Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-628

van Yves Buysse (Vlaams Belang) d.d. 15 juli 2020

aan de minister van Veiligheid en Binnenlandse Zaken, belast met Buitenlandse Handel

Cybercriminaliteit - Aanpak - «Quick responsive community» - «Quick Reaction Force» - Andere initiatieven

computercriminaliteit
informatiebeveiliging
informatieoorlog

Chronologie

15/7/2020 Verzending vraag (Einde van de antwoordtermijn: 13/8/2020 )
11/8/2020 Antwoord

Vraag nr. 7-628 d.d. 15 juli 2020 : (Vraag gesteld in het Nederlands)

De aanpak van en het voorbereiden op cybercriminaliteit wordt zowel Vlaams (via minister van Werk en Economie en minister van Binnenlands Bestuur) als federaal geregeld.

Cybercriminaliteit is een groeiend fenomeen en dient hard aangepakt te worden. De Vlaamse ICT-organisatie (V-ICT-OR) en Exello.net, de koepel van algemene directeurs in steden en gemeenten, organiseerden op 27 februari 2020 een kennisdag in de Oost-Vlaamse gemeente Aalter. Hierbij werd voorgesteld een nieuw netwerk op te starten, genaamd de «quick responsive community». Dit netwerk zou ervoor zorgen dat er na een cyberaanval direct gereageerd kan worden en zou de nodige informatie moeten geven om de juiste stappen te ondernemen. Hoe sneller gepast gereageerd kan worden, hoe minder groot de schade nadien zal zijn. Dit netwerk zou twee bestaande netwerken combineren, de be-alert app en de buurt informatienetwerken (BIN).

De geachte minister deelde op deze kennisdag mee dat de overheid al sterk inzet op de strijd tegen cybercriminaliteit. Een nieuwe ontwikkeling, de «Quick Reaction Force», een responsteam dat snel kan tussenkomen bij cyberincidenten zou hierbij helpen. De focus zou hierbij liggen op kritieke infrastructuren en vitale sectoren.

1) Heeft de geachte minister al initiatieven genomen om deze «quick responsive community» op te starten? Zo nee, wanneer plant hij dit te doen?

2) Is er een lijst opgesteld van bedrijven en / of sectoren waarbij de «Quick Reaction Force» zou tussenkomen?

3) Is de «Quick Reaction Force» al eens moeten tussenkomen? Zo ja, hoe kon deze tussenkomst geëvalueerd worden?

4) Hoe wordt er bepaald uit hoeveel IT-ers dit team zou moeten bestaan?

5) Welke andere initiatieven neemt hij om cybercriminaliteit tegen te gaan?

Antwoord ontvangen op 11 augustus 2020 :

1) Niettegenstaande de «quick responsive community» en de «Quick Reaction Force» gelijkaardig in de oren klinken, is het belangrijk het onderscheid tussen beide initiatieven aan te stippen.

De «quick responsive community» lijkt erop gericht te zijn om de cyberveiligheid van openbare besturen of bedrijven te verhogen door op een vlotte manier informatie te delen en verspreiden. In vakjargon spreekt men dan over «indicators of compromise» (IoC) oftewel indicatoren aan de hand waarvan kan worden gedetecteerd (of verhinderd) dat een netwerk gecompromitteerd raakt.

Vermits er hier sprake is van het verhogen van de cyberveiligheid, behoort dit tot het domein van het Centrum voor cybersecurity België (CCB) dan wel tot het domein van de geïntegreerde politie. Deze vraag dient het geachte lid dan ook te richten tot de eerste minister, onder wiens bevoegdheid het CCB valt.

De «Quick Response Force» (QRF) daarentegen is een initiatief binnen de federale politie waarbij een pool van gespecialiseerde politieambtenaren werd samengesteld die kan worden ingezet bij ernstige cyberincidenten – met specifieke aandacht voor kritieke infrastructuren, vitale sectoren en aanbieders van essentiële diensten.

De nadruk ligt hierbij op het uitvoeren van politionele taken, met name het maximaal verzamelen van de nodige bewijselementen om verder onderzoek mogelijk te maken en dus op het bestrijden van cybercriminaliteit.

