SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
5 mai 2022 5 mei 2022
________________
Question écrite n° 7-1599 Schriftelijke vraag nr. 7-1599

de Rik Daems (Open Vld)

van Rik Daems (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, des Institutions culturelles fédérales, adjoint au Premier ministre

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, de Federale Culturele Instellingen, toegevoegd aan de Eerste minister
________________
Hôpitaux - Cyberattaques - Préjudice financier - Continuité des soins - Chiffres et tendances - Protection de la vie privée - Cybersécurité - Secteur de la santé - Protection - Approche - Mesures Ziekenhuizen - Cyberaanvallen - Financiële schade - Continuïteit van zorg - Cijfers en tendensen - Privacy - Cybersecurity - Zorgsector - Beveiliging - Aanpak - Maatregelen 
________________
établissement hospitalier
sécurité des systèmes d'information
guerre de l'information
statistique officielle
criminalité informatique
ziekenhuis
informatiebeveiliging
informatieoorlog
officiële statistiek
computercriminaliteit
________ ________
5/5/2022Verzending vraag
(Einde van de antwoordtermijn: 9/6/2022)
9/6/2022Antwoord
5/5/2022Verzending vraag
(Einde van de antwoordtermijn: 9/6/2022)
9/6/2022Antwoord
________ ________
Aussi posée à : question écrite 7-1596
Aussi posée à : question écrite 7-1597
Aussi posée à : question écrite 7-1598
Aussi posée à : question écrite 7-1596
Aussi posée à : question écrite 7-1597
Aussi posée à : question écrite 7-1598
________ ________
Question n° 7-1599 du 5 mai 2022 : (Question posée en néerlandais) Vraag nr. 7-1599 d.d. 5 mei 2022 : (Vraag gesteld in het Nederlands)

Aux Pays-Bas, de nombreux hôpitaux semblent encore vulnérables face aux cyberattaques. La menace des logiciels rançonneurs s'accroît même si les établissements de soins sont de plus en plus conscients des dangers qu'elle représente (cf. https://www.nu.nl/tech/6178900/ziekenhuizen kwetsbaar voor cyberaanval wachten totdat het misgaat.html).

Un logiciel rançonneur a pour effet de crypter les fichiers et les systèmes. Il exige ensuite le paiement d'une rançon pour rendre ceux-ci à nouveau accessibles. Lorsque des pirates informatiques (hackers) paralysent les systèmes hospitaliers, il peut arriver qu'il faille transférer les patients vers d'autres sites ou annuler des interventions.

Les hôpitaux emploient des experts dans le domaine des technologies de l'information et de la communication, mais ceux-ci n'ont généralement pas assez de connaissances ni de temps pour surveiller activement le réseau et détecter la présence éventuelle de pirates informatiques. À cela s'ajoute le fait que de nombreux hôpitaux utilisent des équipements obsolètes dont les fournisseurs n'assurent parfois plus la maintenance. Faute de mise à jour, ces équipements sont vulnérables face aux cyberattaques.

Dans le monde, le nombre de cyberattaques contre des hôpitaux a augmenté d'environ 45 % en deux mois l'année dernière. C'est ce que rapporte Check Point, le fournisseur de services de cybersécurité. En Belgique, près de 65 % de tous les hôpitaux ont déjà subi une tentative de piratage numérique. (cf. https://www.computable.be/artikel/nieuws/zorg/7124027/5440850/twee derde belgische hospitalen kreeg cyberaanval.html).

La raison pour laquelle les hôpitaux sont dans la ligne de mire des cybercriminels ces derniers mois est simple : ils sont des cibles de choix parce qu'ils sont enclins, dans le contexte actuel, à répondre plus rapidement aux exigences des logiciels rançonneurs. La principale variante de logiciel rançonneur utilisée dans les attaques est «Ryuk», suivie par «Sodinokibi». Selon un expert en sécurité, c'est le signe que les pirates privilégient des attaques de logiciels rançonneurs ciblées et sur mesure plutôt que des campagnes de spams massives.

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes :

1) Pourriez-vous donner un aperçu du nombre d'hôpitaux qui ont été touchés par une cyberattaque ? Combien y en a-t-il eu au cours des cinq dernières années ? De quel type d'attaque s'agissait-il (DDOS, logiciel rançonneur, etc.) ? Quel est le montant total du préjudice financier estimé ? Dans combien de cas la continuité des soins de santé a-t-elle été mise en péril par une cyberattaque ?

2) Y a-t-il déjà eu des signaux indiquant que le secteur des soins de santé est à la traîne d'autres secteurs en termes de sécurité numérique ? Dans l'affirmative, de qui venaient ces signaux ? Quelle suite y a-t-on donné ?

3) De quel pays proviennent la plupart des attaques ? Combien de ces attaques trouvent leur origine en Belgique ? Quelles sont les méthodes les plus couramment utilisées ? Dans quel but ces actions sont-elles menées ? Peut-on discerner certains schémas ?

