

Je souhaiterais donc vous adresser les questions suivantes.

1) Êtes-vous au courant des actions susmentionnées? Prenez-vous déjà les mesures nécessaires pour y faire face? Dans l'affirmative, pouvez-vous les détailler? Dans la négative, ce point est-il déjà inscrit à l'ordre du jour des entretiens prévus avec l'administrateur général de la Sûreté de l'État? Pouvez-vous nous fournir des statistiques spécifiques sur l'ampleur des activités suspectes du groupe de pirates Volt Typhoon, lequel agit au nom de la Chine?

2) Êtes-vous attentif au développement de cybercapacités par des grandes puissances étrangères? Des personnes ont-elles déjà été habilitées à intervenir à ce sujet? Savez-vous quelles infrastructures critiques de la Belgique sont menacées? Pouvez-vous fournir des détails à ce sujet? Les autorités publiques ont-elles procédé à une évaluation de la vulnérabilité des infrastructures critiques belges à de telles cyberattaques?

3) Quel est le degré de cybersécurité des infrastructures critiques de la Belgique en comparaison avec celui des pays voisins? Les budgets belges sont-ils comparables à ceux de ces pays? Comptez-vous procéder à des ajustements? Dans l'affirmative, pouvez-vous préciser en quoi ils consisteront? Les autorités publiques ont-elles conclu des accords de coopération avec d'autres pays européens ou des partenaires internationaux en vue d'un échange d'informations et d'expertise et d'une action commune contre les cyberattaques d'origine chinoise?

4) Étudiez-vous les conséquences que pourraient avoir de telles cybercapacités, susceptibles de donner lieu à une attaque et une paralysie des infrastructures critiques? Quel est l'ordre de grandeur estimé des éventuels dommages? Pouvez-vous étayer votre réponse par des données chiffrées?

5) Existe-t-il des scénarios et protocoles d'urgence à appliquer en cas de cyberattaque? Dans l'affirmative, ceux-ci doivent-ils être adaptés à la lumière des nouvelles informations dont nous disposons? A-t-on déjà effectué des exercices ou des simulations afin de tester l'efficacité des protocoles d'urgence en cas de cyberattaque? Dans l'affirmative, quelles en ont été les conclusions et quelles améliorations y a-t-on éventuellement déjà apportées ou doit-on encore y apporter?

6) Quelles sont les mesures prises pour faire prendre davantage conscience de l'importance de la cybersécurité dans les entreprises belges et chez les citoyens, entre autres en ce qui concerne la menace provenant de Chine? Pouvez-vous me donner quelques exemples concrets de mesures?

7) Pouvez-vous me dire combien d'entreprises de communication et d'utilité publique, d'usines, de réseaux de transport et d'organismes publics ont été victimes de cyberattaques d'origine chinoise ces trois dernières années? À combien le coût de la réparation du dommage causé à nos infrastructures par ces cyberattaques en provenance de Chine est-il estimé? Dispose-t-on également de données chiffrées sur le préjudice financier que des cyberattaques d'origine chinoise ont occasionné à des organisations belges et à l'économie belge?

8) Observe-t-on une augmentation des activités de pirates informatiques chinois en Belgique et dans le reste de l'Europe? Dans l'affirmative, depuis quand? Quels sont, selon vous, les facteurs qui expliquent cette augmentation?

9) Quels sont les secteurs belges qui sont considérés comme les plus vulnérables à des cyberattaques d'origine chinoise et quelles mesures prend-on pour les protéger?

 

Hackers aangestuurd door China dringen kritieke infrastructuur in de Verenigde Staten (VS) binnen (cf. https://nos.nl/artikel/2476415-china-laat-hackers-infrastructuur-vs-binnendringen-zeggen-inlichtingendiensten). Het betreft communicatie- en nutsbedrijven, fabrieken, transportnetwerken, de bouw en de maritieme-, overheids- en IT-sectoren. Zo bereiden zij zich voor om deze cruciale systemen plat te leggen. Deze aanval is naast de VS mogelijks een wereldwijde operatie.