2) De inzet van de QRF kadert binnen de classificatie voorzien in het cybernoodplan van het Centrum voor cybersecurity België (CCB).

Volgende voorwaarden zijn hierbij van toepassing voor de activatie van de QRF:

– de gebeurtenis beantwoordt aan de definitie van een nationale cyber crisis;

– de gebeurtenis beantwoordt aan de definitie van een nationaal cyber incident én er zijn elementen die een dringende politionele afstapping noodzaken of rechtvaardigen;

– de gebeurtenis beantwoordt aan de definitie van een kleinschalig cyber incident én er zijn elementen die een dringende politionele afstapping noodzaken én er zijn voor de eerste en dringende vaststellingen specifieke competenties vereist waarover de met het onderzoek belaste eenheid niet beschikt.

Voor deze inschaling zijn niet enkel de aard van het getroffen bedrijf of sector van belang, maar vooral ook de maatschappelijke impact die een cyberincident kan hebben.

Veelal zal het dus zo zijn dat bijvoorbeeld bij ernstige incidenten die kritieke infrastructuur en / of vitale sectoren treffen de QRF kan worden ontplooid, maar het is zeker niet zo dat de QRF zal afstappen voor elk geval van ransomware in een (middel)grote onderneming.

Bovendien dient ook te worden herhaald dat de QRF steeds tussenkomt met een politionele finaliteit: het bijstaan van de getroffen exploitant met remediërende en / of preventieve maatregelen behoort tot het takenpakket van andere partners in de cybersecurity keten, zoals CERT.be.

3) Er zijn sinds de oprichting van de Quick Reaction Force strikt genomen geen incidenten geweest die aan de voorwaarden voor een inzet voldeden (opschaling volgens het cybernoodplan).

Desalniettemin is er één afstapping geweest, inzake een ransomware-aanval bij een lokaal bestuur.

Bij een andere ransomware-aanval werd een steunaanbod geformuleerd naar de regionale Computer Crime Unit die belast was met het onderzoek, maar bleek er uiteindelijk geen afstapping van de QRF noodzakelijk te zijn.

Niettegenstaande de QRF-pool werkt op basis van vrijwilligheid, is bij evaluatie van deze cases vastgesteld dat er voldoende bereidwilligheid en capaciteit was om op korte termijn de QRF te kunnen ontplooien. Anderzijds spreekt het voor zich dat uit deze eerste tussenkomst ook lessen konden worden getrokken.

4) De term «IT-ers» is strikt genomen niet fout, vermits de gespecialiseerde hoofdinspecteurs van de Computer Crime Units allen een IT-achtergrond hebben, maar het dient te worden verduidelijkt dat de QRF enkel bestaat uit politieambtenaren (met een volledige politionele bevoegdheid) en dus geen burgerpersoneelsleden telt.

Bij het oprichten van de QRF werd een streefcijfer van vijftien teamleden gedefinieerd. Op basis van de operationele behoeften en praktijk zal permanent worden geëvalueerd of dit contingent volstaat voor het verzekeren van de QRF-taken.

Er werd bovendien bij het oprichten van de QRF overgegaan tot de inventarisatie van medewerkers van de verschillende Computer Crime Units (zowel federaal als regionaal) die over de nodige competenties inzake het onderzoeken van cybercrime in complexe netwerkomgevingen beschikken.

Aan de hand van deze lijst werd, op basis van vrijwilligheid en met akkoord van de respectievelijke hiërarchische verantwoordelijken, de QRF-pool samengesteld.

De pool bestaat momenteel uit vijftien medewerkers, plus twee leidinggevenden die instaan voor de operationele leiding en het beheer van de pool.

5) Het toezicht, de coördinatie en de uitvoering van de Belgische cyberveiligheidstrategie vallen onder de verantwoordelijkheid van het Centrum voor cybersecurity (CCB).

Het Centrum voor cybersecurity is opgericht bij koninklijk besluit van 10 oktober 2014 en staat onder het gezag van de eerste minister.