SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
14 juin 2013 14 juni 2013
________________
Question écrite n° 5-9329 Schriftelijke vraag nr. 5-9329

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au secrétaire d'Etat aux Affaires sociales, aux Familles et aux Personnes handicapées, chargé des Risques professionnels, et secrétaire dÉtat à la Politique scientifique, adjoint à la ministre des Affaires sociales et de la Santé publique
aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, en staatssecretaris voor Wetenschapsbeleid, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
La Computer emergency response team et la cyberdéfense Het Computer emergency response team en cyberdefensie 
________________
criminalité informatique
protection des données
Comités permanents de contrôle des services de police et de renseignements
virus informatique
statistique officielle
computercriminaliteit
gegevensbescherming
Vaste Comités van Toezicht op de politie- en inlichtingendiensten
computervirus
officiële statistiek
________ ________
14/6/2013Verzending vraag
16/12/2013Antwoord
14/6/2013Verzending vraag
16/12/2013Antwoord
________ ________
Herkwalificatie van : vraag om uitleg 5-2912 Herkwalificatie van : vraag om uitleg 5-2912
________ ________
Question n° 5-9329 du 14 juin 2013 : (Question posée en néerlandais) Vraag nr. 5-9329 d.d. 14 juni 2013 : (Vraag gesteld in het Nederlands)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été les victimes d'une cyberattaque, jugée particulièrement grave car elle visait spécifiquement certaines directions générales et certains fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission a établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer d'ici 2012 un Computer Emergency Response Team (CERT) capable de détecter les logiciels malveillants. En Belgique, le CERT est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

La création du CERT s'articule en quatre phases. En septembre 2009, on a commencé à installer l'infrastructure critique, laquelle a été élargie au grand public en janvier 2010. Nous sommes actuellement dans la troisième phase, qui voit l'extension des heures d'ouverture (juillet 2011).

Selon vous, le CERT remplit sa mission en collaboration et en concertation avec d'autres instances, telles l'Institut belge des services postaux et des télécommunications (IBPT), les Computer Crime Units, les SPF Justice et Défense. Cette collaboration doit cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le SPF Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’IBPT. Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance de moyens permettant d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Voici mes questions au ministre :

1. Depuis sa création, combien d'incidents cybercriminels ont-ils été signalés au CERT ?

a. Combien d'incidents examine-t-on actuellement ? Combien d'entre eux nécessitent-ils une enquête interdépartementale ?

b. Dans combien de cas le CERT a-t-il dénoncé des actes de cyberdélinquance à d'autres autorités, et lesquelles (tant nationales qu'étrangères) ?

c. Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ?

d. Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

e. Je souhaite une ventilation des incidents selon les catégories normaux - sérieux - majeurs, avec quelques exemples pour chacune.

2. Comment se déroule l'entrée en action du CERT ?

a. Comment le ministre évalue-t-il la phase 1 (infrastructure critique) et la phase 2 (élargissement au grand public) ?

b. Quelles sont les heures d'ouverture étendues du CERT, annoncées comme phase 3 ?

c. Peut-on affirmer que la notoriété du CERT auprès du public cible est suffisante ?

d. Combien de visites le site a-t-il reçues depuis sa création, et comment ce nombre évolue-t-il ?

e. Quand le CERT sera-t-il totalement opérationnel ? Quel budget (par phase) y a-t-on affecté ?

3. Selon les normes de l'Union européenne, les SPF et les services du parlement fédéral sont-ils suffisamment protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

4. Existe-t-il un « Disaster Recovery Plan » en guise de plan B si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

5. Le département du ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité de l'information ? Quelle est sa mission et à qui fait-il rapport?

6. Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Est-il logique que ce soit le SPF Justice qui le dirige, et pas le SPF Économie dont dépend le CERT.be ? Constate-t-on des problèmes sur le plan de la coopération et des échanges d'informations ? À quelle fréquence annuelle les représentants du SPF Économie se réunissent-ils avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

7. Comment se passe la collaboration en matière de cyberdéfense avec l'Intérieur, Fedict, la Défense, la Politique scientifique et les Affaires étrangères ? A-t-elle été formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

8. Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

9. Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie fédérale coordonnée de cyberdéfense ?

10. Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance de moyens permettant d'engager du personnel qualifié. Le département du ministre est-il confronté au même problème ?

11. Faut-il augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

12. Combien de fois des documents du SPF Économie ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

13. Quelles infrastructures, identifiées par le SPF Économie comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

 

Op de vooravond van de Europese top van 22 maart 2011 werden de Europese Commissie en de EDEO het slachtoffer van een cyberaanval. Omdat de aanval specifieke directoraten-generaal en ambtenaren van de Europese Commissie viseerden wordt deze cyberaanval als bijzonder ernstig gezien.

Het Veiligheidsdirectoraat van de Commissie heeft reeds in 2009 een Actieplan tegen Cyberaanvallen opgesteld waarin de lidstaten gevraagd werd op tegen 2012 een Computer Emergency Response Team (CERT) op te zetten om schadelijke software te detecteren. In België is de CERT sinds 2010 actief en is men momenteel druk bezig met de gefaseerde operationalisering ervan.

De oprichting van de CERT gebeurt in vier fases: eerst werd in september 2009 begonnen met de installatie van de kritieke infrastructuur en dit werd gevolgd door de uitbreiding naar het grote publiek in januari 2010. Momenteel zijn we in de derde fase aanbeland waarin de openingsuren worden uitgebreid (juli 2011).

U stelde dat de CERT zijn opdracht vervult in samenwerking en overleg met andere instanties - zoals het Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT), de Computer Crime Units, de FOD's Justitie en Defensie - maar dat deze nog moet geformaliseerd worden. Een werkgroep voor incidentenbeheer zou een voorstel uitwerken waarin de samenwerking met de verschillende federale actoren geregeld wordt.

Het Comité I bracht op 24 augustus laatstleden een rapport uit waarin het niet mals is voor het federaal beleid rond cyberdefensie. Het ontbreken van een globaal federaal beleid inzake informatieveiligheid heeft tot gevolg dat ons land zeer kwetsbaar is voor aanvallen tegen vitale informatiesystemen -en netwerken.

Meerdere federale instelling houden zich vandaag bezig met de beveiliging van de informaticasystemen; de Nationale Veiligheidsdienst (NVO), de FOD Informatie- en Communicatietechnologie (FedICT), de federale internetprovider BelNET en het BIPT. Maar geen enkele van die instellingen blijkt een algemeen beeld te hebben voor de kritieke infrastructuur van de informaticasystemen, aldus het rapport.

Verder maakt het Comité I zich ook zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

Tenslotte maakt het Comité I de bedenking dat de Belgische wetgeving enkel toelaat om vijandige systemen in het buitenland te neutraliseren in geval van een cyberaanval op de informatiesystemen van Defensie. Indien er aanvallen plaatsvinden op andere FOD's of nationale kritieke infrastructuur, kan hierop slechts achteraf defensief gereageerd worden, zonder het vijandelijk systeem te mogen neutraliseren.

Graag kreeg ik een antwoord op de volgende vragen:

1. Hoeveel cybercrime-incidenten heeft CERT ontvangen sinds haar oprichting?

a. Hoeveel incidenten worden er momenteel onderzocht? Voor hoeveel is een domeinoverschrijdend onderzoek nodig?

b. In hoeveel gevallen heeft CERT cybercrimemeldingen doorverwezen naar andere autoriteiten, en dewelke (zowel binnen-als buitenland)?

c. Voor hoeveel incidenten is het onderzoek afgerond en is het dossier doorgestuurd naar Justitie?

d. Voor hoeveel incidenten is er geen verder onderzoek mogelijk? Hoeveel incidenten zijn afgesloten omdat er slechte informatie-uitwisseling was?

e. Gelieve een onderverdeling van de incidenten te geven van normale/ernstige/grote incidenten, met enkele concrete voorbeelden die bij elke klasse horen.

2. Hoe verloopt de inwerkingtreding van de CERT?

a. Hoe evalueert u fase 1 (kritieke infrastructuur) en fase 2 (uitbreiding naar het grote publiek)?

b. Welke zijn de onder fase 3 aangekondigde uitgebreide openingsuren van de CERT ?

c. Kan men stellen dat de CERT voldoende naambekendheid geniet bij het doelpubliek?

d. Hoeveel hits kreeg de website sinds haar oprichting, en wat is de evolutie hierin?

e. Wanneer zal de CERT volledig operationeel zijn? Welk budget wordt hiervoor uitgetrokken (per fase)?

