Mondelinge vraag inzake de cyberveiligheid

3 december 2012

Mondelinge vraag van mevrouw Karolien Grosemans aan de minister van Landsverdediging over "de cyberveiligheid" (nr. 14169)

Karolien Grosemans (N-VA): Mijnheer de minister, op maandag 19 november vond in de Koninklijke Militaire School in Brussel het colloquium “Cyberdefence, cyberthreats, cyberwar” plaats.

Op die studiedag gaven de sprekers, onder wie luitenant-kolonel Miguel De Bruycker van de militaire inlichtingendienst en de heer Alain Winants, administrateur-generaal van de Veiligheid van de Staat, een onthutsende uiteenzetting. Ook in de media schetsten die twee heren nadien het bedroevend beeld van de weerstand van de federale  overheidsdiensten  tegen  cyberaanvallen.  De computersystemen van de verschillende diensten zijn niet goed beschermd tegen aanvallen, ook niet die van Defensie. Men zou zich ook niet voldoende bewust zijn van die dreiging. Zelfs eenvoudige updates van reguliere software, zoals Acrobat Reader, worden onvoldoende consequent doorgevoerd en de belangrijkste vier beveiligingsmaatregelen die 85 % van alle aanvallen kunnen tegenhouden, gebruikt Defensie volgens De Bruycker niet eens. Dat maakt onze systemen bijzonder kwetsbaar.

Verschillende instanties, zowel binnen als buiten Defensie, houden zich bezig met  cyber defence. Het is hallucinant om te vernemen hoeveel het er zijn. Houd u even vast, ik geef snel een opsomming: ADIV, de Algemene Dienst Inlichtingen en Veiligheid; de VSSE, de Veiligheid van de Staat; OCAD, het coördinatieorgaan voor de dreigingsanalyse; het vast comité I; het ministerieel comité voor inlichtingen en veiligheid; CERT.be; de militaire CERT; de FCCU, Federale Computer Crime Unit en BELNIS. Verder gaat het om Fedict, de federale ICT-overheidsdienst, de NVO, de nationale veiligheidsoverheid van de FOD Justitie, het Belgisch Instituut voor Postdiensten  en  Telecommunicatie,  BelNET,  BIC-center, gebruikersorganisaties ISSA, ISACA, BELTUG, de beroepsvereniging LCEC en het BISSI.

Bovendien blijkt volgens N-VA-senator Karl Vanlouwe uit een navraag bij de verschillende betrokken overheidsdiensten dat er geen homogene visie bestaat over wie welke taak op zich neemt. Er is geen enkele instantie die duidelijk de leidersrol op zich neemt.

Daar zou nu verandering in komen, de regering is van plan om een centrum voor cyberveiligheid op te richten. Zowel de federale politie als Defensie zouden verder graag samenwerken met hackers om te leren hoe ze hun systemen beter kunnen beveiligen.

Mijnheer de minister, ik kom tot mijn vragen.

Ten eerste, in hoeverre worden onze kritieke infrastructuren van zowel overheid als privé op regelmatige wijze gescreend?

In 2007 stelde het Overlegplatform voor de informatieveiligheid het witboek voor een nationaal beleid van de informatieveiligheid op met een heleboel aanbevelingen. Welke aanbevelingen werden reeds in beleid omgezet en welke zitten er in de pijplijn?

Wat is de stand van zaken omtrent de oprichting van het centrum voor cyberveiligheid? Klopt het dat er nog geen politiek akkoord is en het minstens een jaar zal duren voor het centrum van start kan gaan? Over welke middelen zal het centrum beschikken? Op welke manier zal het een einde maken aan het fragmentarisch karakter van het Belgische cyber defense-beleid? Wat zal de verhouding van het centrum zijn tot de ADIV?

Wordt er ondertussen gewerkt aan de uitschrijving van procesbeschrijvingen die de bevoegdheden en middelen van elke instantie vastleggen?

