Comité I: België kwetsbaar voor cyberterreur
België heeft geen globaal beleid rond informatieveiligheid en dat maakt ons land zeer kwetsbaar voor aanvallen op vitale informaticasystemen en –netwerken. Dat staat in een rapport van Comité I, het vast comité van toezicht op de inlichtingen- en veiligheidsdiensten.
In zijn jaarlijks rapport besteedt Comité I een slordige negen pagina’s aan onze vaderlandse informatieveiligheid. En omdat onze inlichtingendiensten bijdetijds zijn, gaat het hier wel degelijk om IT-beveiliging, niet om aktetasjes met een dubbele bodem.
De grote versnippering
In tegenstelling tot zijn buurlanden, beschikt België niet over een orgaan dat belast is met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspannningen niet coördineren. Het versnipperde veiligheidsbeleid is niet het enige probleem volgens Comité I, want de diensten zelf zijn nog eens ondergefinancierd.
[related_article id=”161920″]
Welke zijn nu de diensten die de informatieveiligheid behartigen en wat loopt er mis?
- Ministrieel Comité voor inlichtingen en veiligheid (MCIV) verantwoordelijk voor bestrijding van de bedreiging tegen informatiesystemen. Heeft nog geen concrete richtlijnen uitgewerkt.
- Federale Overheidsdienst ICT (FEDICT): verantwoordelijk voor beveiligen informatiesystemen van de federale administraties. Kreeg de taak om een lijst te maken van de kritieke informatica-infrastructuur in België.
- Nationale Veiligheidsoverheid (NVO): homologeert overheidssystemen die nationale of internationale geclassificeerde informatie verwerken, doorgeven of bewaren.
- BELNET: beheert het communicatienetwerk FEDMAN, verbindingen tussen de federale overheidsdiensten en het internet.
- CERT: Een waarschuwings- en reactiecentrum in de schoot van BELNET waarop overheidsinstanties en bedrijven een beroep kunnen doen wanneer ze het doelwit zijn van een elektronische aanval.
-
Algemene Dienst inlichtingen en veiligheid van de Krijgsmacht (ADIV): Het leger dus. Tot voor kort kon de ADIV geen elektronische tegenmaatregelen treffen in het geval van een cyberaanval. Maar sinds een wet van 2010 mag de ADIV aanvallen neutraliseren en de daders te identificeren. Ze mogen ook met een eigen cyberaanval reageren.
ADIV beheert ook FEDMAN-BINII, een variant op het FEDMAN-netwerk dat dient voor geclassificeerde informatie. -
Staatsveiligheid: heeft geen wettelijke opdracht om de IT-netwerken te beschermen en heeft niet de technische capaciteit om elektronische tegenmaatregelen te treffen.
Staatsveiligheid staat ook in voor de veiligheid van zijn eigen systemen, maar Comité I gaat daarvoor ook even aan de alarmbel hangen. De aanwerving van een IT-directeur is geblokkeerd door de Stafdienst Personeel en Organisatie van de FOD justitie en de Inspecteur van Financiën. Vooral dat laatste punt Comité I noemt de situatie ‘erg problematisch’.
Het rapport dateert al van mei 2012, maar als we de Staatsveiligheid om een reactie vragen klinkt het kort dat “de situatie tot nu toe dezelfde is”.
Het Comité I zegt dat het ontbreken van een globaal federaal beleid inzake informatieveiligheid ons land zeer kwetsbaar maakt voor aanvallen tegen zijn vitale informatiesystemen en netwerken. Er ontbreekt ook een centrale dienst die bevoegd is voor de beveiliging van IT-systemen. Geen van de instellingen heeft een volledig beeld van de problematiek.
Welke dreiging?
België is dus onvoldoende uitgerust om het hoofd te bieden tegen cyberaanvallen. Maar wie zou er ons in ‘s hemelsnaam aanvallen? En hoe gaan ze dat doen? En als ze ons aanvallen, welke schade kunnen ze ons berokkenen? Ook op die vragen heeft Comité I het antwoord neergepend in zijn verslag.
België heeft een heleboel interessante doelwitten voor cyberaanvallen. Er zijn de Europese instellingen, de hoofdkwartieren van de NAVO en SHAPE (commandocentrum van de NAVO-troepen), de Belgische publieke instellingen, onderzoeksinstituten en hoogtechnologische bedrijven. Alleen daarvoor meent de Staatsveiligheid dat de dreiging van cyberaanvallen ernstig genomen moet worden.
De aanvallen kunnen komen van een hele rist aan daders: buitenlandse mogendheden, zelfstandige individuen en groepen, klassieke cyberpiraten en de georganiseerde misdaad.
Een buitenlandse mogendheid waartegen het leger alvast geen maatregelen zal nemen, zijn de Verenigde Staten. De VS zijn een NAVO-partner en versterkte informatieverzamelingswetten zoals Patriot act zijn enkel gericht tegen vijanden van de VS. Toch neemt het leger het zekere voor het onzekere en raadt het aan om geclassificeerde informatie te versleutelen.
Mogelijke schade
Welke schade België kan ondervinden door cyberaanvallen, staat niet uitgelegd in het rapport. Maar als bijvoorbeeld het Belgische internet buiten werking wordt gesteld, heeft dat verstrekkende gevolgen voor de economie. Een cyberaanval is niet hetzelfde als een binnentrekkend leger, maar het kan toch grote impact hebben op de nationale veiligheid. Vraag maar aan Estland.
De oplossing voor de vaderlandse cyberkwetsbaarheid is volgens Comité I de oprichting van een agentschap dat de informatieveiligheid coördineert. Er moet ook één federaal plan komen over de strategie om te reageren op cyberterreur.
