SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
23 décembre 2011 23 december 2011
________________
Question écrite n° 5-4322 Schriftelijke vraag nr. 5-4322

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au vice-premier ministre et ministre de l'Économie, des Consommateurs et de la Mer du Nord
aan de vice-eersteminister en minister van Economie, Consumenten en Noordzee
________________
Attaques et délinquance informatiques - Protection informatique - Computer Emergency Response Team (CERT) - Cas particulier du SPF Économie Cyberaanvallen en cybercrime - Cyberdefensie - Computer Emergency Response Team (CERT) - Oprichting - Werking - Specifieke situatie Federale Overheidsdienst Economie 
________________
criminalité informatique
protection des communications
protection des données
espionnage
Comités permanents de contrôle des services de police et de renseignements
Institut belge des services postaux et des télécommunications
Belnet
défense stratégique
ministère
computercriminaliteit
telefoon- en briefgeheim
gegevensbescherming
spionage
Vaste Comités van Toezicht op de politie- en inlichtingendiensten
Belgisch Instituut voor Postdiensten en Telecommunicatie
Belnet
strategische verdediging
ministerie
________ ________
23/12/2011Verzending vraag
26/1/2012Antwoord
23/12/2011Verzending vraag
26/1/2012Antwoord
________ ________
Herindiening van : schriftelijke vraag 5-3126 Herindiening van : schriftelijke vraag 5-3126
________ ________
Question n° 5-4322 du 23 décembre 2011 : (Question posée en néerlandais) Vraag nr. 5-4322 d.d. 23 december 2011 : (Vraag gesteld in het Nederlands)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été touchés pour une cyberattaque, jugée particulièrement grave car elle visait spécialement des directions générales et des fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission avait établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer à l'horizon 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

La création du CERT s'articule en quatre phases. En septembre 2009, on a commencé à installer l'infrastructure critique, laquelle a été élargie au grand public en janvier 2010. Nous sommes actuellement dans la troisième phase, qui voit l'extension des heures d'ouverture (juillet 2011).

Selon le ministre, le CERT remplit sa mission en collaboration et en synergie avec d'autres instances, telles l'Institut belge des services postaux et des télécommunications (IBPT), les Computer Crime Units, le Service public fédéral (SPF) Justice et la Défense - la collaboration entre ces acteurs devait cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’IBPT. Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Voici mes questions au ministre :

1) Depuis sa création, combien d'incidents cybercriminels le CERT a-t-il signalés à son département ?

- Combien d'incidents examine-t-on actuellement ? Combien d'entre eux nécessitent-ils une enquête interdépartementale ?

- Dans combien de cas le CERT a-t-il dénoncé des actes de cyberdélinquance à d'autres autorités, et lesquelles (tant nationales qu'étrangères) ?

- Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ?

- Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

- Je souhaite une ventilation des incidents selon les catégories normaux - sérieux - majeurs, avec quelques exemples pour chacune.

2) Comment se déroule l'entrée en action du CERT ?

- Comment le ministre évalue-t-il la phase 1 (infrastructure critique) et la phase 2 (élargissement au grand public) ?

- Quelles sont les heures d'ouverture étendues du CERT, annoncées comme phase 3 ?

- Peut-on affirmer que la notoriété du CERT auprès du public cible est suffisante ?

- Combien de visites le site a-t-il reçues depuis sa création, et comment ce nombre évolue-t-il ?

- Quand le CERT sera-t-il totalement opérationnel ? Quel budget (par phase) y a-t-on affecté ?

3) Selon les normes de l'Union européenne, les SPF et les services du parlement fédéral sont-ils adéquatement protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

4) Existe-t-il un « Disaster Recovery Plan » en guise de position de repli si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

5) Le département du ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité informatique ? Quelle est sa mission et à qui rapporte-t-il ?

6) Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Est-il logique que ce soit le SPF Justice le dirige, et pas le SPF Économie dont dépend le CERT ? Constate-t-on des problèmes sur le plan de la coopération et des flux d'information ? À quelle fréquence annuelle les représentants du SPF Économie se réunissent avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

7) Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, Fedict, la Défense, la Politique scientifique et les Affaires étrangères ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

8) Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

9) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense ?

10) Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié. Le département du ministre est-il confronté au même problème ?

11) Le département partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

12) Combien de fois des documents du SPF Économie ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

13) Quelles infrastructures, identifiées par le SPF Économie comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

 

Op de vooravond van de Europese top van 22 maart laatstleden werden de Europese Commissie en de Europese Dienst voor Extern Optreden (EDEO) het slachtoffer van een cyberaanval. Omdat de aanval specifieke directoraten-generaal en ambtenaren van de Europese Commissie viseerden wordt ze als bijzonder ernstig beschouwd.

Het Veiligheidsdirectoraat van de Commissie heeft reeds in 2009 een Actieplan tegen Cyberaanvallen opgesteld. Daarin werd de lidstaten gevraagd tegen 2012 een Computer Emergency Response Team (CERT) op te zetten dat schadelijke software moet kunnen detecteren. In België is het CERT sinds 2010 actief en is men momenteel druk bezig met de gefaseerde operationalisering ervan.

De oprichting van het CERT gebeurt in vier fases. In september 2009 werd begonnen met de installatie van de kritieke infrastructuur. Dat werd in januari 2010 gevolgd door de uitbreiding naar het grote publiek. Momenteel zijn we in de derde fase aanbeland waarin de openingsuren worden uitgebreid (juli 2011).

De minister stelde dat het CERT zijn opdracht vervuld in samenwerking en overleg met andere instanties - zoals het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT), de Computer Crime Units, de Federale Overheidsdienst (FOD) Justitie en Defensie - maar dat de samenwerking nog moet worden geformaliseerd. Een werkgroep voor incidentenbeheer zou werken aan een voorstel waarin de samenwerking met de verschillende federale actoren wordt geregeld.

Het Comité I bracht op 24 augustus laatstleden een rapport uit waarin het niet mals is voor het federale beleid rond cyberdefensie. Het stelt dat het ontbreken van een globaal federaal beleid inzake informatieveiligheid tot gevolg heeft dat ons land zeer kwetsbaar is voor aanvallen tegen zijn vitale informatiesystemen -en netwerken.

Meerdere federale instellingen houden zich vandaag bezig met de beveiliging van de informaticasystemen: de Nationale Veiligheidsoverleg (NVO), de FOD Informatie- en Communicatietechnologie (FedICT), de federale internetprovider BelNET en het BIPT. Geen enkele van die instellingen blijkt volgens het rapport echter een algemeen beeld te hebben van de kritieke infrastructuur van de informaticasystemen.

Verder maakt het Comité I zich ook zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

Ten slotte maakt het Comité I de bedenking dat de Belgische wetgeving enkel toelaat om vijandige systemen in het buitenland te neutraliseren in geval van een cyberaanval op de informatiesystemen van Defensie. Indien aanvallen plaatsvinden op andere FOD's of nationale kritieke infrastructuur, kan hierop slechts achteraf, defensief worden gereageerd, zonder dat het vijandelijke systeem mag worden geneutraliseerd.

Mijn vragen aan de minister zijn:

1) Hoeveel cybercrime-incidenten heeft het CERT sinds zijn oprichting ontvangen?

- Hoeveel incidenten worden momenteel onderzocht? Voor hoeveel is een domeinoverschrijdend onderzoek nodig?

- In hoeveel gevallen heeft het CERT cybercrimemeldingen doorverwezen naar andere autoriteiten, en dewelke (zowel binnen-als buitenland)?

- Voor hoeveel incidenten is het onderzoek afgerond en is het dossier doorgestuurd naar Justitie?

- Voor hoeveel incidenten is geen verder onderzoek mogelijk? Hoeveel incidenten zijn gesloten omdat er slechte informatie-uitwisseling was?

- Gelieve een onderverdeling van de incidenten te geven van normale/ernstige/grote incidenten, met enkele concrete voorbeelden die bij elke klasse horen.

2) Hoe verloopt de inwerkingtreding van het CERT?

- Hoe evalueert de minister fase 1 (kritieke infrastructuur) en fase 2 (uitbreiding naar het grote publiek)?