De waarschuwing volgt op de recente ontdekking van een «cluster van verdachte activiteit» door «Volt Typhoon», een hackersgroep die namens China werkt, volgens de inlichtingendiensten. Zowel Microsoft als de inlichtingendiensten van de VS, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland trekken hiervoor aan de alarmbel. De Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) waarschuwden in april 2023 ook nog dat China op grote schaal Nederlandse bedrijven en universiteiten bespioneert (cf. https://nos.nl/artikel/2472027-na-aivd-wijst-ook-mivd-op-chinese-spionagepraktijken).

Deze opbouw van «cyber capability» vormt op militair vlak een serieuze dreiging. Recentelijk is de Belgische Defensie al het slachtoffer geweest van een cyberaanval uit China (cf. https://www.hln.be/binnenland/chinese-hackers-kosten-belgische-defensie-al-2-25-miljoen-euro~a64b504f/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Bent u op de hoogte van de bovenvermelde acties? Neemt u hiervoor al de nodige maatregelen? Zo ja, kan u deze specifiek toelichten? Indien neen, is dit punt al geagendeerd om te bespreken met de administrateur-generaal van de Veiligheid van de Staat? Kunt u ons voorzien van specifieke cijfers over de omvang van de verdachte activiteiten van de hackersgroep «Volt Typhoon» die namens China opereert?

2) Volgt u de opbouw van «cyber capability» door andere grootmachten op? Zijn hiervoor reeds bevoegden aangesteld? Bent u op de hoogte van welke kritieke infrastructuur in België risico loopt? Kan u deze specifiek toelichten? Heeft de overheid een beoordeling gemaakt van de kwetsbaarheid van de Belgische kritieke infrastructuur voor dergelijke cyberaanvallen?

3) Hoe sterk is de cybersecurity van België op de kritieke infrastructuur ten opzichte van onze buurlanden? Hoe groot zijn de Belgische budgetten tegenover deze landen? Gaat u aanpassingen aanbrengen? Indien ja, kan u dit precies meedelen? Heeft de overheid samenwerkingsverbanden met andere Europese landen of internationale partners om informatie en expertise uit te wisselen en gezamenlijk op te treden tegen cyberaanvallen vanuit China?

4) Onderzoekt u de mogelijke effecten van een dergelijke «cyber capability» met een daarop volgende aanval en platlegging van de kritieke infrastructuur? In welke grootteorde wordt de mogelijke schade geraamd? Kan u deze cijfermatig toelichten?

5) Zijn er bestaande noodscenario's en protocollen die bij een cyberaanval gevolgd kunnen worden? Indien ja, dienen deze aangepast te worden met de nieuwe informatie in handen? Zijn er reeds oefeningen of simulaties uitgevoerd om de doeltreffendheid van de noodprotocollen bij cyberaanvallen te testen? Zo ja, wat waren de bevindingen en eventuele verbeteringen die zijn doorgevoerd of nog moeten worden doorgevoerd?

6) Welke maatregelen worden er genomen om de bewustwording over cyberveiligheid te vergroten bij Belgische bedrijven en burgers, met name met betrekking tot dreigingen uit China? Kan u hier concrete voorbeelden van geven?

7) Kan u cijfermatig duiden hoeveel communicatie- en nutsbedrijven, fabrieken, transportnetwerken en overheidsinstanties hier zijn getroffen door de cyberaanvallen vanuit China in de jongste drie jaar? Wat zijn de geschatte kosten van het herstellen van de schade veroorzaakt door de cyberaanvallen vanuit China op onze infrastructuur? Zijn er ook cijfers beschikbaar over de financiële schade die is toegebracht aan Belgische organisaties en de Belgische economie als gevolg van cyberaanvallen vanuit China?

8) Is er een stijging waargenomen in de activiteiten van Chinese hackers in België en de rest van Europa? Zo ja, vanaf welke periode? Tot welke factoren is dit volgens u terug te brengen?