In de commissievergadering van 31 januari kondigde u aan dat de defensiestaf de laatste hand legde aan een document over de cyberstrategie. Hoe ver staat men met dat document? Wanneer mogen we het verwachten?

Heeft Defensie de mogelijkheid om internationaal samen te werken op het vlak van communicatie en informatie? Zult u dit bijvoorbeeld bespreken of opnemen binnen het samenwerkingsverband van de Benelux-Ianden?

Moet er in de militaire opleiding niet meer aandacht naar  cyber defense gaan? Wat vindt u van het voorstel van generaal-majoor Testelmans om van  cyber defense een speciale opleiding aan de KMS te maken? Bestaan daar concrete plannen voor?

De ADIV kondigde voor volgend jaar een wedstrijd aan voor hackers, om op die manier meer specialisten warm te maken voor een carrière bij Defensie. Hoeveel extra mensen hoopt u op die manier te kunnen aannemen? Welke prijs is er aan de wedstrijd verbonden?

Kunt u er al iets meer over vertellen dan wat er in de pers verschenen is?

Pieter De Crem, ministre: Monsieur le président, je vais répondre aux questions successives de M. Lacroix, de M. Dallemagne et de notre collègue, Mme Grosemans.

Mevrouw Grosemans, in de eerste plaats verwijs ik naar de studiedag die  op  19 november 2012  heeft  plaatsgevonden  in  het conferentiecentrum van de KMS. Deze activiteit heeft natuurlijk als doelstelling, enerzijds, de doelgroepen te informeren en te sensibiliseren en, anderzijds, met deskundigen verder de nodige reflectie over een optimale aanpak te voeren.

Binnen het departement Defensie zijn de laatste jaren aanzienlijke inspanningen geleverd om onze eigen cybercapaciteit te verbeteren, mede dankzij gerichte aanwervingen en een aantal andere maatregelen. Onder deze noemer valt ook het initiatief van de organisatie van een zogenaamde wedstrijd. Doel van een dergelijke capture the flag-oefening is natuurlijk het creëren van een nationaal netwerk van veiligheidsdeskundigen, de zogenaamde security experts. Dit concept is niet nieuw of uniek. In Amsterdam was er dit jaar een gelijkaardige Hack in the Box-conferentie en in de Verenigde Staten zijn er meerdere dergelijke competities, zoals bijvoorbeeld de Net wars. De prijs voor de winnaar is een eervolle erkenning en eventueel een trofee. In dergelijke competities gaat het veeleer om de uitdaging dan om de prijs.

Omtrent de gerichte aanwerving heb ik in het Parlement in het verleden reeds een aantal mededelingen gedaan. Ik ben het Parlement trouwens ook dankbaar voor de steun die ik daarvoor heb gekregen. Ik denk bijvoorbeeld aan de BIM-wet, de wet betreffende de methodes voor het verzamelen van gegevens door de inlichtingen en veiligheidsdiensten, waarvan de totstandkoming in mijn politieke oriëntatienota  van  juni 2008  was  opgenomen  als  een beleidsdoelstelling.

Overeenkomstig een oude aanbeveling van het Vast Comité van Toezicht op de Inlichtingendiensten geeft de BIM-wet de militaire inlichtingendiensten expliciet de bevoegdheid om in het kader van cyberaanvallen op informatica- en verbindingssystemen van Defensie de aanval te neutraliseren en de daders te identificeren. De regelmatige screening van onze systemen wordt in dat licht voorzien. Uiteraard geldt ook voor onze systemen bedoeld om geclassificeerde informatie te kunnen bevatten een specifieke veiligheidsaudit.

Elke overheidsdienst is verantwoordelijk voor de bescherming en de controle van zijn eigen computernetwerk. Dat neemt echter niet weg dat er tussen overheidsdiensten ervaring en expertise worden uitgewisseld in gepaste fora.

