SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2019-2020 Zitting 2019-2020
________________
15 juillet 2020 15 juli 2020
________________
Question écrite n° 7-628 Schriftelijke vraag nr. 7-628

de Yves Buysse (Vlaams Belang)

van Yves Buysse (Vlaams Belang)

au ministre de la Sécurité et de l'Intérieur, chargé du Commerce extérieur

aan de minister van Veiligheid en Binnenlandse Zaken, belast met Buitenlandse Handel
________________
Cybercriminalité - Approche - «Quick Responsive Community» - «Quick Reaction Force» - Autres initiatives Cybercriminaliteit - Aanpak - «Quick responsive community» - «Quick Reaction Force» - Andere initiatieven 
________________
criminalité informatique
sécurité des systèmes d'information
guerre de l'information
computercriminaliteit
informatiebeveiliging
informatieoorlog
________ ________
15/7/2020Verzending vraag
(Einde van de antwoordtermijn: 13/8/2020)
11/8/2020Antwoord
15/7/2020Verzending vraag
(Einde van de antwoordtermijn: 13/8/2020)
11/8/2020Antwoord
________ ________
Question n° 7-628 du 15 juillet 2020 : (Question posée en néerlandais) Vraag nr. 7-628 d.d. 15 juli 2020 : (Vraag gesteld in het Nederlands)

La lutte contre la cybercriminalité s'organise tant au niveau flamand (via la ministre de l'Emploi et de l'Économie et le ministre des Affaires intérieures) qu'au niveau fédéral.

La cybercriminalité est un phénomène qui prend une ampleur croissante et doit faire l'objet d'une lutte résolue. La Vlaamse ICT organisatie (V ICT OR) et Exello.net, l'organisation faîtière des directeurs généraux au sein des villes et communes, ont organisé le 27 février 2020 une journée d'étude à Aalter en Flandre orientale. Il a été proposé à cette occasion de mettre en place une «Quick Responsive Community». Ce nouveau réseau, qui permettrait de réagir directement en cas de cyberattaque, devrait communiquer les informations nécessaires pour que les démarches ad hoc soient mises en œuvre. Plus rapidement on réagit de manière adéquate, moindres seront les dégâts. Ce réseau combinerait deux réseaux existants, à savoir l'application «be alert» et le Partenariat local de prévention (PLP).

Monsieur le ministre, vous avez souligné, lors de cette journée d'étude, que les pouvoirs publics se mobilisaient déjà activement dans la lutte contre la cybercriminalité. La mise sur pied d'une «Quick Reaction Force», c.-à-d. une équipe capable d'intervenir rapidement en cas de cyberincident, serait bénéfique. Une attention particulière serait accordée aux infrastructures critiques et aux secteurs vitaux.

1) Avez-vous déjà pris des initiatives pour mettre en place cette «Quick responsive Community»? Dans la négative, quand prévoyez-vous de le faire?

2) A-t-on établi une liste des entreprises et/ou secteurs pour lesquels la «Quick Reaction Force» interviendrait?

3) La «Quick Reaction Force» a-t-elle déjà dû intervenir? Si oui, comment cette intervention a-t-elle pu être évaluée?

4) Comment est déterminé le nombre d'informaticiens dont cette équipe devrait être composée?

5) Quelles initiatives prenez-vous par ailleurs pour lutter contre la cybercriminalité?

 

De aanpak van en het voorbereiden op cybercriminaliteit wordt zowel Vlaams (via minister van Werk en Economie en minister van Binnenlands Bestuur) als federaal geregeld.

Cybercriminaliteit is een groeiend fenomeen en dient hard aangepakt te worden. De Vlaamse ICT-organisatie (V-ICT-OR) en Exello.net, de koepel van algemene directeurs in steden en gemeenten, organiseerden op 27 februari 2020 een kennisdag in de Oost-Vlaamse gemeente Aalter. Hierbij werd voorgesteld een nieuw netwerk op te starten, genaamd de «quick responsive community». Dit netwerk zou ervoor zorgen dat er na een cyberaanval direct gereageerd kan worden en zou de nodige informatie moeten geven om de juiste stappen te ondernemen. Hoe sneller gepast gereageerd kan worden, hoe minder groot de schade nadien zal zijn. Dit netwerk zou twee bestaande netwerken combineren, de be-alert app en de buurt informatienetwerken (BIN).

