SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
19 avril 2013 19 april 2013
________________
Question écrite n° 5-8738 Schriftelijke vraag nr. 5-8738

de Bert Anciaux (sp.a)

van Bert Anciaux (sp.a)

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances

aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen
________________
Les conséquences de la cyberattaque MiniDuke sur les ordinateurs des autorités belges De effecten van de cyberaanval MiniDuke op Belgische overheidscomputers 
________________
criminalité informatique
virus informatique
protection des données
administration électronique
computercriminaliteit
computervirus
gegevensbescherming
elektronische overheid
________ ________
19/4/2013 Verzending vraag
2/9/2013 Antwoord
19/4/2013 Verzending vraag
2/9/2013 Antwoord
________ ________
Requalification de : demande d'explications 5-3211 Requalification de : demande d'explications 5-3211
________ ________
Question n° 5-8738 du 19 avril 2013 : (Question posée en néerlandais) Vraag nr. 5-8738 d.d. 19 april 2013 : (Vraag gesteld in het Nederlands)

Une cyberattaque, appelée MiniDuke, a pris pour cible de très nombreux ordinateurs des autorités publiques du monde entier. Ce MiniDuke a profité d'une faille du logiciel largement répandu Adobe Reader pour s'introduire et se nicher dans les ordinateurs, scanner ensuite le disque dur, sélectionner et dérober des fichiers sans doute prisés et sensibles ou des fichiers d'importance stratégique. Cette infection aurait débuté voici quelques mois déjà. Parmi les victimes de cette cyberattaque se trouvent manifestement aussi des ordinateurs des autorités belges.

L'attaque de MiniDuke a été identifiée par la société informatique russe Kaspersky, spécialisée dans la lutte contre la cybercriminalité.

La ministre peut-elle confirmer que des ordinateurs des autorités belges ont eux aussi été victimes de la cyberattaque MiniDuke et peut-elle fournir davantage d'informations à ce sujet ? Confirme-t-elle que c'est une société russe qui a découvert et neutralisé MiniDuke ?

Comment se fait-il que la protection des ordinateurs de nos autorités publiques soit tributaire de la lutte engagée par des entreprises étrangères ? Ne disposons-nous pas des compétences suffisantes pour développer nos propres logiciels ou systèmes de protection ? Ne peut-on créer une plateforme européenne pour rassembler ces connaissances éminemment technologiques ? Existe-t-il des projets en ce sens ou bien ce genre de protection reste-t-il le fruit du hasard des recherches d'entreprises privées... qui acquièrent ainsi une puissance stratégique considérable ? N'est-il pas urgent d'apporter une solution structurelle à ce problème ?

 

Via een cyberaanval onder de noemer MiniDuke, werden wereldwijd heel wat overheidscomputers getroffen. Deze MiniDuke verschafte zich toegang via een lek in de breed verspreide software van Adobe Reader. Eens genesteld begon MiniDuke met de scanning van de harde schijf en het selecteren en ontvreemden van wellicht gewenste en gevoelige of strategisch belangrijke bestanden. Deze besmetting zou al enkele maanden aan de gang zijn. Blijkbaar bevinden zich bij de slachtoffers van deze cyberaanval ook enkele Belgische overheidscomputers.

De aanval van MiniDuke werd geïdentificeerd door het Russische computerbedrijf Kaspersky, gespecialiseerd in de bestrijding van de cybercriminaliteit.

Kan de minister bevestigen dat er ook Belgische overheidscomputers het slachtoffer werden van de cyberaanval met MiniDuke, en kan er hieromtrent meer informatie worden verstrekt? Beaamt de minister dat de ontdekking en ook neutralisering van MiniDuke afkomstig is van een Russisch bedrijf?

