Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1818

van Tom Ongena (Open Vld) d.d. 10 november 2022

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste Minister

Hacking - Databescherming - Digitale lokdozen - Opsporing van onveilige slimme apparaten - Cijfers en tendensen

computerpiraterij
officiële statistiek
informatieoorlog
informatiebeveiliging

Chronologie

10/11/2022Verzending vraag (Einde van de antwoordtermijn: 15/12/2022)
15/12/2022Antwoord

Ook gesteld aan : schriftelijke vraag 7-1816
Ook gesteld aan : schriftelijke vraag 7-1817

Vraag nr. 7-1818 d.d. 10 november 2022 : (Vraag gesteld in het Nederlands)

Onveilige routers, netwerkschijven en beveiligingscamera's blijven ondanks strengere regels een probleem. Daarvoor waarschuwen deskundigen. De toestroom aan onveilige apparatuur wordt weliswaar gestopt, maar dat gebeurt na jarenlang dweilen met de kraan open.

Niemand bij de Nederlandse overheid is bezig met het structureel opsporen van die onveilige slimme apparaten, blijkt uit een rondgang van de NOS (de Nederlandse Omroep Stichting). Dat terwijl veel internetcriminelen niets anders doen: de hele dag zoeken ze, grotendeels geautomatiseerd, het internet af op zoek naar onwetende slachtoffers.

Daarmee kunnen criminelen DDoS («distributed denial of service»)-aanvallen uitvoeren, spam versturen en nieuwe hackaanvallen lanceren. Ook inlichtingendiensten hebben het op slimme apparaten gemunt.

Overheden zouden dat kunnen tegengaan door lokdozen neer te zetten met kwetsbare apparaten, of door zelf op zoek te gaan naar kwetsbare apparaten bij internetgebruikers thuis. Maar dat gebeurt allebei niet. Het bleef bij een proefproject.

Het Nederlandse Agentschap Telecom heeft ervoor gekozen om het stokje vooralsnog niet over te nemen, om «technische en juridische» redenen. «Het is een interessant experiment, maar we lopen nu nog aan tegen privacyregels en hebben nog wat vragen over de technische risico's», zegt inspecteur-generaal Angeline van Dijk.

Ook elders binnen de overheid is niemand met iets vergelijkbaars bezig: het Nederlandse Nationaal Cyber Security Centrum richt zich enkel op overheid en kritieke bedrijven ; de politie wijst op de «eigen verantwoordelijkheid» van eigenaren (cf. https://nos.nl/artikel/2449517-onveilige-slimme-apparaten-straks-van-de-markt-geweerd-maar-risico-s-blijven).

Een aantal Nederlandse routers van particulieren en kleine en middelgrote bedrijven zijn ook intussen gehackt geworden door een beruchte Russische militaire hackgroep. De apparaten maken daardoor deel uit van een wereldwijd aanvalsnetwerk van duizenden gehackte apparaten onder controle van de Russische «Eenheid 74455».

«Eenheid 74455», ook wel «Sandworm of BlackEnergy» genoemd, is onderdeel van de Russische militaire inlichtingendienst GROe («Glavnoje Razvedyvatelnoje Oepravlenije») en wordt door internationale beveiligingsbedrijven wel de «gevaarlijkste hackgroep ter wereldç» genoemd. De groep richt zich op beïnvloeding en sabotage.

De ontdekking van de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) volgt op waarschuwingen van Britse en Amerikaanse veiligheidsdiensten eind februari 2022 dat Russische «hackers» een nieuw soort «malwar» gebruiken, genaamd «CyclopsBlink». Die dringt routers binnen van onder andere «WatchGuard» en creëert daarmee een aanvalsnetwerk, ook wel een «botnet» genoemd (cf. https://www.volkskrant.nl/nieuws-achtergrond/mivd-verstoort-russische-digitale-aanval-op-routers-van-nederlandse-burgers~b586c806/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Kunt u meedelen of er bij de verschillende Belgische overheden een digitaal «lokdoos»-initiatief heeft plaatsgevonden, plaatsvindt of zal plaatsvinden? Indien ja, wat waren de bevindingen die men maakte hieromtrent? Waar werden deze geïmplementeerd of plant men dergelijke systemen te implementeren? Indien neen, waarom niet?

2) Worden er andere middelen geopteerd om het structureel opsporen van onveilige slimme apparaten te bewerkstelligen? Indien ja, wat houden dergelijke projecten in? Hoeveel waren er in de jongste drie jaar? Wat was hun doel? En wat waren de uiteindelijke bevindingen? Indien neen, waarom niet?