De geachte minister deelde op deze kennisdag mee dat de overheid al sterk inzet op de strijd tegen cybercriminaliteit. Een nieuwe ontwikkeling, de «Quick Reaction Force», een responsteam dat snel kan tussenkomen bij cyberincidenten zou hierbij helpen. De focus zou hierbij liggen op kritieke infrastructuren en vitale sectoren.

1) Heeft de geachte minister al initiatieven genomen om deze «quick responsive community» op te starten? Zo nee, wanneer plant hij dit te doen?

2) Is er een lijst opgesteld van bedrijven en / of sectoren waarbij de «Quick Reaction Force» zou tussenkomen?

3) Is de «Quick Reaction Force» al eens moeten tussenkomen? Zo ja, hoe kon deze tussenkomst geëvalueerd worden?

4) Hoe wordt er bepaald uit hoeveel IT-ers dit team zou moeten bestaan?

5) Welke andere initiatieven neemt hij om cybercriminaliteit tegen te gaan?

 
Réponse reçue le 11 aôut 2020 : Antwoord ontvangen op 11 augustus 2020 :

1) Bien que la «quick responsive community» et la «Quick Reaction Force» se présentent de manière similaire, il est important de souligner la différence entre les deux initiatives.

La«quick responsive community» semble viser à accroître la cybersécurité des administrations publiques ou des entreprises en partageant et en diffusant les informations de manière harmonieuse. Dans le jargon professionnel, on parle d’ «indicators of compromise» (IoC) ou indicateurs à l’aide desquels on peut détecter (ou empêcher) qu’un réseau soit compromis.

Comme il s’agit d’accroître la cybersécurité, cela relève du domaine du Centre pour la cybersécurité en Belgique (CCB) que de celui de la police intégrée. L’honorable membre est également prié d’adresser cette question à la première ministre, sous l’autorité de laquelle relève le CCB.

La «Quick Response Force» (QRF), d’autre part, est une initiative au sein de la police fédérale qui a permis de créer un pool de fonctionnaires de police spécialisés pouvant être déployés en cas de cyber-incidents graves – avec un accent particulier sur les infrastructures critiques, les secteurs vitaux et les fournisseurs de services essentiels.

L’accent est mis ici sur l’exécution des tâches de police, en particulier la collecte d’un maximum de d’éléments de preuves pour permettre des enquêtes plus approfondies et ainsi lutter contre la cybercriminalité.

2) La mise en place de la QRF entre dans le cadre de la classification fournie par le plan d’urgence cybernétique du Centre pour la cybersécurité Belgique (CCB).

Les conditions suivantes s’appliquent à l’activation de la QRF:

– l’évènement répond à la définition d’une cyber-crise nationale;

– l’évènement répond à la définition d’une cyber-crise nationale et il existe des éléments qui nécessitent ou justifient une descente policière urgente;

– l’évènement répond à la définition d’un cyber-incident à petite échelle et il existe des éléments qui nécessitent une descente policière urgente et des compétences spécifiques dont ne dispose pas l’unité chargée de l’enquête sont requises pour les premières et urgentes constatations.

Pour cette classification, non seulement la nature de l’entreprise ou du secteur touché est importante, mais surtout l’impact social qu’un cyber-incident peut avoir.

Il arrivera donc souvent, par exemple, que la QRF puisse être déployée en cas d’incidents graves affectant des infrastructures critiques et / ou des secteurs vitaux, mais il n’est certainement pas question que la QRF intervienne pour chaque cas de ransomware dans une grande (ou moyenne) entreprise.