Hoe komt het dat de beveiliging van onze overheidscomputers afhankelijk is van de bestrijding door buitenlandse bedrijven? Beschikken wij zelf over onvoldoende knowhow om eigen beveiligingssoftware of -systemen te ontwikkelen? Kan voor dit soort van hoog technologische kennis geen Europees platform werkzaam worden? Bestaan er hieromtrent plannen, of blijft dit soort beveiliging bijna afhankelijk van de toevallige opsporing door privébedrijven… die daarmee meteen ook een enorme strategische macht verwerven? Lijkt een structurele oplossing daarom niet urgent?

 
Réponse reçue le 2 septembre 2013 : Antwoord ontvangen op 2 september 2013 :

1. Une enquête de recherche dans le cadre de cette cyberattaque « MiniDuke » a été ouverte par la Federal Computer Crime Unit (FCCU) sous la direction du Parquet fédéral.

L’enquête est en cours mais il n’y a pas encore d’indication sur une source possible de l’attaque. Dans le cadre de l’enquête, les victimes sont actuellement recherchées. On n’a pas encore de vue sur la nature des victimes.

2 à 7. C’est effectivement une entreprise russe qui a découvert le malware MiniDuke.

Cette problématique constitue une préoccupation majeure de la Commission européenne. Celle-ci vient d’ailleurs de publier une stratégie en matière de cyber-sécurité qui s’oriente autour de cinq priorités :

  1. augmenter la cyber-résilience (cette priorité fait l’objet d’une proposition de directive sur la sécurité des réseaux et de l’information) ;

  2. lutter contre la cybercriminalité ;

  3. développer une politique et des moyens de cyber-défense ;

  4. développer les ressources industrielles et technologiques en matière de cyber-sécurité ;

  5. instaurer une politique internationale cohérente de l’Union européenne (UE) en matière de cyber-sécurité.

La proposition de directive constitue la principale action de la stratégie. Elle a pour objet d’établir un niveau minimal d’exigences en matière de cyber-sécurité au niveau des États Membres et de favoriser la coopération entre secteur privé et public, ainsi que la coopération entre États Membres en cas d’incident à caractère transfrontalier. Elle repose sur trois piliers :

  • au niveau national, les États Membres devront disposer d’une stratégie nationale, d’une autorité compétente, d’un Computer Emergency Response Team (CERT) et d’un plan de coopération national (qui définira les rôles et responsabilités en cas d‘incident).

  • au niveau européen, un plan de coopération européen définira les mécanismes de coopération entre États Membres.

  • une obligation pour certains secteurs de mettre en place des mécanismes de gestion des risques et de rapporter les incidents les plus graves à l’autorité nationale compétente.

Il va de soi que ces préoccupations se retrouvent aussi à l’échelon national : outre la création de CERT.be en 2009, la Belgique vient de se doter d’une stratégie nationale de cyber sécurité.

Dans le courant de l’année 2012, des membres de la plateforme de concertation sur la sécurité de l’information (BELNIS) se sont en effet réunis à plusieurs reprises aux fins de rédiger un projet de stratégie nationale de cyber sécurité. Parmi les objectifs stratégiques, figure celui de développer les propres capacités de la Belgique en matière de cyber-sécurité.

Le texte, qui s’articulait autour de quatre chapitres a été transmis au premier ministre par le secrétaire d'État à la Fonction Publique, M. Hendrik Bogaert, en sa qualité de président de BELNIS, après avoir été approuvé par l’ensemble des membres de BELNIS. Il a ensuite été examiné au sein d’un groupe de travail de coordination de la politique. A l’issue de cette réunion, il a été décidé de supprimer le dernier chapitre de cette stratégie (celui relatif aux moyens nécessaires à la mise en œuvre de cette stratégie).

C’est donc la nouvelle version de ce texte qui a été soumise au Conseil des ministres du 21 décembre 2012, qui en a confié la coordination de l’exécution au premier ministre. Par la suite, le dossier a été inscrit à l’ordre du jour d’une réunion du Collège du renseignement et de la sécurité qui a pris acte de la décision du Conseil des ministres. Pour toute question relative à l’exécution de la cyber stratégie, je vous renvoie dès lors au premier ministre.

