|
|
Cybercrime - Gerichte cyberaanvallen - Bedrijven - Websites van de federale overheid - Websites van overheidsbedrijven – Watering hole-techniek - Beveiliging
overheidsbedrijf
centrale overheid
computervirus
computercriminaliteit
computerpiraterij
elektronische overheid
internetsite
gegevensbescherming
| 13/5/2013 | Verzending vraag |
| 18/9/2013 | Rappel |
| 12/11/2013 | Rappel |
| 13/12/2013 | Herkwalificatie |
| 16/1/2014 | Antwoord |
Geherkwalificeerd als : vraag om uitleg 5-4553
In een recent rapport stelt het Amerikaanse bedrijf Symantec dat het aantal gerichte cyberaanvallen in 2012 met 42 % is toegenomen. Het hoofddoel van deze aanvallen is het stelen van intellectuele eigendom, waarbij kleine en middelgrote ondernemingen (kmo's), de industrie en de overheidssector vooral aangevallen worden. Is het doel van de criminelen niet per se om info te stelen van die bedrijven, dan fungeren de bedrijven als slachtoffer in een poging om grotere bedrijven aan te vallen. Dit via de zogenaamde "watering hole" techniek. Een cybercrimineel plant hierbij een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die hij eigenlijk wil treffen. Nietsvermoedende bezoekers van de geďnfecteerde site installeren zo bijvoorbeeld een "trojan" of "malware". Vervolgens kan de crimineel in de pc's of de website van de organisatie die hij eigenlijk wilde binnendringen. Het bedrijf waarvan de website wordt aangevallen is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.
Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dit klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidssector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, maar wel de kleinere die nauw met hen samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van deze bedrijven aangevallen, maar wel de administratie die toegang heeft tot de documenten.
Graag had ik de minister volgende vragen gesteld:
1) Zijn er in het verleden al websites van de federale overheid of overheidsbedrijven het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de overheid(sbedrijven) reeds gebruikt als "tussenpersoon", of heeft u weet van instanties waarbij overheidspc's werden besmet na het bezoeken van een besmette website?
2) Zo ja, kan de minister dit toelichten met cijfers over de afgelopen vijf jaar?
3) Zo niet, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken zoals de watering hole techniek vast te stellen?
4) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het personeel in het algemeen zowat alle websites bezoeken? Kan de minister dat toelichten?
5) Indien er restricties zijn, is dat omwille van de cyberveiligheid of de productiviteit?
6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Is de minister hier een voorstander van?
7) Wanneer op een pc van de overheid een "trojan", "malware", … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot ) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?
Wat betreft de Federale Overheidsdienst (FOD) Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking valt deze vraag valt onder de bevoegdheden van de minister van Buitenlandse Zaken, aangezien het dagelijks beheer van het departement hieronder valt.
Wat betreft de Programmatorische Overheidsdienst (POD) Maatschappelijke Integratie valt deze vraag onder de bevoegdheid van de Staatssecretaris voor Asiel en Migratie, Maatschappelijke Integratie en Armoedebestrijding, aangezien het dagelijks beheer van het departement hieronder valt.
Wat betreft de Nationale Maatschappij der Belgische Spoorwegen (NMBS)-groep:
1. 2. en 3. ICTRA heeft als ICT-dienst van de NMBS-Holding geen kennis van dergelijke incidenten maar kan dit ook niet volledig uitsluiten.
Momenteel zijn preventieve, detective en correctieve controles geïmplementeerd en zijn er continue verbeteringen voorzien om dit risico zo goed mogelijk te mitigeren.
4. en 5. Binnen de NMBS groep is het de praktijk om het aantal bezoekbare websites technisch te beperken. Dit is in overeenstemming met de geldende wet- en regelgeving. Deze restricties worden ingesteld omwille van de cyberveiligheid en de productiviteit.
6. Het regelmatig resetten van wachtwoorden is een wijdverspreide praktijk bij de NMBS groep.
7. Wachtwoorden, gedefinieerd te ICTRA als "gecompromitteerd", worden zo spoedig mogelijk gereset en/of buiten dienst gesteld.
