|
|
de cybercriminaliteit
computercriminaliteit
gegevensbescherming
ministerie
| 26/2/2014 | Verzending vraag |
| 8/4/2014 | Antwoord |
Herkwalificatie van : vraag om uitleg 5-4717
Gelet op de recente actualiteit omtrent cybercrime kreeg ik graag een antwoord op de volgende vragen:
1. Kan u mij een update geven wat betreft cybercrime bij uw diensten? Zijn uw diensten reeds het slachtoffer geworden van hackers of cybercriminelen, en indien ja, hoe vaak?
2. Is het aantal cyberaanvallen op uw diensten toegenomen de laatste jaren? Kan u toelichten, ook met cijfers?
3. Indien uw diensten reeds aangevallen zijn, wat was de aard en impact van elk incident ? Werd er bijvoorbeeld informatie gestolen, een server aangevallen, een PC aangevallen, infrastructuur gesaboteerd, enz. ? Kan u uitvoerig toelichten?
4. Heeft u, gelet op de cyberaanvallen op bepaalde overheidsdiensten, maatregelen genomen om uw diensten beter te beschermen? Zo ja, welke maatregelen? Zo neen, waarom niet?
5. Indien er sprake is of zou zijn van een cyberaanval op uw diensten ,wat is de standaard afhandelingsprocedure?
6. Is men bij uw diensten al naar het parket moeten stappen omwille van een cybercrime, en hoe vaak? Kan u toelichten?
7. Zijn uw diensten of administratie verplicht om zulk een aanval te melden aan FEDICT of CERT? Waarom wel of niet?
8. Hoe realistisch acht u het dat uw diensten reeds aangevallen zijn door cybercriminelen, maar dat door hun flexibele en hoogtechnologische technieken deze onopgemerkt bleven?
Voor wat de Federale Overheidsdienst (FOD) Mobiliteit betreft:
Aangezien u verwijst naar de recente actualiteit is “cybercrime” in deze vragen geïnterpreteerd als gerichte aanvallen op onze diensten en niet de algemene ( virussen, malware, spyware , ..) bedreigingen. Voor deze laatste verwijs ik naar ons antwoord op uw vragen gesteld op 13 december 2012
1) Tot op heden hebben we nog geen (cybercrime) aanvallen gedetecteerd bij onze diensten
2) Neen , (zie ook vraag 1 ) Cijfers zijn niet beschikbaar
3) Niet van toepassing
4) Onze maatregelen zijn gebaseerd op de ISO 27002 aanpak .Dit pakket van maatregelen heeft tot doel de veiligheid van informatie te verzekeren. Daarnaast proberen we afwijkende gedragingen in het netwerk te detecteren om eventuele nog niet geïdentificeerde aanvallen op te sporen
5) We spreken in dit geval van een emercency procedure in plaats van een standaard procedure. Wanneer een applicatie gecompromitteerd is zijn dit de belangrijkste stappen in de procedure :
De applicatie wordt zo snel mogelijk in quarantaine geplaatst en het is verboden tot nader bericht om eender welke wijziging aan te brengen aan de configuratie of aan de applicatie tot het onderzoek is afgelopen
Het Parket , Computer Emergency Response Team (CERT) en Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT) worden verwittigd
Ingeval het een business kritische applicatie betreft wordt er een nieuwe installatie voorzien om de dienstverlening te verzekeren tijdens de duur van het onderzoek .
6) Neen (zie antwoord 1 )
7) Elke gerichte gedetecteerde aanval op onze diensten wordt gemeld aan
Fedict en CERT om enerzijds andere diensten te waarschuwen en voor eventuele vraag voor support indien nodig
Het parket
8) De kans is reëel en wordt mede bepaald door de waarde van de gegevens die men op deze manier kan bemachtigen.
Voor wat de FOD Volksgezondheid en Leefmilieu betreft:
1) Het lokale netwerk wordt beschermd door een firewall die de netwerkconnecties reguleert van en naar het Internet. De toegang tot Internetwebsites wordt gefilterd door een proxy zodat toegang tot gekende ‘gevaarlijke’ sites worden geblokkeerd. Via SSLVPN worden slechts VPN-connecties toegelaten mits een op de PC aanwezige up-to-date actieve virusscanner. Onze servers die publieke/externe services aanbieden (publieke website, mail, applicaties zoals portahealth en absenteisme, …) worden afgeschermd door een reverse proxy. Op alle Windows machines is McAfee Antivirus en McAfee SiteAdvisor geïnstalleerd.