3. Zijn de Federale Overheidsdiensten en het federale parlement voldoende beveiligd tegen cyberaanvallen naar normen van de Europese Unie? Welke beveiligingsnormen worden gebruikt en waarom?

4. Bestaat er een zogenaamd Disaster Recovery Plan, als plan-B indien de kritieke systemen van ons land het slachtoffer wordt van een cyberaanval?

5. Is er op uw departement reeds een adviseur ter coördinatie van de informatieveiligheid aangesteld? Waaruit bestaan zijn taken en aan wie rapporteert hij?

6. Hoe verloopt de samenwerking met FOD Justitie die de coördinatie over het cyberdefensieproject heeft? Is het logisch dat FOD Justitie de leiding heeft en niet de FOD Economie, onder wie de CERT.be valt? Zijn er reeds problemen te melden op vlak van praktische samenwerking en informatie-uitwisseling? Hoeveel keer per jaar komen mensen van de FOD Economie samen met FOD Justitie om cyberdefensie te bespreken, en is dit voldoende?

7. Hoe verloopt de samenwerking met de FOD's Binnenlandse Zaken, ICT, Defensie, Wetenschapsbeleid en Buitenlandse Zaken in het kader van cyberdefensie? Werd deze reeds geformaliseerd zodat de CERT en FOD Justitie bij incidenten tijdig kunnen handelen?

8. Welke sectoren krijgen prioriteit in het cyberdefensieproject en welke actoren houden zich met welke sector bezig?

9. Welke inspanningen kan de regering doen om ons land minder kwetsbaar te maken? Wordt er gewerkt aan een gecoördineerde federale cyberstrategie?

10. Het Comité I maakt zich zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om op gekwalificeerde personeelsleden te rekruteren. Wordt uw departement ook met dit probleem geconfronteerd?

11. Moet er meer slagruimte zijn om cyberaanvallen te kunnen neutraliseren, in plaats van slechts achteraf defensief te kunnen reageren?

12. In hoeveel gevallen zijn er van de FOD Economie documenten gestolen via een cyberaanval? Wanneer was dit, over welke documenten gaat het en wat is de gevoeligheid van de gestolen informatie? Welke maatregelen werden er genomen?

13. Welke infrastructuren worden door de FOD Economie als kritiek en gevoelig geïdentificeerd en krijgen prioriteit in cyberdefensie?

 
Réponse reçue le 16 décembre 2013 : Antwoord ontvangen op 16 december 2013 :

L’honorable membre trouvera ci-après la réponse à sa question.

1. Les chiffres de septembre 2009 à mai 2013 :

2009

2010

2011

2012

2013

Total

Rapports d’incidents (*)

302

2135

2609

3866

2412

11324

Incidents (**)

464

1389

1494

1981

1434

6762

Enquêtes(***)

302

976

1161

829

880

4148

(*) Rapport d’incident : une notification d’incident faite par une tierce partie ou par un membre même du CERT.be. Chaque message électronique envoyé à l’adresse [email protected] est considéré comme un rapport d’incident à introduire dans le système.

(**) Incident : un incident de sécurité confirmé. Après vérification pour savoir s’il s’agit d’une notification légitime d’incident concernant le public cible, celui-ci redirigé vers « incident » dans l’outil utilisé par CERT.be. Il n’existe pas de relation stricte 1-1 entre un rapport d’incident et un incident. En effet, un incident légitime n’est pas toujours contenu dans chaque notification ; à l’inverse, une seule et même notification peut parfois renvoyer à plusieurs incidents et enquêtes.

(***) Enquêtes: lorsqu’un incident implique plusieurs parties, l’outil permet d’établir plusieurs enquêtes à ce propos.

1. a) CERT.be n’a pas de mandat pour mener systématiquement des enquêtes interdépartementales.

1. b) CERT.be a dénoncé des actes de cyber délinquance uniquement aux autorités nationales, en particulier à la Police fédérale belge, Federal Computer Crime Unit (FCCU). Les contacts avec l’extérieur se font par les CERT étrangers, et CERT.be ne dispose pas de chiffres précis à ce sujet.