Il faut en outre rappeler que la QRF intervient toujours dans une finalité policière: aider les exploitants concernés à prendre des mesures correctives et / ou préventives est l’une des tâches d’autres partenaires de la chaîne de cyber sécurité, comme CERT.be.

3) À proprement parler, il n’y a eu aucun incident depuis la création de la Quick Reaction Force qui remplisse les conditions d’un déploiement (mise à l’échelle selon le plan de cyber-urgence).

Néanmoins, il y a eu une descente, concernant une attaque de ransomware dans une administration locale.

Lors d’une autre attaque de ransomware, une demande d’appui avait été formulée à la Computer Crime Unit régionale qui était chargée de l’enquête mais, finalement, aucune intervention de la QRF ne s’était avérée nécessaire.

Bien que le pool QRF fonctionne sur une base volontaire, une évaluation de ces cas a montré qu’il y avait une volonté et une capacité suffisantes pour pouvoir déployer le QRF à court terme. D’autre part, il va sans dire que des leçons pourraient également être tirées de cette première intervention.

4) Au sens strict, les termes «techniciens IT» ne sont pas fautifs, étant donné que les inspecteurs principaux spécialisés des Computer Crime Units ont tous une expérience IT, toutefois, il convient de préciser que la QRF se compose uniquement de fonctionnaires de police (ayant pleine compétence policière) et ne compte donc pas de personnel civil.

Lors de la mise en place de la QRF, un objectif de quinze membres de l’équipe a été défini. Sur la base des besoins et de la pratique opérationnels, il sera évalué en permanence si ce contingent est suffisant pour assurer les tâches de la QRF.

En outre, lors de la mise en place de la QRF, un inventaire a été fait des collaborateurs des différentes Computer Crime Units (tant fédérales que régionales) qui ont les compétences nécessaires pour enquêter sur la cybercriminalité dans des environnements de réseau complexes.

Sur la base de cette liste, le pool QRF a été mis en place sur une base volontaire avec l’accord des responsables hiérarchiques respectifs.

Le pool se compose actuellement de quinze collaborateurs, plus deux dirigeants chargés de la direction opérationnelle et de la gestion du pool.

5) La supervision, la coordination et la mise en œuvre de la stratégie belge en matière de cybersécurité relève de la compétence du Centre pour la cybersécurité (CCB)

Le Centre pour la cybersécurité a été fondé par l’arrêté royal du 10 octobre 2014. Le CCB relève de l’autorité du premier ministre.

1) Niettegenstaande de «quick responsive community» en de «Quick Reaction Force» gelijkaardig in de oren klinken, is het belangrijk het onderscheid tussen beide initiatieven aan te stippen.

De «quick responsive community» lijkt erop gericht te zijn om de cyberveiligheid van openbare besturen of bedrijven te verhogen door op een vlotte manier informatie te delen en verspreiden. In vakjargon spreekt men dan over «indicators of compromise» (IoC) oftewel indicatoren aan de hand waarvan kan worden gedetecteerd (of verhinderd) dat een netwerk gecompromitteerd raakt.

Vermits er hier sprake is van het verhogen van de cyberveiligheid, behoort dit tot het domein van het Centrum voor cybersecurity België (CCB) dan wel tot het domein van de geïntegreerde politie. Deze vraag dient het geachte lid dan ook te richten tot de eerste minister, onder wiens bevoegdheid het CCB valt.

De «Quick Response Force» (QRF) daarentegen is een initiatief binnen de federale politie waarbij een pool van gespecialiseerde politieambtenaren werd samengesteld die kan worden ingezet bij ernstige cyberincidenten – met specifieke aandacht voor kritieke infrastructuren, vitale sectoren en aanbieders van essentiële diensten.

De nadruk ligt hierbij op het uitvoeren van politionele taken, met name het maximaal verzamelen van de nodige bewijselementen om verder onderzoek mogelijk te maken en dus op het bestrijden van cybercriminaliteit.