3) Kunt u meedelen hoeveel routers, netwerkschijven en beveiligingscamera's met gevoelige overheidsinformatie geschat wordt kwetsbaar te zijn voor hacking en andere vormen van intrusie? Welke stappen zijn er reeds gezet om dergelijke gevaren te voorkomen? Welke plannen staan er nog in de steigers? Wat inhouden ze?

4) Hoeveel apparaten, harde schijven, routers, enz., van de overheid zijn er in de voorbije drie jaren slachtoffer geworden van hacking? Zijn er tendensen te bemerken? Van waar uit werden dergelijke acties gestuurd? Welke gegevens zijn het meest gewild bij dergelijke inbraken? Zijn hier evoluties te bemerken?

5) Zou u de laatste cijfers kunnen meedelen van aangetaste servers, routers, computers, enz., door «malware», waardoor dergelijke apparaten deel uitmaken van een «botnet»? Vanuit welke landen worden dergelijke «botnets» aangestuurd? Hoeveel aanvallen vinden plaats vanuit ons land? Werden er ook «botnet» -netwerken ontdekt die door Belgen werden aangevoerd? Zo ja, hoeveel en welke straffen kregen dergelijke personen?

6) Zijn er gevallen bekend van intrusie op onze netwerken van «enheid 74455», ook wel «Sandworm of BlackEnergy» genoemd of van «CyclopsBlink»? Indien ja, hoeveel in de jongste drie jaar? Op welke servers of gegevensdatabanken en dergelijke werden ze ontdekt? Welke maatregelen werden genomen hiertegen? Wat bedraagt de financiële schade per «gelukte» hack van dergelijke buitenlandse actoren? Zijn de aanvallen intenser geworden sinds eind februari 2022?

7) Zou u de meest recente lijst kunnen meedelen van cyberaanvallen op onze gevoelige infrastructuur? Uit welke landen komen dergelijke inbraakpogingen? Hoeveel waren het er op maandbasis? Wat waren de meest courante doelwitten?

8) Kan u ook meedelen in hoeverre smartphones en dergelijke veilig zijn voor dit soort aanvallen? Hoeveel Belgische smartphones zijn onderdelen van «botnets»? Kan u hier cijfers over verstrekken indien mogelijk? Welke gevaren zijn er uniek voor gehackte smartphones door dergelijke intrusiesoftware?

Antwoord ontvangen op 15 december 2022 :

Cyberveiligheidsvragen vallen onder de bevoegdheid van de eerste minister. Ik nodig u uit ze aan hem te richten. Hieronder vindt u echter de elementen van het antwoord van het Centrum voor Cyberveiligheid België (CCB).

1) Het is op dit moment de verantwoordelijkheid van elke overheids- en veiligheidsdienst om een veilige ICT (Information and communication technology)-infrastructuur te voorzien. Het CCB heeft weet van digitale lokdozen bij overheids- en veiligheidsdiensten.

2) Op Europees niveau, wordt er gewerkt aan meer «security by design» waarbij producten met digitale elementen aan de basis veiliger moeten zijn. De Europese Commissie stelde op 15 september 2022 de Cyber Resilience Act voor: een voorstel voor een verordening inzake cyberbeveiligingseisen voor producten met digitale elementen. De verordening moet cyberbeveiligingseisen versterken om te zorgen voor veiliger hardware- en softwareproducten. Deze essentiële cyberveiligheidseisen hebben betrekking op de gehele levenscyclus of vijf jaar en moeten door de fabrikanten, distributeurs of importeurs geïmplementeerd worden. De cyberbeveiligingseisen zijn van toepassing op het ontwerp, de ontwikkeling en de productie van producten met digitale elementen en bevatten ook essentiële eisen voor de behandeling van kwetsbaarheden. Men verwacht een conclusie van de onderhandelingen voor deze verordening in 2024.

Op Belgisch niveau, werkt het Centrum voor Cybersecurity aan structurele oplossingen via haar Active Cyber Protection aanpak die richting geeft aan haar inspanningen en projecten om de Belgische digitale ruimte te beveiligen. De focus ligt op het proactief, geautomatiseerd, op maat gesneden en participatief ondersteunen en versterken van gebruikers. Er wordt gepoogd de meest relevante kwetsbaarheden proactief op te sporen en gebruikers te waarschuwen, voordat ze slachtoffer kunnen worden van een aanval. Door preventieve hulpmiddelen en praktijken te ontwikkelen om cyberbeveiligingsrisico’s aan te pakken gericht op zowel menselijke als technische kwetsbaarheden, bouwt het CCB via Active Cyber Protection vertrouwen op in de digitale omgeving.