1. c) CERT.be ne transmet pas un incident directement à la Justice. Il encourage toujours les victimes à déposer une plainte auprès de la police.

1. d) CERT.be ne dispose pas de chiffres spécifiques pour cette catégorie d’incidents.

1. Pendant les cinq premiers mois de 2013, il y a eu 2 412 rapports d’incident, soit 482 par mois, et 1 981 incidents, soit 287 par mois, à savoir :

  • 23 % d’incidents de numérisation (comme par exemple des incidents qui apparaissent lorsque les bases de données sont scannées et testées par des tiers dans le but de découvrir les points faibles du système).

  • 16 % d’incidents en rapport avec les systèmes (comme par exemple les serveurs web infectés).

  • 24,5 % d’incidents d’hameçonnage (comme par exemple des sites contrefaits belges et étrangers quand ceux-ci sont hébergés en Belgique).

  • 9,5 % d’incidents concernant des graves épidémies de vers et de virus (comme par exemple un réseau d’entreprise infecté soudainement par un virus).

  • 9 % d’incidents relatifs au spam (comme par exemple l’envoi, de manière non délibérée, de spam par des systèmes ou des personnes).

  • 1 % d’incidents liés aux comptes (comme par exemple la tentative d’acquérir des données à partir d’un compte pour d’autres comptes, tels que les comptes d’entreprise, e-mail,..).

  • 4,5 % d’incidents mentionnant des vulnérabilités (comme par exemple les hackers au chapeau blanc qui découvrent et font connaître certaines vulnérabilités dans les systèmes, dans les serveurs, dans les sites,…).

  • 1,5 % d’incidents d’attaques par déni de service (comme par exemple la paralysie d’un site web ou d’un service par une attaque sur les serveurs par un botnet notamment).

  • 1 % d’incidents/questions, thèmes/issues, à propos de la sécurité sur internet (comme par exemple les questions posées par des entreprises ou des organisations pour mieux faire face à des incidents particuliers).

  • 10 % d’autres incidents qui ne sont non repris dans les catégories précédentes.

2. CERT.be s’est mis progressivement en place comme prévu.

2. a) Avec un succès mitigé. Un des problème réside dans le fait qu’il n’existe pas de définition communément admise de ce que l’on considère comme une infrastructure critique. CERT.be travaille à l’heure actuelle sur un site web à destination du grand public.

2.b) CERT.be assure une permanence de services les jours ouvrables entre 9 et 17 heures. En dehors de ces heures, l’assistance se fait sur une base volontaire et selon la disponibilité.

2. c) Sa réputation suit une ligne ascendante, surtout depuis l’intérêt médiatique suscité autour du CERT.be à l’occasion à l’occasion du lancement du site www.dns-ok.be : le visiteur pouvait s’assurer que son ordinateur n’était pas infecté par le virus DNS-Changer

2. d) En 2013, il y a eu 1 479 visiteurs en janvier, 2 367 en février, 3 733 en mars, 2 144 en avril et 2428 en mai.

2. e) Selon le plan initial, CERT.be devrait disposer aujourd’hui de onze collaborateurs (ETP). En raison des difficultés à recruter et à maintenir un personnel qualifié, CERT.be ne dispose aujourd’hui que de sept ETP.

3. à 9. : -

10. Cf. 2. e).

11. Ceci ne relève pas des missions du CERT.be.

12 et 13 : -

Het geachte lid vindt hierna het antwoord op zijn vraag.

1. Cijfers vanaf september 2009 tot en met mei 2013:

2009

2010

2011

2012

2013

Total

Incident rapporten (*)

302

2135

2609

3866

2412

11324

Incidenten (**)

464

1389

1494

1981

1434

6762

Onderzoeken (***)

302

976

1161

829

880

4148

(*) Incident rapporten: een kennisgeving van incidenten, ofwel via een derde partij, ofwel gecreëerd door een lid van CERT.be zelf. Iedere e-mail verzonden naar het adres [email protected] wordt beschouwd als een incident rapport en in het systeem ingevoerd.

