Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-9021

van Nele Lijnen (Open Vld) d.d. 13 mei 2013

aan de minister van Financiën, belast met Ambtenarenzaken

Cybercrime - Gerichte cyberaanvallen - Websites van de federale overheid - Watering hole-techniek - Beveiliging - Restricties

computercriminaliteit
internetsite
elektronische overheid
gegevensbescherming

Chronologie

13/5/2013Verzending vraag
11/9/2013Antwoord

Vraag nr. 5-9021 d.d. 13 mei 2013 : (Vraag gesteld in het Nederlands)

Een recent rapport van het Amerikaanse bedrijf Symantec stelt dat in 2012 het aantal gerichte cyberaanvallen met 42 % is toegenomen. Het hoofddoel van die aanvallen is het stelen van intellectuele eigendom, waarbij vooral kleine en middelgrote ondernemingen (kmo's), de industrie en de overheidssector worden aangevallen. Is het doel van de criminelen niet noodzakelijk om info te stelen van die bedrijven, dan fungeren die bedrijven als slachtoffer in een poging om grotere bedrijven aan te vallen. Dat gebeurt via de zogenaamde "watering hole"- techniek. Een cybercrimineel plant een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die men eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een trojan of malware. Vervolgens kan de crimineel in de pc's of website van de organisatie die hij eigenlijk wilde binnendringen. De aangevallen website van het bedrijf is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.

Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dat klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidsector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, wel de kleinere die er nauw mee samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van die bedrijven aangevallen, wel de administratie die toegang heeft tot de documenten.

Graag had ik de geachte minister volgende vragen gesteld:

1) Zijn er in het verleden al websites van de federale overheid het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de federale overheid reeds gebruikt als "tussenpersoon", of heeft hij weet van instanties waarbij overheidspc's werden besmet na het bezoeken van een besmette website?

2) Indien ja, kan hij toelichten met cijfers over de voorbije 5 jaar?

3) Indien neen, zijn de diensten die waken over de veiligheid van die websites in staat om dergelijke inbreuken zoals de watering hole- techniek vast te stellen?

4) Welke lessen heeft hij getrokken uit de massale virusaanval in februari 2012 bij zijn Federale Overheidsdienst (FOD) ? Zijn er daarna maatregelen getroffen om zulke zaken in de toekomst te pogen te voorkomen?

5) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het overheidspersoneel in het algemeen zowat alle websites bezoeken? Kan hij toelichten? Indien er restricties zijn, is dat omwille van de cyberveiligheid of de productiviteit?

6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Is hij daar een voorstander van?

7) Wanneer op een pc van de overheid een trojan, malware, … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?

Antwoord ontvangen op 11 september 2013 :

1)     De websites van Federale Overheidsdienst (FOD) Financiën zijn niet besmet geweest volgens de "watering hole" techniek, noch volgens enige andere techniek voor het stelen van informatie van de bezoekers van de site, en deze werden dus niet als “tussenpersoon” gebruikt.                          

De toegang tot de gevoelige servers van FOD Financiën wordt beschermd met een firewall en het pc-park wordt beschermd met antivirussoftware.  

2)     Geen. 

3)     De automatische detectie- en preventiesystemen zijn enkel in staat om bekende soorten besmettingen te voorkomen. Zij blijven mogelijks kwetsbaar voor recente infectietechnieken. 

4)     Er zijn strenge en specifieke maatregelen genomen om het risico op een nieuwe besmetting te beperken (beperking van afwijkingen, beperking op het delen van schijven, enz.) Daarnaast werd de infrastructuur voor het updaten van antivirussoftware aangepast om de implementatie van de updates te kunnen versnellen, rekening houdend met het aantal werkstations.  

5)     Het World Wide Web is een kostbare informatiebron voor een groot aantal activiteiten van FOD Financiën. Er werd dan ook besloten om toegang te verlenen tot dit hulpmiddel aan alle ambtenaren en medewerkers van FOD Financiën. Er gelden echter een aantal beperkingen op de toegang tot het web, om verschillende redenen, onder andere :

De toegang wordt beperkt via in de veiligheidsinfrastructuur van het netwerk geïntegreerde filters die werken op basis van lijsten, onderverdeeld in categorieën, opgesteld door de editors van de filterprogramma’s; deze worden ook regelmatig bijgewerkt binnen FOD Financiën. 

Een beperkt aantal gebruikers heeft bredere toegangsrechten op basis van specifieke professionele behoeften. 

6)     Het centrale authentificatiesysteem voor de gebruikers van FOD Financiën vereist een regelmatige wijziging van het wachtwoord (om de zes maanden). Het centrale systeem vraagt de gebruiker dan gedurende een aantal dagen om zijn wachtwoord te wijzigen. Doet de gebruiker dat niet, dan heeft hij na het verstrijken van de termijn geen toegang meer. Bijkomende wijzigingen worden aanbevolen zodra er een vermoedelijk risico op identiteitsdiefstal is. 

7)     Een systematische wijziging van het gebruikerswachtwoord van zodra een infectie met malware wordt ontdekt is niet voorzien.

Het wijzigen van wachtwoorden wordt aanbevolen zodra er een vermoedelijk risico op identiteitsdiefstal is, op welke wijze ook.