Een van de projecten waarbij het CCB Active Cyber Protection uitdraagt, is het Spear-Warning-project. Spear warning is een individueel gericht waarschuwingssysteem. Met de hulp van verschillende particuliere partners beschikt het CCB over meerdere informatiebronnen voor kwetsbare of geïnfecteerde systemen in ons land. Wanneer er een match is tussen een kwetsbaarheid en een gekend systeem kan het CCB vervolgens e-mailwaarschuwingen op maat naar geregistreerde organisaties sturen, via een geautomatiseerd systeem (geautomatiseerde spear-warning). Als analisten van het CCB een kwetsbaarheid opmerken en deze kunnen linken aan een eigenaar van een kwetsbaar Belgisch systeem, dan zullen zij via direct contact (e-mail, telefoon, brief) deze eigenaar waarschuwen (analist spear warning).

3) & 4) Het is op dit moment de verantwoordelijkheid van elke overheids- en veiligheidsdienst om een veilige ICT-infrastructuur te voorzien. Het CCB heeft geen overzicht van de hoeveelheid apparaten, harde schijven, routers, enz., van de overheid die slachtoffer zijn geworden van hacking in de voorbije drie jaar.

5) Vanuit haar wettelijke opdracht heeft het CCB in 2022 een piek waargenomen van bijna 500 000 waarnemingen van geïnfecteerde Belgische systemen in maart; met daarna een algemene daling. Zo zaten de schattingen in januari 2022 bij minder dan 400 000, in mei bij iets meer dan 200 000, en in oktober ongeveer 150 000. Het is belangrijk om hierbij te onthouden dat de cijfers kunnen worden beïnvloed door Intel providers die worden toegevoegd of verwijderd, waarnemingsfeeds van Intel providers die veranderen en apparaten of netwerksegmenten die niet beschikbaar zijn. De getallen stellen ook geen geïnfecteerde apparaten voor maar waarnemingen. Om deze reden is het onmogelijk om «harde» cijfers te geven. Andere indicatoren zijn het aantal unieke IP’s (Internet Protocol) en aantal unieke malwarefamilies waargenomen per dag.

Er kan met enige zekerheid worden geschat dat er dagelijks door het CCB ongeveer 1 300-1 500 unieke geïnfecteerde Belgische IP adressen worden waargenomen. Naar alle waarschijnlijkheid zullen de aantallen hoger liggen, al kan het CCB niet inschatten hoeveel hoger.

6) In België is deze actor groep nog niet opgemerkt tijdens incidenten.

7) In 2022 vonden er tot dus ver zes nationale cyberincidenten plaats op organisaties van vitaal of speciaal belang. Aanvallen op kritieke infrastructuur maken echter meestal deel uit van een gerechtelijk onderzoek waar het CCB niet verder kan of mag over communiceren.

De vraag over attributie is een verantwoordelijkheid van Buitenlandse Zaken in samenwerking met Algemene Dienst inlichting en veiligheid (ADIV).

8) Het CCB beschikt niet over dergelijk cijfers. Wel gaf het CCB samen met het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) na de infecties door de mobiele malware Flubot gerichte aanbevelingen aan mobiele telefoongebruikers. Het CCB riep op om niet zomaar onverwachte berichten te vertrouwen, niet op een link te klikken in sms’en en om nooit applicaties te installeren via een link in een bericht. Er werd ook advies versterkt aan mobiele telefoongebruikers die al geïnfecteerd waren: of door het toestel terug naar de fabrieksinstellingen te zetten of door het toestel te herstarten in «safe mode» en vervolgens de valse app te verwijderen. Na het verwijderen van het virus moeten alle wachtwoorden voor accounts waartoe via de smartphone toegang is verkregen, worden gewijzigd en moeten contactpersonen worden gewaarschuwd voor valse berichten in naam van de persoon. Dit werd gecommuniceerd via persberichten. Het CCB moedigde aan om screenshots van frauduleuze berichten te sturen naar [email protected].

Ook de jaarlijkse publieke sensibiliseringscampagne van het CCB focust dit jaar op mobiele malware. De boodschap van de campagne «OK is niet altijd OK!», licht de risico’s van fraude en mobiele malware toe. De campagne geeft advies over hoe men een smartphone veilig kan houden door het downloaden van apps van niet-vertrouwde bronnen te vermijden en updates zo snel mogelijk uit te voeren. Ook wordt aangeraden bijzonder voorzichtig te zijn wanneer iemand een e-mail of sms ontvangt waarin hij wordt uitgenodigd een applicatie te downloaden. De campagne is gelanceerd door het CCB en de Cyber Security Coalition, samen met meer dan vijfhonderd partners.