Er zijn nooit sporen van een gerichte aanval tegen ons waargenomen.
2) Het aantal detecties van de virusscan is gestegen. Er zijn daarvan geen historische data beschikbaar. Cijfers van aanvallen waargenomen door de netwerkbeveiligingsapparatuur (firewall, reverse proxy) zijn niet beschikbaar.
3) Er zijn geen incidenten bekend.
4) Er wordt steeds getracht om de software op de verschillende apparatuur up-to-date te houden. Verder wordt de antivirus op elke pc, zo goed mogelijk up-to-date gehouden, zowel de softwareversie als de virusdefinities.
Als antwoord op de meldingen in de pers van recente aanvallen en dreigingen bij andere instanties zijn er een aantal korte termijnmaatregelen genomen op netwerkniveau:
belangrijke netwerkbeveiligingsapparatuur is up-to-date gebracht, bepaalde security instellingen zijn nagekeken
de externe DNS is omgevormd tot een authorative DNS.
Er is een nieuwe toegangsregel geconfigureerd op de firewall en de edge devices. Deze regel kan worden geactiveerd in geval van een aanval die bezig is. Bij activatie blokkeert deze regel de overgrote meerderheid van IP-adressen uit het buitenland.
Er is een lijst opgesteld met contactdetails van instanties die geconsulteerd kunnen worden in geval van een aanval (Fedict, Rapid Response Team Checkpoint en CERT.be).
Op langere termijn zullen verdere acties worden ondernomen en de implementatie van een verdere beveiliging van het netwerk worden onderzocht:
Niet-triviale upgrades van netwerkapparatuur
Betere logging met analyse van netwerkactiviteit
Onderzoek naar bijkomende beveiligingsmodules (zoals AFM en ASM voor de reverse proxy (F5 BIG-IP))
Onderzoek naar een IPS/IDS oplossing
Onderzoek naar een oplossing voor de netwerktoegang voor mobiele toestellen
Afhankelijk van de beschikbare tijd en middelen zal dit leiden naar een betere beveiliging van het netwerk.
5) De aanval zal zo goed mogelijk met de beschikbare middelen worden gemitigeerd. De dienst belast met de Security op de FOD alsook Fedict zal op de hoogte worden gebracht en gevraagd om bijstand en advies.
Er wordt momenteel gewerkt aan een procedure voor het beheer van veiligheidsincidenten (volgens de beginselen van ITIL V3) inclusief escalatieprocedures, standaardresolutieschema’s, het inroepen van de hulp van een IRT (incident response team)
6) Neen.
7) De veiligheidsadviseur van onze FOD vraagt melding te maken van elk security-incident. Deze dienst handelt dit verder af.
De FOD is niet verplicht om veiligheidsincidenten te melden aan FedICT of CERT, er bestaat geen enkele bindende wet.
De wetgevingen Rijksregister, KBO, e-Health en FediCT daarentegen leggen een verplichte rapportering aan het Directiecomité van de FOD door de Veiligheidsadviseur op
Incidenten die betrekking hebben op gegevens die vallen onder de toepassing van de wetgevingen KBO, e-health, reach en biociden worden, in toepassing van specifieke veiligheidsnomren, gemeld aan de desbetreffende centraliserende organismen (KBO/e-Health of ECHA)
Meer in het algemeen en in overeenstemming met de principes van een goed informatieveiligheidsbeheer (ISO 27xxx normen), zouden veiligheidsincidenten in de toekomst systematisch moeten gemeld worden aan de betrokken partners.
8) Het is mogelijk dat er aanvallen of pogingen geweest zijn op onze diensten. Er werden echter geen uitvallen noch disfuncties vastgesteld noch gemeld, noch door de systeembeheerders noch door de gebruikers
Voor wat de FOD Economie betreft:
Wat betreft de FOD Economie, ..., Middenstand en Energie, verwijs ik het geachte lid naar het antwoord van mijn collega, de vice-eerste minister en minister van Economie, Consumenten en Noordzee, op de vraag nr. 5-9900.