4) Hormis les attaques de logiciels rançonneurs, quels autres types d'attaques les hôpitaux ont-ils eu à subir ? Comment ont-ils réagi ? Les auteurs de ces actes ont-ils été arrêtés ? Dans l'affirmative, quelles furent leurs peines ?

5) Quels sont les plans de nos pouvoirs publics en vue de rendre nos infrastructures numériques plus résistantes aux attaques organisées ? Où en sont-ils actuellement dans la mise en œuvre de ces plans ? D'autres mesures sont-elles prévues? Ces plans portent-ils principalement sur les logiciels ou prévoient-ils aussi de renforcer ou de remplacer (renouveler) le matériel ? Pourquoi ?

 

In Nederland lijken veel ziekenhuizen nog steeds kwetsbaar te zijn voor cyberaanvallen. Hoewel de zorginstellingen zich steeds bewuster zijn van de gevaren, neemt tegelijkertijd de dreiging van gijzelsoftware toe (cf. https://www.nu.nl/tech/6178900/ziekenhuizen-kwetsbaar-voor-cyberaanval-wachten-totdat-het-misgaat.html).

Bij gijzelsoftware, ook wel «ransomware» genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken. Wanneer computerkrakers («hackers») systemen van ziekenhuizen platleggen, zou het bijvoorbeeld zo kunnen zijn dat patiënten naar andere locaties verplaatst moeten worden of operaties niet kunnen doorgaan.

Ziekenhuizen hebben wel experten in de informatie- en communicatietechnologie in dienst, maar vaak hebben zij niet voldoende kennis of tijd om actief te monitoren of er computerkraker op het netwerk zitten. Ook maken veel ziekenhuizen gebruik van verouderde apparatuur. Omdat deze apparaten verouderd zijn, worden ze niet altijd meer ondersteund door de leveranciers. Dat houdt in dat er geen geactualiseerde versie van de software meer wordt uitgebracht, wat de apparaten kwetsbaar maakt voor cyberaanvallen.

Het aantal wereldwijde cyberaanvallen op ziekenhuizen was vorig jaar op twee maanden tijd met zo'n 45 % gestegen. Dat meldt de cyberbeveiliger Check Point. In België heeft al zo'n 65 % van alle ziekenhuizen met een digitale kraakpoging te maken gehad (cf. https://www.computable.be/artikel/nieuws/zorg/7124027/5440850/twee-derde-belgische-hospitalen-kreeg-cyberaanval.html).

Dat specifiek ziekenhuizen de jongste maanden in het vizier lopen van cybercriminelen, heeft een eenvoudige reden: ze zijn aantrekkelijke doelwitten omdat ze in het huidige klimaat sneller bereid zijn om te voldoen aan de eisen van gijzelsoftware. De primaire gijzelsoftware-variant die wordt gebruikt bij de cyberaanvallen is «Ryuk», gevolgd door «Sodinokibi». Volgens een veiligheidsexpert bewijst dat de trend om meer gerichte en op maat gemaakte gijzelsoftware-aanvallen in te richten, in plaats van een massale spamcampagne te gebruiken.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Zou u een overzicht kunnen geven over het aantal ziekenhuizen dat getroffen is door een cyberaanval? Hoeveel zijn er dit in de jongste vijf jaar? Welke type aanval was dit (DDOS, gijzelsoftware-aanval, enz.)? Hoeveel bedraagt de totale geraamde financiële schade? In hoeveel gevallen is de continuïteit van de zorg in gevaar gekomen als gevolg van een cyberaanval?

2) Zijn er reeds signalen geweest die stellen dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Indien ja, van wie kwamen deze signalen? Hoe werd hierop gereageerd?

3) Vanuit welk land zijn de meeste aanvallen afkomstig? Hoeveel van dit soort aanvallen zijn afkomstig uit België? Welke methodes worden het meest gebruikt? Met welk doel worden deze acties opgezet? Zijn er patronen te onderscheiden?

4) Behalve gijzelsoftware-aanvallen, met welke andere soort aanvallen heeft men nog te maken gehad in de ziekenhuizen? Hoe werd hierop gereageerd? Werden de daders ooit gevat? Indien ja, wat waren hun straffen?

5) Welke plannen hebben onze overheden om onze digitale infrastructuren weerbaarder te maken tegen georganiseerde aanvallen? Hoe ver staan ze reeds hierin? Wat staat er nog gepland? Hangt dit grotendeels samen met de software, of wordt ook de hardware aangepakt of vervangen (vernieuwd)? Waarom?

 
Réponse reçue le 9 juin 2022 : Antwoord ontvangen op 9 juni 2022 :

1) à 4) Je laisse à mon collègue en charge de la Santé apporter une réponse à ces questions.