- Welke zijn de onder fase 3 aangekondigde uitgebreide openingsuren van het CERT ?

- Kan men stellen dat het CERT voldoende naambekendheid geniet bij het doelpubliek?

- Hoeveel hits kreeg de website sinds haar oprichting, en wat is de evolutie hierin?

- Wanneer zal het CERT volledig operationeel zijn? Welke budget wordt hiervoor uitgetrokken (per fase)?

3) Zijn de federale overheidsdiensten en het federale parlement voldoende beveiligd tegen cyberaanvallen volgens de normen van de Europese Unie? Welke beveiligingsnormen worden gebruikt en waarom?

4) Bestaat er een zogenaamd Disaster Recovery Plan, als plan-B indien de kritieke systemen van ons land het slachtoffer worden van een cyberaanval?

5) Is in het departement van de minister reeds een adviseur ter coördinatie van de informatieveiligheid aangesteld? Waaruit bestaan zijn taken en aan wie rapporteert hij?

6) Hoe verloopt de samenwerking met FOD Justitie die de coördinatie over het cyberdefensieproject heeft? Is het logisch dat FOD Justitie de leiding heeft en niet de FOD Economie, onder wie de CERT.be valt? Zijn reeds problemen te melden op het vlak van de praktische samenwerking en de informatie-uitwisseling? Hoeveel keer per jaar komen mensen van de FOD Economie samen met FOD Justitie om cyberdefensie te bespreken, en is dit voldoende?

7) Hoe verloopt de samenwerking met de FOD's Binnenlandse Zaken, Fedict, Defensie, Wetenschapsbeleid en Buitenlandse Zaken in het kader van cyberdefensie? Werd ze reeds geformaliseerd zodat het CERT en de FOD Justitie bij incidenten tijdig kunnen handelen?

8) Welke sectoren krijgen prioriteit in het cyberdefensieproject en welke actoren houden zich met welke sector bezig?

9) Welke inspanningen kan de regering doen om ons land minder kwetsbaar te maken? Wordt gewerkt aan een gecoördineerde federale cyberstrategie?

10) Het Comité I maakt zich zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren. Wordt het departement van de minister ook met dit probleem geconfronteerd?

11) Deelt zijn departement de bekommernis dat er meer slagkracht moet zijn om cyberaanvallen te kunnen neutraliseren, in plaats van slechts achteraf, defensief te kunnen reageren?

12) Hoeveel maal zijn bij de FOD Economie via een cyberaanval documenten gestolen? Wanneer was dit, om welke documenten gaat het en wat is de gevoeligheid van de gestolen informatie? Welke maatregelen werden genomen?

13) Welke infrastructuren worden door de FOD Economie als kritiek en gevoelig geïdentificeerd en krijgen prioriteit in cyberdefensie?

 
Réponse reçue le 26 janvier 2012 : Antwoord ontvangen op 26 januari 2012 :

En réponse aux questions posées par l’honorable membre, j’ai l’honneur de lui communiquer ce qui suit.

1. Computer Emergency Response Team (CERT.be) est un service public dont une mission est de fournir à la population belge des informations en matière de sécurité informatique. Le CERT.be donne des conseils et des bonnes pratiques pour la sécurité sur internet des utilisateurs. Il fait également de la prévention, propose des réponses et vise à limiter les conséquences des cyberincidents.

Pour le nombre de cas transmis à la justice ou traités par la Federal Computer Crime Unit (FCCU), je renvoie la question vers mes collègues de la justice et de l’intérieur.

2. Le CERT est reconnu à part entière par ses pairs au niveau européen.

Il est totalement opérationnel. Il se fixe comme objectif d’acquérir le label European Governmental Cert (EGC) , ce qui sera une reconnaissance supplémentaire.

Le CERT.be n’a pas spécialement comme vocation d’être connu du grand public. De ce fait, le nombre de hits sur son site internet n’est pas un indicateur pertinent.

Par contre, il peut entrer dans ses tâches de promouvoir l’ Awareness Raising pour le grand public.

3. Les institutions fédérales sont autonomes dans la gestion de leur infrastructure Technologie informatique et de communication (TIC) et ont la maîtrise de leur sécurité.