9) Welke Belgische sectoren worden als het meest kwetsbaar beschouwd voor cyberaanvallen vanuit China en welke maatregelen worden er genomen om deze te beschermen?

 
Réponse reçue le 25 juillet 2023 : Antwoord ontvangen op 25 juli 2023 :

1) En collaboration avec des partenaires nationaux et internationaux, le Cyber Command du Service général du renseignement et de la sécurité (SGRS) surveille de près les menaces cyber qui proviennent d’individus ou de groupes d’individus en relation ou non avec des acteurs étatiques. Le Cyber Command est au courant de l’attaque de «Volt Typhoon», impactant l’infrastructure critique américaine. Cet acteur se focalise sur la collecte d’informations stratégiques relatives aux entités associées aux intérêts américains dans le Pacifique. Il est possible que cet acteur lié à la Chine soit déjà actif depuis 2020. Le SGRS ne peut publiquement ni divulguer des détails sur l’étendue de leurs activités, ni sur la manière dont le SGRS ajuste la protection de nos systèmes contre ces types d’attaques.

2) Le SGRS suit les capacités cyber de certaines grandes puissances en étroite collaboration avec d’autres entités fédérales. Le Centre de crise national (NCCN) effectue des analyses de risque nationales et est le point de contact pour les infrastructures critiques. Le SGRS contribue aux analyses de menace des infrastructures critiques établies par l’Organe de coordination pour l’analyse de la menace (OCAM).

3) Le SGRS est en contact étroit avec ses services partenaires et échange presque quotidiennement des informations et de l’expertise sur les infrastructures utilisées par les acteurs cyber chinois, leurs méthodes, techniques et procédures, leurs cibles potentielles ou réelles, et sur comment la sécurité de nos systèmes peut être ajustée.

4) Examiner les effets possibles d’une cyberattaque fait partie des exercices de réflexion que le SGRS mène en collaboration avec ses services partenaires. Cela comprend à la fois un aspect de menace et un aspect d’analyse de risques. Selon la situation, le type d’acteur de cybermenace et l’infrastructure visée, une cyberattaque peut entraîner des conséquences majeures.

5) En coopération avec le NCCN, des scénarios sont élaborés dans le cadre du projet «Critical Infrastructure Protection & Risk Analysis / Belgian National Risk Assessment» (CIPRA / BNRA).

6) Le SGRS informe régulièrement les entreprises dans le cadre du «potentiel économique et scientifique» (PES). Dans ce contexte, les entreprises participantes sont informées de l’état des menaces émanant d’entités situées sur le territoire chinois et russe ainsi que des mesures de sécurité à prendre face à celles-ci.

7) Les principales cyberattaques contre des instances belges qui sont attribuées à des entités situées en Chine comprennent des attaques contre l’Intérieur et la Défense. Le but de chacune de ces attaques était l’espionnage. Aucune attaque destructrice n’a été menée. Le piratage de la Défense a coûté plus de 2 millions d’euros.

8) Depuis le début de l’invasion russe en Ukraine en 2022, l’activité des cyber-acteurs chinois s’est accrue en Europe. Actuellement, les principales motivations sont la réduction des risques que les pays européens veulent apporter à la dépendance économique vis-à-vis de la Chine, ainsi que le possible rééquilibrage des relations diplomatiques de certains pays européens avec la Chine.

9) Les secteurs les plus vulnérables en Belgique aux cyberattaques sont les diverses agences gouvernementales, les Affaires étrangères, la Défense et les instances impliquées dans «la recherche et le développement». La prise des mesures pour protéger les réseaux des entreprises belges ne fait pas partie des tâches du Cyber Command. Le Centre pour la cybersécurité en Belgique (CCB) fournit le soutien et l’assistance nécessaires pour prendre des mesures pour protéger les réseaux des entreprises belges. Le Cyber Command assiste le CCB dans des cas spécifiques.