2) De inzet van de QRF kadert binnen de classificatie voorzien in het cybernoodplan van het Centrum voor cybersecurity België (CCB).

Volgende voorwaarden zijn hierbij van toepassing voor de activatie van de QRF:

– de gebeurtenis beantwoordt aan de definitie van een nationale cyber crisis;

– de gebeurtenis beantwoordt aan de definitie van een nationaal cyber incident én er zijn elementen die een dringende politionele afstapping noodzaken of rechtvaardigen;

– de gebeurtenis beantwoordt aan de definitie van een kleinschalig cyber incident én er zijn elementen die een dringende politionele afstapping noodzaken én er zijn voor de eerste en dringende vaststellingen specifieke competenties vereist waarover de met het onderzoek belaste eenheid niet beschikt.

Voor deze inschaling zijn niet enkel de aard van het getroffen bedrijf of sector van belang, maar vooral ook de maatschappelijke impact die een cyberincident kan hebben.

Veelal zal het dus zo zijn dat bijvoorbeeld bij ernstige incidenten die kritieke infrastructuur en / of vitale sectoren treffen de QRF kan worden ontplooid, maar het is zeker niet zo dat de QRF zal afstappen voor elk geval van ransomware in een (middel)grote onderneming.

Bovendien dient ook te worden herhaald dat de QRF steeds tussenkomt met een politionele finaliteit: het bijstaan van de getroffen exploitant met remediërende en / of preventieve maatregelen behoort tot het takenpakket van andere partners in de cybersecurity keten, zoals CERT.be.

3) Er zijn sinds de oprichting van de Quick Reaction Force strikt genomen geen incidenten geweest die aan de voorwaarden voor een inzet voldeden (opschaling volgens het cybernoodplan).

Desalniettemin is er één afstapping geweest, inzake een ransomware-aanval bij een lokaal bestuur.

Bij een andere ransomware-aanval werd een steunaanbod geformuleerd naar de regionale Computer Crime Unit die belast was met het onderzoek, maar bleek er uiteindelijk geen afstapping van de QRF noodzakelijk te zijn.

Niettegenstaande de QRF-pool werkt op basis van vrijwilligheid, is bij evaluatie van deze cases vastgesteld dat er voldoende bereidwilligheid en capaciteit was om op korte termijn de QRF te kunnen ontplooien. Anderzijds spreekt het voor zich dat uit deze eerste tussenkomst ook lessen konden worden getrokken.

4) De term «IT-ers» is strikt genomen niet fout, vermits de gespecialiseerde hoofdinspecteurs van de Computer Crime Units allen een IT-achtergrond hebben, maar het dient te worden verduidelijkt dat de QRF enkel bestaat uit politieambtenaren (met een volledige politionele bevoegdheid) en dus geen burgerpersoneelsleden telt.

Bij het oprichten van de QRF werd een streefcijfer van vijftien teamleden gedefinieerd. Op basis van de operationele behoeften en praktijk zal permanent worden geëvalueerd of dit contingent volstaat voor het verzekeren van de QRF-taken.

Er werd bovendien bij het oprichten van de QRF overgegaan tot de inventarisatie van medewerkers van de verschillende Computer Crime Units (zowel federaal als regionaal) die over de nodige competenties inzake het onderzoeken van cybercrime in complexe netwerkomgevingen beschikken.

Aan de hand van deze lijst werd, op basis van vrijwilligheid en met akkoord van de respectievelijke hiërarchische verantwoordelijken, de QRF-pool samengesteld.

De pool bestaat momenteel uit vijftien medewerkers, plus twee leidinggevenden die instaan voor de operationele leiding en het beheer van de pool.

5) Het toezicht, de coördinatie en de uitvoering van de Belgische cyberveiligheidstrategie vallen onder de verantwoordelijkheid van het Centrum voor cybersecurity (CCB).

Het Centrum voor cybersecurity is opgericht bij koninklijk besluit van 10 oktober 2014 en staat onder het gezag van de eerste minister.