Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1817

van Tom Ongena (Open Vld) d.d. 10 november 2022

aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing

Hacking - Databescherming - Digitale lokdozen - Opsporing van onveilige slimme apparaten - Cijfers en tendensen

computerpiraterij
officiële statistiek
informatieoorlog
informatiebeveiliging

Chronologie

10/11/2022Verzending vraag (Einde van de antwoordtermijn: 15/12/2022)
15/12/2022Antwoord

Ook gesteld aan : schriftelijke vraag 7-1816
Ook gesteld aan : schriftelijke vraag 7-1818

Vraag nr. 7-1817 d.d. 10 november 2022 : (Vraag gesteld in het Nederlands)

Onveilige routers, netwerkschijven en beveiligingscamera's blijven ondanks strengere regels een probleem. Daarvoor waarschuwen deskundigen. De toestroom aan onveilige apparatuur wordt weliswaar gestopt, maar dat gebeurt na jarenlang dweilen met de kraan open.

Niemand bij de Nederlandse overheid is bezig met het structureel opsporen van die onveilige slimme apparaten, blijkt uit een rondgang van de NOS (de Nederlandse Omroep Stichting). Dat terwijl veel internetcriminelen niets anders doen: de hele dag zoeken ze, grotendeels geautomatiseerd, het internet af op zoek naar onwetende slachtoffers.

Daarmee kunnen criminelen DDoS («distributed denial of service»)-aanvallen uitvoeren, spam versturen en nieuwe hackaanvallen lanceren. Ook inlichtingendiensten hebben het op slimme apparaten gemunt.

Overheden zouden dat kunnen tegengaan door lokdozen neer te zetten met kwetsbare apparaten, of door zelf op zoek te gaan naar kwetsbare apparaten bij internetgebruikers thuis. Maar dat gebeurt allebei niet. Het bleef bij een proefproject.

Het Nederlandse Agentschap Telecom heeft ervoor gekozen om het stokje vooralsnog niet over te nemen, om «technische en juridische» redenen. «Het is een interessant experiment, maar we lopen nu nog aan tegen privacyregels en hebben nog wat vragen over de technische risico's», zegt inspecteur-generaal Angeline van Dijk.

Ook elders binnen de overheid is niemand met iets vergelijkbaars bezig: het Nederlandse Nationaal Cyber Security Centrum richt zich enkel op overheid en kritieke bedrijven ; de politie wijst op de «eigen verantwoordelijkheid» van eigenaren (cf. https://nos.nl/artikel/2449517-onveilige-slimme-apparaten-straks-van-de-markt-geweerd-maar-risico-s-blijven).

Een aantal Nederlandse routers van particulieren en kleine en middelgrote bedrijven zijn ook intussen gehackt geworden door een beruchte Russische militaire hackgroep. De apparaten maken daardoor deel uit van een wereldwijd aanvalsnetwerk van duizenden gehackte apparaten onder controle van de Russische «Eenheid 74455».

«Eenheid 74455», ook wel «Sandworm of BlackEnergy» genoemd, is onderdeel van de Russische militaire inlichtingendienst GROe («Glavnoje Razvedyvatelnoje Oepravlenije») en wordt door internationale beveiligingsbedrijven wel de «gevaarlijkste hackgroep ter wereldç» genoemd. De groep richt zich op beïnvloeding en sabotage.

De ontdekking van de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) volgt op waarschuwingen van Britse en Amerikaanse veiligheidsdiensten eind februari 2022 dat Russische «hackers» een nieuw soort «malwar» gebruiken, genaamd «CyclopsBlink». Die dringt routers binnen van onder andere «WatchGuard» en creëert daarmee een aanvalsnetwerk, ook wel een «botnet» genoemd (cf. https://www.volkskrant.nl/nieuws-achtergrond/mivd-verstoort-russische-digitale-aanval-op-routers-van-nederlandse-burgers~b586c806/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Kunt u meedelen of er bij de verschillende Belgische overheden een digitaal «lokdoos»-initiatief heeft plaatsgevonden, plaatsvindt of zal plaatsvinden? Indien ja, wat waren de bevindingen die men maakte hieromtrent? Waar werden deze geïmplementeerd of plant men dergelijke systemen te implementeren? Indien neen, waarom niet?

2) Worden er andere middelen geopteerd om het structureel opsporen van onveilige slimme apparaten te bewerkstelligen? Indien ja, wat houden dergelijke projecten in? Hoeveel waren er in de jongste drie jaar? Wat was hun doel? En wat waren de uiteindelijke bevindingen? Indien neen, waarom niet?

3) Kunt u meedelen hoeveel routers, netwerkschijven en beveiligingscamera's met gevoelige overheidsinformatie geschat wordt kwetsbaar te zijn voor hacking en andere vormen van intrusie? Welke stappen zijn er reeds gezet om dergelijke gevaren te voorkomen? Welke plannen staan er nog in de steigers? Wat inhouden ze?

4) Hoeveel apparaten, harde schijven, routers, enz., van de overheid zijn er in de voorbije drie jaren slachtoffer geworden van hacking? Zijn er tendensen te bemerken? Van waar uit werden dergelijke acties gestuurd? Welke gegevens zijn het meest gewild bij dergelijke inbraken? Zijn hier evoluties te bemerken?