België heeft geen globaal beleid rond informatieveiligheid en dat maakt ons land zeer kwetsbaar voor aanvallen op vitale informaticasystemen en –netwerken. Dat staat in een rapport van Comité I, het vast comité van toezicht op de inlichtingen- en veiligheidsdiensten.
In zijn jaarlijks rapport besteedt Comité I een slordige negen pagina’s aan onze vaderlandse informatieveiligheid. En omdat onze inlichtingendiensten bijdetijds zijn, gaat het hier wel degelijk om IT-beveiliging, niet om aktetasjes met een dubbele bodem.
De grote versnippering
In tegenstelling tot zijn buurlanden, beschikt België niet over een orgaan dat belast is met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspannningen niet coördineren. Het versnipperde veiligheidsbeleid is niet het enige probleem volgens Comité I, want de diensten zelf zijn nog eens ondergefinancierd.
[related_article id=”161920″]
Welke zijn nu de diensten die de informatieveiligheid behartigen en wat loopt er mis?
- Ministrieel Comité voor inlichtingen en veiligheid (MCIV) verantwoordelijk voor bestrijding van de bedreiging tegen informatiesystemen. Heeft nog geen concrete richtlijnen uitgewerkt.
- Federale Overheidsdienst ICT (FEDICT): verantwoordelijk voor beveiligen informatiesystemen van de federale administraties. Kreeg de taak om een lijst te maken van de kritieke informatica-infrastructuur in België.
- Nationale Veiligheidsoverheid (NVO): homologeert overheidssystemen die nationale of internationale geclassificeerde informatie verwerken, doorgeven of bewaren.
- BELNET: beheert het communicatienetwerk FEDMAN, verbindingen tussen de federale overheidsdiensten en het internet.
- CERT: Een waarschuwings- en reactiecentrum in de schoot van BELNET waarop overheidsinstanties en bedrijven een beroep kunnen doen wanneer ze het doelwit zijn van een elektronische aanval.
-
Algemene Dienst inlichtingen en veiligheid van de Krijgsmacht (ADIV): Het leger dus. Tot voor kort kon de ADIV geen elektronische tegenmaatregelen treffen in het geval van een cyberaanval. Maar sinds een wet van 2010 mag de ADIV aanvallen neutraliseren en de daders te identificeren. Ze mogen ook met een eigen cyberaanval reageren.
ADIV beheert ook FEDMAN-BINII, een variant op het FEDMAN-netwerk dat dient voor geclassificeerde informatie. -
Staatsveiligheid: heeft geen wettelijke opdracht om de IT-netwerken te beschermen en heeft niet de technische capaciteit om elektronische tegenmaatregelen te treffen.
Staatsveiligheid staat ook in voor de veiligheid van zijn eigen systemen, maar Comité I gaat daarvoor ook even aan de alarmbel hangen. De aanwerving van een IT-directeur is geblokkeerd door de Stafdienst Personeel en Organisatie van de FOD justitie en de Inspecteur van Financiën. Vooral dat laatste punt Comité I noemt de situatie ‘erg problematisch’.
Het rapport dateert al van mei 2012, maar als we de Staatsveiligheid om een reactie vragen klinkt het kort dat “de situatie tot nu toe dezelfde is”.
Het Comité I zegt dat het ontbreken van een globaal federaal beleid inzake informatieveiligheid ons land zeer kwetsbaar maakt voor aanvallen tegen zijn vitale informatiesystemen en netwerken. Er ontbreekt ook een centrale dienst die bevoegd is voor de beveiliging van IT-systemen. Geen van de instellingen heeft een volledig beeld van de problematiek.
Welke dreiging?
België is dus onvoldoende uitgerust om het hoofd te bieden tegen cyberaanvallen. Maar wie zou er ons in ‘s hemelsnaam aanvallen? En hoe gaan ze dat doen? En als ze ons aanvallen, welke schade kunnen ze ons berokkenen? Ook op die vragen heeft Comité I het antwoord neergepend in zijn verslag.
België heeft een heleboel interessante doelwitten voor cyberaanvallen. Er zijn de Europese instellingen, de hoofdkwartieren van de NAVO en SHAPE (commandocentrum van de NAVO-troepen), de Belgische publieke instellingen, onderzoeksinstituten en hoogtechnologische bedrijven. Alleen daarvoor meent de Staatsveiligheid dat de dreiging van cyberaanvallen ernstig genomen moet worden.
De aanvallen kunnen komen van een hele rist aan daders: buitenlandse mogendheden, zelfstandige individuen en groepen, klassieke cyberpiraten en de georganiseerde misdaad.
Een buitenlandse mogendheid waartegen het leger alvast geen maatregelen zal nemen, zijn de Verenigde Staten. De VS zijn een NAVO-partner en versterkte informatieverzamelingswetten zoals Patriot act zijn enkel gericht tegen vijanden van de VS. Toch neemt het leger het zekere voor het onzekere en raadt het aan om geclassificeerde informatie te versleutelen.
Mogelijke schade
Welke schade België kan ondervinden door cyberaanvallen, staat niet uitgelegd in het rapport. Maar als bijvoorbeeld het Belgische internet buiten werking wordt gesteld, heeft dat verstrekkende gevolgen voor de economie. Een cyberaanval is niet hetzelfde als een binnentrekkend leger, maar het kan toch grote impact hebben op de nationale veiligheid. Vraag maar aan Estland.
De oplossing voor de vaderlandse cyberkwetsbaarheid is volgens Comité I de oprichting van een agentschap dat de informatieveiligheid coördineert. Er moet ook één federaal plan komen over de strategie om te reageren op cyberterreur.