5) Chaque organisation, qu’elle soit publique ou privée, est responsable de sa propre cybersécurité. Toutefois, différentes mesures et initiatives sont prises entre autres par le Centre pour la cybersécurité en Belgique (CCB) qui joue un rôle de coordination.

Ainsi, des lignes directrices spécifiques aux institutions publiques (BSG – Baseline Security Guidelines) qui fournissent des indications minimales pour la mise en œuvre et l’évaluation d’un plan de sécurité de l’information ont été élaborées. Ces lignes directrices fournissent une assistance aux responsables du traitement des données, mais aussi aux consultants en sécurité, aux responsables du traitement des données et aux responsables informatiques.

En outre, pour rendre les différentes administrations, y compris les fournisseurs de services essentiels tels que les hôpitaux, plus résistants aux attaques, une gamme de services de cybersécurité tels que des formations et les tests de pénétration, sont mis à disposition.

Le CCB dispose également d’un système d’alerte précoce (Early Warning SystemEWS), à partir duquel il envoie aux services essentiels et aux principaux établissements de santé des alertes précoces et ciblées sur les principales vulnérabilités et menaces.

Le CCB prévoit d’offrir plusieurs de ces services d’alerte à toutes les organisations de notre pays dès la fin de cette année, par le biais d’un nouveau portail. Ainsi, toutes les entités impliquées dans les soins de santé en Belgique pourront en bénéficier.

En ce qui concerne les mesures futures, le CCB se prépare à mettre en œuvre la future directive européenne NIS2 sur les réseaux d’information, dont le texte est encore en cours de finalisation et devra être transposé au niveau belge. Cette directive va étendre les règles existantes pour les fournisseurs de services essentiels et les fournisseurs de services numériques, par rapport à la loi actuelle du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. Tous les établissements de santé de notre pays, de taille moyenne ou grande, devront à l’avenir se conformer aux nouvelles règles, qui incluent la gestion des cyberrisques et la notification des incidents. Bien que les nouvelles règles ne soient pas encore pour demain, le CCB s’efforce déjà de sensibiliser tous les acteurs concernés afin d’encourager le renforcement des cybercapacités, avant même que le cadre juridique ne change.

1) tot 4) Ik laat het aan mijn collega die bevoegd is voor Gezondheid over om deze vragen te beantwoorden.

5) Elke organisatie, of ze nu publiek of privaat is, is verantwoordelijk voor haar eigen cyberbeveiliging. Er worden echter verschillende maatregelen en initiatieven genomen, onder meer door het Centrum voor Cyberbeveiliging in België (CCB), dat een coördinerende rol speelt.

Zo zijn er specifieke richtsnoeren voor overheidsinstellingen (BSG – Baseline Security Guidelines) ontwikkeld, die minimumaanwijzingen bevatten voor de uitvoering en evaluatie van een informatiebeveiligingsplan. Deze richtsnoeren bieden bijstand aan verwerkingsverantwoordelijken, maar ook aan beveiligingsconsultants, gegevensverwerkers en IT-managers.

Om individuele overheden, met inbegrip van leveranciers van essentiële diensten zoals ziekenhuizen, beter bestand te maken tegen aanvallen, is bovendien een reeks diensten op het gebied van cyberbeveiliging beschikbaar, zoals opleiding en penetratietests.

Het CCB beschikt ook over een systeem voor vroegtijdige waarschuwing (Early Warning System – EWS), van waaruit gerichte vroegtijdige waarschuwingen worden verzonden voor belangrijke kwetsbaarheden en dreigingen voor kritieke diensten en belangrijke zorginstellingen.

Het CCB is van plan tegen het einde van dit jaar een aantal van deze waarschuwingsdiensten via een nieuw portaal aan alle organisaties in ons land aan te bieden. Zo kunnen alle entiteiten die in België bij de gezondheidszorg betrokken zijn, er hun voordeel mee doen.

Wat de toekomstige maatregelen betreft, bereidt het CCB zich voor op de tenuitvoerlegging van de toekomstige Europese richtlijn NIS2 betreffende de informatienetwerken, waarvan de tekst nog in de afrondingsfase verkeert en op Belgisch niveau zal moeten worden omgezet. Met deze richtlijn worden de bestaande regels voor aanbieders van essentiële diensten en aanbieders van digitale diensten uitgebreid ten opzichte van de huidige wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid. Alle gezondheidsinstellingen in ons land, zowel middelgrote als grote, zullen in de toekomst moeten voldoen aan de nieuwe regels, die onder meer betrekking hebben op cyberrisicobeheer en het melden van incidenten. Hoewel de tenuitvoerlegging van de nieuwe regels nog niet voor morgen is, werkt het CCB nu al aan de bewustmaking van alle belanghebbenden om de ontwikkeling van cybercapaciteiten aan te moedigen, zelfs voordat het rechtskader verandert.