5) Zou u de laatste cijfers kunnen meedelen van aangetaste servers, routers, computers, enz., door «malware», waardoor dergelijke apparaten deel uitmaken van een «botnet»? Vanuit welke landen worden dergelijke «botnets» aangestuurd? Hoeveel aanvallen vinden plaats vanuit ons land? Werden er ook «botnet» -netwerken ontdekt die door Belgen werden aangevoerd? Zo ja, hoeveel en welke straffen kregen dergelijke personen?

6) Zijn er gevallen bekend van intrusie op onze netwerken van «enheid 74455», ook wel «Sandworm of BlackEnergy» genoemd of van «CyclopsBlink»? Indien ja, hoeveel in de jongste drie jaar? Op welke servers of gegevensdatabanken en dergelijke werden ze ontdekt? Welke maatregelen werden genomen hiertegen? Wat bedraagt de financiële schade per «gelukte» hack van dergelijke buitenlandse actoren? Zijn de aanvallen intenser geworden sinds eind februari 2022?

7) Zou u de meest recente lijst kunnen meedelen van cyberaanvallen op onze gevoelige infrastructuur? Uit welke landen komen dergelijke inbraakpogingen? Hoeveel waren het er op maandbasis? Wat waren de meest courante doelwitten?

8) Kan u ook meedelen in hoeverre smartphones en dergelijke veilig zijn voor dit soort aanvallen? Hoeveel Belgische smartphones zijn onderdelen van «botnets»? Kan u hier cijfers over verstrekken indien mogelijk? Welke gevaren zijn er uniek voor gehackte smartphones door dergelijke intrusiesoftware?

Antwoord ontvangen op 15 december 2022 :

Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, minister aan wie het Centre for Cyber Security Belgium (CCB) rapporteert. Voor een cyberwatch over de evolutie van cyberaanvallen en inschatting van kwetsbaarheid van systemen, verwijs ik u dan ook graag naar het CCB.

Voor wat betreft de vragen rond cijfermateriaal van intrusies op onze netwerken (en inzonderheid gevoelige infrastructuur) is de gevraagde informatie niet beschikbaar op mijn niveau of departement.

Vanuit de algemene directie Veiligheid en Preventie zijn er nog geen digitale lokdozen ingezet maar er wordt wel een initiatief gepland met een externe partner. Om versnippering tegen te gaan is het wenselijk dat dergelijke initiatieven vanuit één organisatie worden gecoördineerd. In het geval van België is dit het Centre for Cybersecurity Belgium, gezien hun expertise en rol inzake cyberveiligheid in de nationale context. Wat betreft andere departementen heb ik hierover geen informatie ter mijner beschikking.

Binnen de federale overheidsdienst Binnenlandse Zaken (FOD BiZa) worden regelmatig kwetsbaarheidsscans uitgevoerd op servers via een geautomatiseerde tool. Omwille van de veiligheid zal ik hier niet verder over in detail gaan.

Na de hacking van een deel van de IBZ in 2021 werd een digitaal transformatie- en vernieuwingsproject ingevoerd. Het doel van de technische fase bestaat erin de overgang van een brownfield (dat wil zeggen een onzekere omgeving) naar een greenfield omgeving te maken door de vernieuwing van de volledige infrastructuur en een gedeeltelijke overstap naar de cloud. Alle IT (Information Technology)-apparatuur is vatbaar voor aanvallen. De aanbevelingen van het CCB om potentieel gevaarlijke apparatuur te verwijderen worden en zullen bijgevolg worden toegepast. De machines (laptops, servers) zijn geïntegreerd in de Microsoft Defender EDR, om een geconsolideerd en actueel overzicht te krijgen van kwetsbaarheden of abnormale gedragen (incidenten) van gebruikers of machines. In 2023 is een project gepland om de beveiliging te verbeteren door kunstmatige intelligentie te gebruiken om elke anomalie ten opzichte van een standaardactiviteit op te sporen

Het CCB (of partners) zendt ook waarschuwingen uit over nieuwe kwetsbaarheden of bedreigingen voor apparatuur of software. Het cyberbeveiligingsteam is verantwoordelijk voor de analyse daarvan via IOC’s (indicator of compromise) om na te gaan of deze kwetsbaarheden op onze apparatuur zijn geëxploiteerd. Er worden remediërende acties uitgevoerd om vastgestelde kwetsbaarheden te verhelpen.

Het Nationaal Crisiscentrum (NCCN) koopt geen enkele hardware aan die mogelijks spyware bevat. Zij beperkt zich maximaal tot aankopen bij Europese fabrikanten. Voor verdere informatie met betrekking tot de Cyber gerelateerde vragen heb ik tot op heden geen enkele indicatie van ons cyber team dat er cyber aanvallen op het NCCN hebben plaatsgevonden.

De federale politie hanteert hetzelfde principe inzake hardware met mogelijke spyware.

Binnen mijn departement en bevoegdheden heb ik geen zich op de situatie bij de kanselarij en Defensie.