|
|
Cybercrime - Gerichte cyberaanvallen - Websites van de federale overheid - Wateringhole-techniek - Beveiliging - Restricties
computercriminaliteit
elektronische overheid
computervirus
centrale overheid
internetsite
computerpiraterij
gegevensbescherming
| 13/5/2013 | Verzending vraag |
| 26/7/2013 | Antwoord |
Ook gesteld aan : schriftelijke vraag 5-8991
Ook gesteld aan : schriftelijke vraag 5-8992
Ook gesteld aan : schriftelijke vraag 5-8995
In een recent rapport stelt het Amerikaanse bedrijf Symantec dat het aantal gerichte cyberaanvallen in 2012 met 42% is toegenomen. Het hoofddoel van deze aanvallen is het stelen van intellectuele eigendom, waarbij kmo's, de industrie en de overheidssector vooral aangevallen worden. Is het doel van de criminelen niet per se om info te stelen van die bedrijven, dan fungeren de bedrijven als slachtoffer in een poging om grotere bedrijven of de overheid aan te vallen. Dit via de zogenaamde "watering hole" techniek. Een cybercrimineel plant hierbij een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die hij eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een "trojan" of "malware". Vervolgens kan de crimineel in de pc's of de website van de organisatie die hij eigenlijk wilde binnendringen. Het bedrijf waarvan de website wordt aangevallen is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.
Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dit klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidssector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, maar wel de kleinere die nauw met hen samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van deze bedrijven aangevallen, maar wel de administratie die toegang heeft tot de documenten.
Graag had ik de ministers/staatssecretaris volgende vragen gesteld:
1) Zijn in het verleden al websites van de federale overheid het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de federale overheid reeds gebruikt als "tussenpersoon", of zijn gevallen bekend waarbij overheidspc's werden besmet na het bezoeken van een besmette website?
2) Zo ja, kan dit worden toegelicht met cijfers over de afgelopen vijf jaar?
3) Zo niet, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken zoals de watering hole techniek vast te stellen?
4) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het overheidspersoneel in het algemeen zowat alle websites bezoeken? Kan dit worden toegelicht?
5) Indien er restricties zijn, is dit omwille van de cyberveiligheid of de productiviteit?
6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Zijn de ministers/staatssecretarissen hier voorstander van?
7) Wanneer op een pc van de overheid een "trojan", "malware", … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?
1) Er zijn bij de Federale politie (FCCU) geen gevallen bekend waarbij in België personen in overheidsdiensten of bedrijven slachtoffer zijn geworden van watering hole techniek.
Dit is trouwens moeilijk vast te stellen gezien de bron van de infectie buiten de organisatie van de besmette werkpost ligt.
Er zijn bij de Federale politie geen gevallen bekend waarbij de website van een overheidsdienst als watering hole werd gebruikt.
2) Geen over de laatste 5 jaar. De techniek maakt slechts recentelijk opgang als infectiemethode.
3) Geen elementen van antwoord vanwege FCCU. De Federale Overheidsdienst (FOD) Justitie onderzoekt op dit moment hoe er kan omgegaan worden met de nieuwste types dreigingen, zowel technisch, organisatorisch als beleidsmatig, vanuit de eventuele opmaak van een risicoprofiel voor de organisatie.
4) Geen elementen van antwoord vanwege FCCU. Bij de FOD Justitie is er door het directie-comité gevalideerde en gecommuniceerde policy inzake mail- en internetgebruik. De technische implementatie is functie van een vijftal profielen waaronder elk personeelslid of lid van de magistratuur ressorteert.
5) Geen elementen van antwoord vanwege FCCU. Bij de FOD Justitie zijn de krachtlijnen van de internetpolicy vastgelegd in een gemeenschappelijk overleg tussen P&O en de stafdienst ICT. Zowel de interne netwerkbescherming als het welbevinden en de productiviteit van het personeel stond daarbij voorop.
6) Dit hangt van elke overheidsdienst apart af.
De beveiliging met paswoorden is een zwak systeem gezien malware kennis kan nemen van het wijzigen van paswoorden.
Het verplichten tot het wijzigen van paswoorden is goed voor zover het gaat over een beperkt aantal paswoorden en voor zover de termijn waarin dat moet gebeuren aangepast is aan het veiligheidsniveau.
Het feit dat een eindgebruiker steeds meer paswoorden dient bij te houden voor de verschillende diensten intern en extern het bedrijf, maakt dat het paswoordbeheer steeds moeilijker wordt.
Dezelfde paswoorden worden vaak voor diverse toepassingen gebruikt waardoor de veiligheid van al die systemen in het gedrang komt zodra er voor één van die toepassingen het paswoord kan worden achterhaald.
Het is aangewezen dat er wordt overgeschakeld naar betere beveiliging waarbij kan worden gedacht aan het gebruik van de eID om de toegang tot toepassingen en systemen te beveiligen.
7) Dit hangt van elke overheidsdienst apart af. De FCCU stelt wel vast dat in veel overheidsdiensten een duidelijke incidentafhandelingsprocedure ontbreekt. De FOD Justitie heeft zopas een security-incident-afhandelingsprocedure geformaliseerd, in het kader van de uitbouw van een Information Security Management Systeem. Door dit project worden een aantal strategische applicaties geaudit vanuit het ISO27000-normenkader, uiteraard met als doel een significante verbetering te realiseren van de informaticabeveiliging.