En outre, il existe une coordination entre la direction des différents Service public fédéral (SPF) au sein d’un forum, l’. Information Security Management Forum (ISMF) qui se réunit sous l’égide de Service public fédéral Technologie de l'information et de la communication (FEDICT).

Cette transversalité est une réponse adéquate aux cyber-attaques.

4. Les acteurs fédéraux de la sécurité collaborent au sein de la plate-forme BelNIS pour proposer des réponses aux questions relatives à la protection des infrastructures critiques.

La loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques doit garantir que chaque opérateur qui dispose d’infrastructures critiques a mis au point un plan de crise à appliquer en cas de catastrophe.

5 : Cfr. question 10.

6. Le SPF Économie a coopéré à cette initiative et l’Institut belge des services postaux et de télécommunication (IBPT) a fait une intervention lors de cette conférence ministérielle.

Une nouvelle réunion interministérielle de suivi est prévue pour ce mois de novembre. Pour l’image de la cyberdéfense, il est plus percutant d’avoir les pays du Benelux parlant d’une même voix, via le même ministre pour marquer les esprits que la justice ne restera pas inactive face à la menace des cyberattaques.

De même, l’IBPT a officiellement participé à l’inauguration du BeC-Centre en juin 2011 aux cotés des SPF Justice et Économie.

7. BelNIS permet une coordination et coopération entre ces institutions. De manière plus restreinte, il existe aussi la coopération au sein de la plate-forme CNT-NOT qui réunit le SPF Économie, l’IBPT, les autorités judiciaires et la police.

8. L’autorité sectorielle que j’ai désignée pour la protection des infrastructures critiques ICT sera compétente en cette matière. Le centre de crise assurera par contre la coordination générale .

C’est la priorité actuelle de l’Europe.

9. Je renvoie l'honorable membre à la réponse donnée par le premier ministre au question écrite 5-4291.

10. L’équipe s’occupant des compétences de l’IBPT en sécurité des réseaux (articles 113 et 114 de la loi du 13 juin 2005 relative aux communications électroniques) vient par ailleurs , de recruter un jeune docteur ingénieur supplémentaire.

11 La protection adéquate à une cyber-attaque sera formulée en concertation avec les autorités compétentes. Différentes institutions disposent aujourd’hui de pouvoirs et de compétences pour faire face à une cyber-attaque de manière proactive. A titre d’exemple, j’ai demandé à l’IBPT d’accompagner le Cert.be lors du cyber-exercice EU-USA (Cyber-Atlantic) dont l’objet a été de tester le niveau de réponse et de coordination d’une part entre États membres et d’autre part entre ces derniers et les États-Unis, lorsqu’un incident les affecte en cascade.

12. Des tentatives d’attaques se produisent souvent contre les institutions et contre les systèmes IT mais elles mènent rarement à des fuites.

13. Des discussions sont actuellement en cours sur la détermination de ces infrastructures critiques. Ces infrastructures critiques seront déterminées dans un arrêté royal exécutant la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. Cette loi est la transposition d’une directive européenne qui vise le même but. La transposition belge va un pas plus loin puisqu’elle intègre les infrastructures ICT dans son horizon, laquelle n’est que facultative dans la version actuelle de la directive.

Ik heb de eer in antwoord op de door het geacht lid gestelde vraag het volgende mee te delen.

1. Computer Emergency Response Team (CERT.be) is een openbare dienst die als opdracht heeft om de Belgische bevolking informatie te bieden op het gebied van informaticabeveiliging. CERT.be geeft richtlijnen en informatie voor de beveiliging van Internet-gebruikers. Zij zorgen ook voor preventie, stelt oplossingen voor met als doel om de gevolgen van cyber incidenten te beperken.

Voor het aantal gevallen dat werd doorverwezen naar de rechter of werd behandeld door de Federal Computer Crime Unit (FCCU), verwijs ik de vraag naar mijn collega's van Justitie en van Binnenlandse Zaken.

2. Het CERT wordt volledig erkend door zijn Europese evenknieën.

Het is volledig operationeel. Het heeft zich tot doel gesteld het European Governmental Cert-label (EGC) te verwerven, dat een bijkomende erkenning zal vormen.