1. Een opsporingsonderzoek in het kader van deze MiniDuke cyberaanval werd geopend door Federal Computer Crime Unit (FCCU) onder leiding van het Federaal Parket.

Het onderzoek is lopende maar er zijn nog geen aanwijzingen over de mogelijke bron van de aanval. In het kader van het onderzoek worden de slachtoffers thans opgespoord. Er is nog geen zicht op de hoedanigheid van de slachtoffers.

2 tot en met 7. Het is inderdaad een Russische onderneming die de malware MiniDuke ontdekt heeft.

Deze problematiek vormt een belangrijke prioriteit voor de Europese Commissie. Zij heeft bovendien zopas een strategie betreffende cyberveiligheid bekendgemaakt, opgesteld rond vijf prioriteiten:

  1. Vergroten van de cyberveerkracht (deze prioriteit maakt het voorwerp uit van een voorstel van richtlijn betreffende de veiligheid van de netwerken en van de informatie).

  2. Bestrijden van de cybercriminaliteit.

  3. Ontwikkelen van een beleid en van middelen inzake cyberverdediging.

  4. Ontwikkelen van industrieel en technologisch vermogen inzake cyberveiligheid.

  5. Invoeren van een coherent internationaal Europese unie (EU)-beleid inzake cyberveiligheid.

Het voorstel van richtlijn is de voornaamste actie van de strategie. Deze richtlijn strekt ertoe voor de Lidstaten een minimaal niveau vast te leggen van de vereisten inzake cyberveiligheid en de samenwerking tussen de private sector en de openbare sector te bevorderen, alsook de samenwerking tussen de Lidstaten in geval van een incident met een grensoverschrijdend karakter. De richtlijn steunt op drie pijlers:

  • Op nationaal vlak moeten de Lidstaten beschikken over een nationaal beleid, een bevoegde overheid, een Computer Emergency Response Team (CERT) en een nationaal samenwerkingsplan (waarin de rollen en verantwoordelijkheden in geval van een incident gedefinieerd worden).

  • Op Europees vlak moet een Europees samenwerkingsplan de samenwerkingsmechanismen tussen de Lidstaten definiëren.

  • Sommige sectoren moeten mechanismen inzake risicobeheer ontwikkelen en de meest zware incidenten rapporteren aan de bevoegde nationale overheid.

Deze elementen komen vanzelfsprekend terug op nationaal niveau: naast de oprichting van CERT.be in 2009 heeft België net een nationale strategie inzake cyberveiligheid uitgewerkt.

In de loop van 2012 zijn de leden van het overlegplatform inzake de informatieveiligheid (BELNIS) immers meermaals samengekomen om een ontwerp van nationaal beleid inzake cyberveiligheid op te maken. Eén van de strategische doelstellingen is het ontwikkelen van eigen Belgische capaciteiten op het vlak van cyberveiligheid.

De Staatssecretaris voor het Openbaar Ambt, de heer Hendrik Bogaert, heeft, als voorzitter van BELNIS, de tekst, die vier hoofdstukken bevat, doorgestuurd naar de eerste minister, nadat hij door alle leden van BELNIS goedgekeurd was. Vervolgens werd de tekst bestudeerd binnen een werkgroep beleidscoordinatie. Op het einde van deze vergadering werd beslist om het laatste hoofdstuk van deze strategie (met betrekking tot de nodige middelen voor de aanwending van het beleid) te schrappen.

Het is dus de nieuwe versie van de tekst die op 21 december 2012 aan de ministerraad voorgelegd werd. De ministerraad heeft de coördinatie van de uitvoering ervan toevertrouwd aan de eerste minister. Daarna werd het dossier op de agenda gezet van een vergadering van het College voor Inlichting en Veiligheid, dat akte genomen heeft van de beslissing van de ministerraad. Voor vragen met betrekking tot de uitvoering van de cyberstrategie verwijs ik u derhalve door naar de eerste minister.