BELGISCHE SENAAT
________
Zitting 2012-2013
________
25 juni 2013
________
SENAAT Schriftelijke vraag nr. 5-9408

de Karl Vanlouwe (N-VA)

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________
De cyberoefeningen en Belgocybex
________
gegevensbescherming
computercriminaliteit
________
25/6/2013Verzending vraag
22/7/2013Antwoord
________
Herkwalificatie van : vraag om uitleg 5-3643
________
SENAAT Schriftelijke vraag nr. 5-9408 d.d. 25 juni 2013 : (Vraag gesteld in het Nederlands)

Cyberoefeningen zijn belangrijke instrumenten om de paraatheid te evalueren van een samenleving die in toenemende mate afhankelijker wordt van elektronische communicatie. Door technische storingen te simuleren kan nagegaan worden hoe kritische infrastructuren zoals energie, vervoer, financiën en elektronische communicatie zullen reageren in crisissituaties.

De Europese Commissie spoorde de lidstaten reeds in 2009 aan om frequent cyberoefeningen te organiseren om de respons en "disaster recovery" op grootschalige veiligheidsincidenten te oefenen, teneinde de kritische informatie-infrastructuren te beveiligen, zoals werd beschreven in de "Critical Information Infrastructure Protection" COM(2009)-149) van de Europese Commissie.

Het Europees netwerk- en informatiebeveiligingsagentschap ENISA heeft 85 cyberoefeningen geanalyseerd die tussen 2002 en 2012 plaatsvonden in 22 Europese landen. Uit hun rapport van oktober 2012 bleek dat 43% van de oefeningen een dag duurde, 32% twee tot drie dagen duurde en 19% langer dan drie dagen in beslag nam. Tegelijk benadrukt ENISA het belang van het betrekken van de privésector in die oefeningen. In 57% van de oefeningen werkten de publieke en de private sector samen, en in 41% betrof het een overheidsoefening.

ENISA beschrijft een achttal verschillende cyberoefeningen, gaande van een eenvoudige "desk check" om crisisprocedures te controleren, tot de gesofisticeerde "full simulation exercises" waarbij de deelnemers geconfronteerd worden met de druk van een crisisscenario dat zich in real time ontplooit.

Mijn vragen aan de staatssecretaris zijn:

1) Welke details kan U geven over de cyberoefeningen waaraan België heeft deelgenomen? (de duur, betrokkenheid van welke overheidsactoren, doelwitten, …)?

2) Werd de privésector ook betrokken in de Belgocybex oefening? Waarom wel of waarom niet?

3) Aan welk soort van cyberoefeningen heeft Fedict deelgenomen? (CF. ENISA: Desk check, Comms check, Walk through, Workshop, Table-top, Distributed table-top, Command post en Full-simulation)?

4) Hoe evalueert U de drie cyberoefeningen waaraan de overheid heeft deelgenomen? Welke lessen werden eruit geleerd?

5) Bestaat er reeds een planning voor de organisatie en deelname aan nationale en internationale cyberoefeningen voor de komende jaren? Zal ze ook een privé-publieke samenwerking inhouden?

Antwoord ontvangen op 22 juli 2013 :

1) België heeft deelgenomen aan de oefeningen die op Europees niveau door het ENISA werden georganiseerd, namelijk Cyber Europe 2010 en 2012 en regionale EuroSOPEx in 2012. Deze oefeningen moesten de samenwerkingsvaardigheden van de lidstaten beoordelen in geval van een ernstig incident en het vertrouwen versterken tussen de verschillende deelnemende diensten. De oefeningen hebben beide een dag geduurd. Voor België hebben de volgende diensten aan deze oefening deelgenomen: Computer Emergency Response Team (CERT).be, het Belgisch Instituut voor de Post- en telecommunicatiediensten (BIPT), de FCCU, het Crisiscentrum, Defensie en de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT)

België (Cert.be en het BIPT) heeft ook deelgenomen aan de oefening CyberAtlantic, gezamenlijk georganiseerd door Europa en de VS.

Er werden ook andere oefeningen uitgevoerd binnen de context van de NAVO, waarvoor de diensten van Defensie bevoegd zijn.

België heeft ook de oefening BelgoCybex 2012 ontwikkeld en uitgevoerd. De bedoeling van deze oefening was om het reactievermogen van België op grootschalige ICT-incidenten te evalueren. Deze oefening werd gezamenlijk door Cert.be, het BIPT, de FCCU, het Crisiscentrum, Defensie en Fedict ontwikkeld en gedaan, onder de coördinatie van Fedict.

2) De privésector werd niet betrokken bij BelgoCybex omdat deze oefening de eerste evaluatie was van de procedure voor incidentenmanagement. Wij wilden voornamelijk nagaan of de samenwerkingsmechanismen van de overheid het mogelijk maakten om op efficiënte wijze te reageren en zoniet deze aan te passen alvorens de privésector te betrekken bij een volgende oefening.

3) Fedict stond in voor de voorbereidingen van en nam ook deel aan de oefeningen Cyber Europe 2010 en 2012 en Belgocybex. Fedict heeft deelgenomen aan EuroSOPEx. Deze oefeningen waren van het type “distributed table-top” met een simulatie van incidenten.

4) Tijdens deze oefeningen hebben we niet alleen kunnen evalueren hoe we met elkaar konden samenwerken, maar ook hoe we met onze Europese collega’s konden samenwerken. We hebben kunnen vaststellen welke aspecten voor verbetering vatbaar zijn. We zijn er ook in geslaagd om een reeks hulpmiddelen en functionaliteiten te bepalen waarover we zouden moeten beschikken om een efficiënte samenwerking te garanderen. De voornaamste lessen die er op Belgisch niveau werden getrokken, betroffen de evaluatie van de incidenten en het structureren van de communicatie tussen de verschillende diensten.

5) Een Europese oefening, CyberEurope 2014, is voorzien, en is momenteel gepland voor oktober 2014. Fedict werkt mee aan de voorbereidende werkzaamheden. We overwegen om op Belgisch vlak een aantal key-players uit de telecom-, financiële en energiesector te laten deelnemen. We moeten nog contact opnemen met de bevoegde sectorale overheden om te evalueren of een dergelijke deelname volgens hen haalbaar is en, als dat zo is, welke de potentiële actoren zouden zijn.

We overwegen ook om een nieuwe Belgische oefening uit te voeren. De datum, de doelstellingen en de modaliteiten hiervoor werden tot nog toe nog niet nader bepaald.