Cert.be heeft niet specifiek als roeping om grote naambekendheid te verwerven. Het aantal hits op zijn website is dan ook geen relevante indicator.

Awareness Raising voor het grote publiek kan daarentegen wel een van zijn taken worden.

3. De federale instanties beheren op autonome wijze hun Informatie- en communicatietechnologie (ICT)-infrastructuur en hebben hun veiligheid in eigen handen.

Bovendien is er een coördinatie tussen de directie van de verschillende Federale Overheidsdienst (FOD)’s binnen een forum, het Information Security Management Forum (ISMF) dat bijeenkomt onder de vlag van Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT).

Die transversaliteit vormt een gepast antwoord op de cyberaanvallen.

4. De federale spelers op veiligheidsvlak werken samen binnen het BelNIS-platform om antwoorden voor te stellen op de vragen met betrekking tot de bescherming van kritieke infrastructuur.

De wet van 1 juli 2011 betreffende de veiligheid en bescherming van kritieke infrastructuur moet garanderen dat elke operator die beschikt over kritieke infrastructuur een crisisplan heeft opgesteld dat kan worden uitgevoerd in geval van rampen..

5: Cfr. vraag 10.

6. De FOD Economie heeft meegewerkt aan dit initiatief en het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) heeft een toespraak gehouden tijdens die ministerconferentie.

In november zal een nieuwe interministeriële follow-upvergadering plaatsvinden. Voor het imago van cyberdefensie is het des te treffender dat de Benelux-landen met eenzelfde stem spreken via de minister om duidelijk te maken dat justitie niet op zijn lauweren zal rusten wat betreft de dreiging van cyberaanvallen.

Zo heeft het BIPT ook officieel deelgenomen aan de inhuldiging van het BeC-Centre in juni 2011 aan de zijde van de FOD Justitie en de FOD Economie.

7. BelNIS maakt coördinatie en samenwerking tussen die instanties mogelijk. In iets engere zin bestaat er ook samenwerking binnen het CNT-NOT-platform dat de FOD Economie, het BIPT, de gerechtelijke overheden en de politie verenigt.

8. De sectoroverheid die ik heb aangewezen voor de bescherming van de kritieke ICT-infrastructuur zal hiervoor bevoegd zijn. Het crisiscentrum zal daarentegen zorgen voor de algemene coördinatie.

Dat is momenteel de prioriteit van Europa.

9. Ik verwijs het geachte lid naar het antwoord van de heer eerste minister op de schriftelijke vraag 5-4291.

10. Het team dat zich ontfermt over de bevoegdheden van het BIPT inzake netwerkveiligheid (artikelen 113 en 114 van de wet van 13 juni 2005 betreffende de elektronische communicatie) werd overigens pas uitgebreid met extra een jonge doctor-ingenieur.

11. Een gepaste bescherming tegen cyberaanvallen zal in overleg met de bevoegde overheden worden bepaald. Verschillende instanties beschikken vandaag over bevoegdheden en knowhow om een cyberaanval proactief het hoofd te bieden. Zo heb ik aan het BIPT gevraagd Cert.be te vergezellen bij de EU-USA-cyberoefening (Cyber-Atlantic) die erin bestond het reactieniveau en de coördinatie enerzijds tussen lidstaten en anderzijds tussen de lidstaten en de Verenigde Staten te testen in geval van een incident dat hen achtereenvolgens zou treffen.

12. Inbraakpogingen gebeuren bij elke instelling en tegen alle IT systemen maar die leiden niet vaak tot lekken.

13. Momenteel wordt gediscussieerd over de bepaling van die kritieke infrastructuren. Die kritieke infrastructuren zullen worden vastgelegd in een koninklijk besluit ter uitvoering van de wet van 1 juli 2011 betreffende de veiligheid en bescherming van kritieke infrastructuur. Die wet is de omzetting van een Europese richtlijn die hetzelfde doel voor ogen heeft. De Belgische omzetting gaat een stapje verder aangezien ze de ICT-infrastructuur integreert, iets wat facultatief is in de huidige versie van de richtlijn.