(**) Incident: een bevestigd veiligheidsincident. Na controle dat het om een legitieme incidentmelding gaat die bovendien betrekking heeft op de doelgroep, wordt deze gelinkt aan een incident in de door CERT.be gebruikte tool. Er bestaat geen strikte 1-1 relatie tussen het incident rapporten en de incidenten: het is namelijk zo dat niet iedere kennisgeving een legitiem incident bevat en om gekeerd kan één enkele melding ook aanleiding geven tot meerdere incidenten en onderzoeken.

(***) Onderzoeken: bij incidenten met meerdere betrokken partijen laat de tool toe om voor één enkel incident meerdere onderzoeken te creëren.

1. a) CERT.be heeft niet het mandaat om systematisch domeinoverschrijdende onderzoeken te verrichten.

1. b) CERT.be heeft cybercrimemeldingen doorverwezen enkel naar binnenlandse autoriteiten, met name naar de Belgische federale politie, Federal Computer Crime Unit (FCCU). Buitenlandse contacten gebeuren via de buitenlandse CERT’s. CERT.be beschikt hiervoor niet over exacte cijfers.

1. c) CERT.be meldt geen incidenten rechtstreeks aan justitie. CERT.be raadt slachtoffers wel steeds aan om een klacht neer te leggen bij de politie.

1. d) CERT.be beschikt niet over specifieke cijfers voor deze categorie van incidenten.

1. e) Tijdens de eerste vijf maanden van 2013 werden er 2 412 meldingen, gemiddeld 482 / maand; 1 981 incidenten, gemiddeld 287 / maand, te weten:

  • 23 % scan-incidenten
(zoals bij voorbeeld incidenten waarbij databases gescand / getest worden door derden om zwakke punten in het systeem te ontdekken).

  • 16 % incidenten met systemen (zoals bij voorbeeld geïnfecteerde webservers).

  • 24,5 % phishing incidenten
(zoals bij voorbeeld Belgische sites die nagemaakt worden of nagemaakte buitenlandse sites die in België gehost worden).

  • 9,5 % incidenten met ernstige worm- en virusuitbraken (zoals bij voorbeeld een virus dat plots het bedrijfsnetwerk belaagt)

  • 9 % incidenten die met Spam te maken hadden
(zoals bij voorbeeld systemen of personen die spam uitsturen zonder het te weten)

  • 1 % incidenten met accounts
(zoals het trachten te verkrijgen van gegevens van en voor allerlei accounts zoals bedrijfsaccounts, e-mail...)

  • 4,5 % incidenten waarbij kwetsbaarheden gemeld worden (zoals bij voorbeeld white hat hackers die bepaalde kwetsbaarheden in systemen, servers, sites... vinden en melden)

  • 1,5 % incidenten met denial-of-service aanvallen
(zoals bij voorbeeld het lam leggen van een website of een dienst door een aanval op servers door bijvoorbeeld een botnet)

  • 1 % incidenten/vragen over internet security gerelateerde thema’s en issues (zoals bij voorbeeld vragen van bedrijven of organisaties om bepaalde incidenten beter te kunnen aan pakken)

  • 10 % andere incidenten die niet in de vorige categorieën in te delen waren.

2. CERT.be verloopt gefaseerd, zoals gepland.

2. a) Met gemengd succes. Eén van de problemen is dat er geen sluitende definitie is van wat als kritieke infrastructuur wordt beschouwd. CERT.be werkt op dit ogenblik aan een website gericht op het grote publiek.

2. b) CERT.be biedt permanentie op werkdagen tussen 9u en 17u. Daarbuiten wordt ondersteuning geboden op vrijwillige basis en volgens beschikbaarheid.

2. c) De naambekendheid van CERT.be zit in stijgende lijn. Met name de mediabelangstelling rond CERT.be naar aanleiding van de lancering van de website www.dns-ok.be : de bezoeker had zeker zijn dat zijn computer niet geïnfecteerd was met het DNS-Changer virus.

2. d) In 2013 werden er 1 479 bezoekers in januari, 2 367 in februari, 3 733 in maart, 2144 in april en 2 428 in mei.

2. e) Volgens de initiële planning had het CERT vandaag moeten beschikken over elf medewerkers (FTE). Door de moeilijkheden om geschikte medewerkers aan te werven en te behouden beschikt CERT.be vandaag over slechts zeven FTE’s.

3. tot 9. /

10. Cf 2. e).

11. Dit behoort niet tot de taken van CERT.be.

12. en 13. : /