| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2016-2017 | Zitting 2016-2017 | ||||||||
| ________ | ________ | ||||||||
| 25 octobre 2016 | 25 oktober 2016 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 6-1068 | Schriftelijke vraag nr. 6-1068 | ||||||||
de Martine Taelman (Open Vld) |
van Martine Taelman (Open Vld) |
||||||||
au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique |
aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid |
||||||||
| ________ | ________ | ||||||||
| Rançongiciels - Chiffres pour la Belgique - Succès du projet « No more ransom » - Centre européen de lutte contre la cybercriminalité - Projets concrets belges préventifs et curatifs - Adhésion de la Belgique au projet « No more ransom » | Rasomware - Cijfers voor België - Succesvol project « No more ransom » - Europese Centrum tegen cybercriminaliteit - Concrete Belgische projecten inzake preventie en het remediëren - Aansluiting van België bij het project « No more ransom » | ||||||||
| ________ | ________ | ||||||||
| criminalité informatique virus informatique |
computercriminaliteit computervirus |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Ook gesteld aan : schriftelijke vraag 6-1067 | Ook gesteld aan : schriftelijke vraag 6-1067 | ||||||||
| ________ | ________ | ||||||||
| Question n° 6-1068 du 25 octobre 2016 : (Question posée en néerlandais) | Vraag nr. 6-1068 d.d. 25 oktober 2016 : (Vraag gesteld in het Nederlands) | ||||||||
Je me réfère au projet No more ransom de la police néerlandaise, d'Europol, d'Intel Security et de Kaspersky Lab. Le projet offre une assistance aux internautes victimes de hackers qui prennent des fichiers en otage et exigent une rançon. Le site www.nomoreransom.org propose sept programmes en guise d'antidote aux techniques connues de verrouillage de fichiers ou d'ordinateurs. Le site permet aux victimes de déterminer de quel type de rançongiciel («ransomware») il s'agit et quels sont les remèdes possibles. Aux Pays-Bas, le projet anticybercriminalité «No more ransom» est déjà venu en aide à 2 500 personnes durant les deux mois qui ont suivi son lancement. Les victimes ont ainsi économisé 1,35 millions d'euros, selon la police. Le 8 juillet 2016, on a appris que 2 000 entreprises s'étaient déclarées victimes d'un rançongiciel, un logiciel qui bloque un ordinateur. L'utilisateur ne peut le débloquer qu'en payant une rançon. Les rançongiciels coûtent beaucoup d'argent à nos entreprises. Un nombre toujours croissant de pays s'associent à l'initiative. Il s'agit de la Bosnie, de la Bulgarie, de la Colombie, de l'Espagne, de la France, de la Hongrie, de l'Irlande, de l'Italie, de la Lettonie, de la Lituanie, du Portugal, du Royaume-Uni et de la Suisse. Quant au caractère transversal de la question: les différents gouvernements et les chaînons du système de sécurité sont d'accord sur les phénomènes contre lesquels il faudra lutter en priorité ces quatre prochaines années. Ils sont définis dans la note cadre de Sécurité intégrale et le Plan national de sécurité pour la période 2016-2019, et ont été débattus lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La présente question porte sur une compétence transversale régionale, le rôle des Régions étant surtout lié au volet préventif. Je souhaiterais une réponse aux questions suivantes: 1) Pouvez-vous indiquer combien de cas de rançongiciel ont été communiqués aux autorités ces trois dernières années? Le cas échéant, pouvez-vous ventiler ces chiffres entre les plaintes déposées par des entreprises et celles portées par des particuliers, puisque la Federal Computer Crime Unit a déjà diffusé les données relatives aux entreprises? Pouvez-vous estimer le préjudice économique? Disposez-vous de chiffres sur les dommages subis par notre économie en raison de rançongiciels? 2) Comment réagissez-vous au succès du projet No more ransom de la police néerlandaise, Europol, Intel Security et Kaspersky Lab? 3) Pouvez-vous dresser l'inventaire des projets concrets, préventifs et curatifs, que notre pays mène contre les rançongiciels? 4) Comment réagissez-vous à l'appel à s'associer à ce projet que le Centre européen de lutte contre la cybercriminalité lance à tous les services policiers nationaux? Pouvez-vous dire si notre pays y participera et préciser très concrètement le calendrier et le budget? |
Ik verwijs naar het « No more ransom » project van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab. Het project biedt internetters hulp als ze slachtoffer zijn geworden van hackers die bestanden gijzelen en losgeld vragen. Op de site www.nomoreransom.org worden nu zeven hulpprogramma's geboden tegen bekende technieken om bestanden of computers te versleutelen. Via de site kunnen slachtoffers achterhalen om wat voor ransomware het gaat en wat ze ertegen kunnen doen. Het Nederlandse project « No more ransom » tegen computercriminaliteit heeft in de eerste twee maanden na de lancering al 2 500 mensen geholpen. Dat bespaarde de slachtoffers zo'n 1,35 miljoen euro, liet de politie weten. Op 8 juli 2016 raakte bekend dat al 2 000 bedrijven melding hebben gemaakt slachtoffer geworden te zijn van ransomware, software die een computer blokkeert. De gebruiker kan die blokkering enkel ongedaan maken na het betalen van losgeld (« ransom »). Ransomware kost onze bedrijven veel geld. Steeds meer landen sluiten zich bij het initiatief aan. Nieuwe leden zijn Bosnië, Bulgarije, Colombia, Frankrijk, Hongarije, Ierland, Italië, Letland, Litouwen, Portugal, Spanje, Zwitserland en het Verenigd Koninkrijk. Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten in de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Ik had dan ook graag een antwoord gekregen op de volgende vragen : 1) Kan u vooreerst meedelen hoeveel gevallen van ransomware werden meegedeeld aan de overheid op jaarbasis en dit voor de laatste drie jaar ? Kan u desgevallend de cijfers van aangifte opsplitsen tussen bedrijven en particulieren en dit gezien de Federal Computer Crime Unit reeds cijfers voor de bedrijven heeft vrijgegeven ? Kan u meedelen welke de economische schade is ? Beschikt u hier over enige cijfers erover voor ons bedrijfsleven tengevolge deze ransomware ? 2) Hoe reageert u op het succes van het project « No more ransom » van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab ? 3) Kan u oplijsten welke concrete projecten ons land heeft lopen tegen ransomware inzake preventie en remediërend ? 4) Hoe reageert u op de oproep van het Europese Centrum tegen cybercriminaliteit aan alle nationale politiediensten on zich aan te sluiten bij dit project ? Kan u meedelen of ons land zich gaat aansluiten bij dit project en kan u zeer concreet toelichten wat zullen de kalender en het budget zijn ? |
||||||||
| Réponse reçue le 24 novembre 2016 : | Antwoord ontvangen op 24 november 2016 : | ||||||||
Concernant vos questions relative au « ransomware », je renvoie l'honorable membre à mon collègue, le ministre de la Sécurité et l’Intérieur, ministre de tutelle de la police et de la Computeur Crime Unit (CCU), compétent en la matière. Pour ce qui relève de ma compétence, je viens d’adopter avec mes collègues européens le règlement européen 2016/679 sur la protection des données qui impose, à l’article 32, la mise en œuvre de mesures techniques et organisationnelles par le responsable du traitement et le sous-traitant afin de garantir un niveau de sécurité adapté au risque. Parmi celles-ci : la pseudonymisation et le chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique et une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. En outre, leur mise en œuvre dépend de l'état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques. Le respect de ces exigences peut être démontré par l’application d’un code de conduite ou d’un mécanisme de certification approuvé. L’article 35 du règlement européen impose en outre que pour les traitements à risque, le responsable du traitement et le sous-traitant effectuent une analyse d’impact relative à la protection des données, décrivant les mesures de sécurité. Cette analyse d’impact doit être communiquée à la Commission de la protection de la vie privée, qui peut imposer des mesures de sécurité supplémentaire. Enfin, les articles 33 et 34 imposent au responsable du traitement et au sous-traitant de notifier dans les septante-deux heures aux autorités de protection des données et aux personnes concernées toute violation de données à caractère personnel, en indiquant les faits et les mesures prises pour y remédier. |
Ik verwijs het geachte lid met betrekking tot de vraag over « ransomware » naar mijn collega, de minister van Veiligheid en Binnenlandse Zaken, voogdijminister van de politie en van de Computer Crime Unit (CCU), die ter zake bevoegd is. In het kader van mijn bevoegdheden, heb ik samen met mijn Europese collega’s de Europese verordening 2016/679 betreffende de gegevensbescherming goedgekeurd. Conform artikel 32 ervan moeten de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het gaat onder meer om de pseudonimisering en de versleuteling van persoonsgegevens ; het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen ; het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen en een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Bovendien hangt de uitvoering ervan af van de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook voor de rechten en vrijheden van natuurlijke personen. De naleving van die voorwaarden kan worden bewezen door de toepassing van een gedragscode of van een goedgekeurd certificeringsmechanisme. In artikel 35 van de Europese verordening is overigens bepaald dat de verwerkingsverantwoordelijke en de verwerker voor de verwerkingen met een hoog risico een gegevensbeschermingseffectbeoordeling uitvoeren, met omschrijving van de veiligheidsmaatregelen. Die gegevensbeschermingseffectbeoordeling moet worden meegedeeld aan de Commissie voor de bescherming van de persoonlijke levenssfeer, die aanvullende veiligheidsmaatregelen kan opleggen. Overeenkomstig de artikelen 33 en 34 ten slotte, moeten de verwerkingsverantwoordelijke en de verwerker de toezichthoudende autoriteiten en de betrokkenen uiterlijk binnen tweeënzeventig uur melden dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, met vermelding van de feiten en maatregelen genomen om zulks te verhelpen. |