Ik ben ook een groot voorstander van het sensibiliseren van de privésector voor de cyberdreiging. De privésector kan natuurlijk zelf ook bepaalde initiatieven nemen in deze aangelegenheden. Dit overstijgt natuurlijk het departement Defensie, maar bepaalde van onze wetenschappelijke en economische actoren moeten bijzondere aandacht krijgen van onze diensten.

Wat betreft de white paper inzake de informatieveiligheid, de in maak zijnde nationale strategie voor cyberveiligheid en de eventuele oprichting van een centrum voor cyberveiligheid, ligt de coördinatie van een en ander bij de eerste minister, daarin bijgestaan door zijn veiligheidsadviseur die overigens een van de sprekers was op de studiedag.

Indien u ondanks de inhoud van zijn lezing nog vragen heeft over de genoemde punten, meen ik dat de eerste minister daaromtrent moet worden ondervraagd.

(In het Frans:) Defensie beheert computernetwerken die gevoelige informatie en netwerken die geclassificeerde informatie verwerken. Dat zijn doelwitten voor cyberaanvallen. Cyberaanvallen  vormen  een rechtstreeks  risico  voor  de operaties en de veiligheid van het personeel van Defensie.

(In het Frans:) De informatie over de investeringen in middelen en offensieve capaciteit bij de Algemene Dienst Inlichting en Veiligheid is geclassificeerde  informatie. Defensie neemt deel aan werkgroepen vande NAVO en van Europese instellingen op het stuk van cyberaanvallen,  maar  een cyberoffensief  wordt  er  niet voorbereid.

(In het Frans:) De nieuwe cel voor het beheer van de cyberdefensie werd ingebed in de afdeling die verantwoordelijk is voor de veiligheid van de ITC-systemen van de ADIV. De ADIV zorgt voor het juridische kader; het Vast Comité van Toezicht op de inlichtingen-  en  veiligheidsdiensten, het Comité I, dat door de Senaat benoemd wordt, is belast met de controle.

Karolien Grosemans (N-VA): Mijnheer de minister, onze fractie zal aan de cyberdefensie blijvende aandacht schenken, omdat cybercriminaliteit ons erg kwetsbaar maakt en onze achillespees is. Wij hebben ter zake ook een achterstand ten opzichte van onze buurlanden.

Ik wou dat ik hier al naar details van het actieplan kon vragen. Ik krijg echter nog altijd dezelfde antwoorden die ik ook in 2011 al kreeg.

Het is zoals Miguel De Bruycker verklaarde: “Wij hebben een prachtig orkest, maar waar blijft de dirigent?” Wij blijven erop wachten. De vragen naar het grotere kader worden nog altijd gesteld.

Nochtans kan met een minimuminvestering een maximumresultaat worden gehaald. De slagkracht van ons leger kan echt wel worden vermenigvuldigd. U zou dit een force multiplier noemen, mijnheer de minister.

Wij moeten onze inspanningen in het dossier gevoelig verhogen. België is immers het enige, West-Europese land dat geen solide cyberveiligheidstrategie heeft. Het was ook het laatste land om een nationale CERT op te richten. Wij blijven op het vlak van de informatiebeveiligingstrategie stuntelen.

Minister Pieter De Crem: Mijnheer de voorzitter, mag ik daar nog iets aan toevoegen?

De voorzitter: Zeer zeker.

Minister Pieter De Crem:  Het  departement,  de departementsbeheerder en de Parlementsleden zijn hierin partners van elkaar.

(In het Frans:) Wij zijn elkaars partner. Ik heb voorgesteld  die  kwesties  te bespreken tijdens een volgende besloten vergadering met generaal Testelmans.

Het gaat over cyber in het algemeen. Wat staat er nu op de agenda in de commissie met gesloten deuren? Ten eerste, de operaties in het algemeen. Ten tweede, Afghanistan. Ten derde, cyber as a whole.