1) In samenwerking met nationale en internationale partners, waakt het Cyber Command van de Algemene Dienst inlichting en veiligheid (ADIV) van nabij over de cyberdreigingen komende van individuen en groeperingen, al dan niet aangestuurd door statelijke actoren. Het Cyber Command is op de hoogte van de aanval van «Volt Typhoon» op Amerikaanse kritieke infrastructuur. Deze actor richt zich op het verzamelen van strategische informatie over entiteiten die verbonden zijn aan Amerikaanse belangen in de Stille Oceaan. Mogelijk is deze aan China gelinkte actor al actief sinds 2020. ADIV kan openbaar geen details vrijgeven over de omvang van hun activiteiten, noch over de manier hoe ADIV de beveiliging van onze systemen aanpast tegen dit type aanvallen.

2) ADIV volgt de cybercapaciteiten van bepaalde grootmachten op in nauwe samenwerking met andere federale entiteiten. Het Nationaal Crisiscentrum (NCCN) maakt de nationale risicoanalyses en is het contactpunt voor kritieke infrastructuren. ADIV levert een bijdrage aan de dreigingsanalyses voor kritieke infrastructuren opgesteld door het Coördinatieorgaan voor de dreigingsanalyse (OCAD).

3) ADIV staat in nauw contact met zijn partnerdiensten en wisselt bijna dagelijks informatie en expertise uit over de infrastructuur die Chinese cyberactoren gebruiken, hun methodes, technieken en procedures, hun mogelijke of daadwerkelijke doelwitten, en over hoe de beveiliging van onze systemen aangepast kan worden.

4) Het onderzoeken van de mogelijke effecten van een cyberaanval maakt deel uit van de denkoefeningen die ADIV houdt in samenwerking met zijn partnerdiensten. Dit omvat zowel een aspect dreiging als een aspect risicoanalyse. Afhankelijk van de situatie, het type actor van de cyberdreiging en de geviseerde infrastructuur kan een cyberaanval grote gevolgen hebben.

5) In overleg met het NCCN werden er in het kader van het project «Critical Infrastructure Protection & Risk Analysis / Belgian National Risk Assessment» (CIPRA / BNRA) scenario’s uitgewerkt.

6) ADIV informeert op regelmatige basis de bedrijven in het kader van het «wetenschappelijk en economisch potentieel» (WEP). In dit verband worden de deelnemende bedrijven gebrieft over de status van de dreiging uitgaande van entiteiten die zich op Chinees en Russisch grondgebied bevinden alsook de te nemen veiligheidsmaatregelen tegenover zulke dreigingen.

7) De belangrijkste cyberaanvallen tegen Belgische instanties die worden toegeschreven aan entiteiten die zich in China bevinden, omvatten aanvallen tegen Binnenlandse Zaken en Defensie. Het doel van elk van deze aanvallen was spionage. Er werden geen destructieve aanvallen uitgevoerd. De hack van Defensie kostte Defensie meer dan 2 miljoen euro.

8) Sinds de start van de invasie van Rusland in Oekraïne in 2022 is de activiteit van Chinese cyberactoren toegenomen in Europa. Momenteel zijn de belangrijkste drijfveren de risicoverlaging die Europese landen willen doorvoeren met betrekking tot de economische afhankelijkheid van China alsook de herijking van de diplomatieke relaties van bepaalde Europese landen met China.

9) De meest kwetsbare sectoren in België voor cyberaanvallen zijn de verschillende overheidsinstanties, Buitenlandse Zaken, Defensie, en de instanties betrokken bij «onderzoek en ontwikkeling». Het treffen van maatregelen om netwerken van Belgische bedrijven te beschermen behoort niet tot het takenpakket van het Cyber Command. Het Centrum voor cybersecurity België (CCB) voorziet de nodige steun en hulpverlening voor het treffen van maatregelen om netwerken van Belgische bedrijven te beschermen. In specifieke gevallen staat het Cyber Command het CCB bij.