Wat betreft Belgacom:
1. Het gebeurt regelmatig dat personeelsleden van Belgacom een mail ontvangen die een link bevat naar een website met de bedoeling de pc's te besmetten. Nochtans zorgt Belgacom voor een permanente screening om cyberaanvallen en de schadelijke gevolgen ervan te voorkomen.
2. Tot nu toe werden aanvallen gedetecteerd en verijdeld door verschillende Belgacom-diensten. Belgacom beschikt over een gespecialiseerd team Belgacom Computer Security Incident Response Team (CSIRT) dat de preventie van cyberaanvallen en de interventies bij eventuele incidenten coordineert. CSIRT houdt statistieken bij van gedetecteerde of gemelde cyberaanvallen. Deze statistieken zijn vertrouwelijk en kunnen dus niet meegedeeld worden.
3. De door Belgacom zelf gerealiseerde en beheerde websites worden in principe beveiligd door een antivirussysteem.Om websites die voor haar werknemers toegangelijk zijn vanop hun pc te screenen op “malware” en “Trojan horses”, maakt Belgacom gebruik van Websense. Geïnfecteerde sites worden voor alle Belgacom-werknemers geblokkeerd.
4. en 5. De toegang tot het internet voor het personeel van Belgacom wordt beperkt om veiligheidsredenen en om websites met pornografische en racistische inhoud te blokkeren. Personeelsleden krijgen pas een persoonlijke toegang tot de sociale media nadat ze hiertoe de desbetreffende interne gedragspolicy onderschreven hebben.
6. Bij Belgacom moeten paswoorden regelmatig vernieuwd worden. Bovendien kunnen personeelsleden, indien zij dat wensen; hun paswoord wijzigen.
7. De interne procedures voorzien in de vervanging van een paswoord indien nodig. In principe detecteren de op de pc's geïnstalleerde antivirusprogramma's deze gevaren. Indien dat niet mogelijk is, wordt de gebruiker door de informaticahelpdesk verzocht om zijn pc opnieuw te installeren.
Wat betreft bpost:
1. Volgens de gegevens waarover het bedrijf beschikt, werden de websites van bpost niet gebruikt als tussenpersoon. Er zijn ook geen meldingen van derden die het slachtoffer van deze techniek zouden zijn geweest via de websites van bpost. bpost heeft ook geen weet van aanvallen tegen het bedrijf die deze techniek gebruikt zouden hebben.
2. Zonder voorwerp.
3. bpost neemt alle nodige maatregelen om zich te beschermen tegen allerhande vormen van “malware”. Het bedrijf gebruikt daarvoor de op de markt voorhanden zijnde software om zowel de PC’s en laptops als het interne netwerk en de servers voor de internetverbindingen te beschermen. Er wordt daarbij geen specifiek onderscheid gemaakt tussen de “watering-hole”-techniek waarvan hier sprake of andere “malware”. Deze beveiligingssoftware wordt dagelijks bijgewerkt.
4. Interne richtlijnen van bpost laten niet toe dat websites met volgende inhoud worden bezocht: pornografie, gokspelen, phishing, bronnen van spyware/malware, chat- of instant messaging, dating, sociale netwerken, potentieel ongewenste software, verdachte inhoud. Ook sites met “Spyware Effects / Privacy Concerns”, “Proxy Avoidance” and “Remote Access Tools” worden geweerd.
5. Dit gebeurt in de eerste plaats omwille van veiligheidsredenen maar een en ander vloeit ook voort uit de gedragscode voor personeelsleden van bpost.
6. De richtlijnen van bpost voorzien dat de paswoorden een zekere graad van veiligheid moeten hebben en in principe om de 90 dagen moeten gewijzigd worden.
7. Neen. Bij een infectie wordt de betrokken PC of laptop opnieuw geïnstalleerd. Login en paswoord kunnen geldig blijven tot de normale periode van 90 dagen verstreken is.