BELGISCHE SENAAT
________
Zitting 2012-2013
________
23 mei 2013
________
SENAAT Schriftelijke vraag nr. 5-9083

de Martine Taelman (Open Vld)

aan de staatssecretaris voor Leefmilieu, Energie en Mobiliteit, toegevoegd aan de minister van Binnenlandse Zaken en Gelijke Kansen, en staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister
________
Cyberaanvallen - Nutsbedrijven - Maatregelen - Amerikaans rapport
________
computercriminaliteit
instelling van openbaar nut
elektriciteitsvoorziening
________
23/5/2013Verzending vraag
18/12/2013Rappel
21/2/2014Rappel
25/3/2014Antwoord
________
________
SENAAT Schriftelijke vraag nr. 5-9083 d.d. 23 mei 2013 : (Vraag gesteld in het Nederlands)

Het Amerikaanse stroomnet is kwetsbaar voor cyberaanvallen, die in de praktijk al plaatsvinden, aldus een uitgebreid onderzoeksrapport dat naar het Congres werd gezonden. Eén nutsbedrijf ziet 10 000 aanvallen per maand, terwijl andere "utilities" dagelijks ook vele pogingen detecteren. Ongeveer 150 van die nutsbedrijven zijn in januari dit jaar ondervraagd.

Meer dan een dozijn van de nutsbedrijven meldt dat het "dagelijks", "constant" of "frequent"met cyberaanvallen te maken heeft. Hieronder ook één stroombedrijf dat claimt 10 000 aanvalspogingen per maand te ondergaan. De ondervraagde firma's en overheidsnutsinstanties hebben geen gewag gemaakt van schade die mogelijk is geleden door de vele aanvallen. De toenemende automatisering en onderlinge connectiviteit van stroomnetten zorgt voor toenemende kwetsbaarheid, stelt het onderzoek. De toegenomen interconnectiviteit zorgt ervoor dat het grid kwetsbaarder is voor remote uit te voeren cyberaanvallen. Veel van de beheersystemen voor het Amerikaanse stroomnet zijn ook verbonden met internet, waar vandaan goedkoop en gemakkelijk aanvallen zijn uit te voeren

Graag antwoord op volgende vragen.

1) Hoe reageert de staatssecretaris op dit rapport? Is de situatie vergelijkbaar met ons land?

2) Kan de staatssecretaris aangeven of er in ons land reeds cyberaanvallen hebben plaatsgevonden jegens het stroomnetwerk en/of bepaalde nutsbedrijven. Zo nee, hoe verklaart hij dat? Zo ja, kan hij dat cijfermatig illustreren?

3) Is er sprake van een toename van cyberaanvallen op onze stroomvoorziening? Kan dat uitvoerig worden toegelicht?

4) Heeft er hieromtrent reeds overleg plaatsgevonden? Zo ja, met wie en wanneer vond het overleg plaats en wat waren de voornaamste conclusies? Zo neen, is dringende concertatie met de sector en de veiligheidsdiensten niet aangewezen?

5) Kan de staatssecretaris aangeven of en zo ja welke concrete maatregelen op til zijn om het risico van cyberaanvallen terug te dringen? Kan hij dat uitvoerig toelichten, naar inhoud en timing?

Antwoord ontvangen op 25 maart 2014 :

1, 2 en 3) Ik heb kennis genomen van het geachte lid vermelde rapport het geachte lid, dat online te raadplegen is via het artikel ‘VS vreest cyberaanvallen op stroomnet’ van 22 mei 2013 gepubliceerd op de webiste van www.webwereld.nl.

Niet alleen nutsbedrijven in de energiesector (elektriciteit en aardgas), maar de meeste ondernemingen die in verbinding staan met het internet worden blootgesteld aan talloze pogingen.

Om te voorkomen dat dergelijke pogingen lukken, investeren deze nutsbedrijven in talloze oplossingen, gaande van technische maatregelen, tot bepaalde bedrijfsprocessen en bewustmaking van het personeel.

Tot op heden zijn er nog geen geslaagde pogingen geweest bij deze nutsbedrijven in de energiesector (aardgas en elektriciteit).

Ook CERT.be, het federaal cyber emergency team dat werkt in opdracht van Fedict, heeft nog geen vrijwillige melding ontvangen over een incident waarbij er sprake was van een gerichte cyberaanval met als doel de werking van een nutsbedrijf (gas en elektriciteit) uit te schakelen.

Bij CERT kunnen alle bedrijven en organisaties kosteloos terecht om cyberincidenten (hacken van gegevens en netwerkinfrastructuur, cyberaanvallen, enz.) te melden. Dit team geeft advies om het incident zo snel mogelijk aan te pakken en coördineert met alle betrokken bedrijven of organisaties.

CERT beschikt over algemene cijfers over het aantal (vrijwillig) gemelde incidenten en deze cijfers kunnen opgevraagd worden.

4) Tot op heden werd over cyberaanvallen op nutsbedrijven binnen de elektriciteits-en gassector geen overleg georganiseerd.

Mocht het aangewezen zijn hierover een overleg te plegen, dan zou BELNIS als platform kunnen gebruikt worden. BELNIS is een instantie, die de federale instellingen in staat stelt om te overleggen over de uitdagingen op het vlak van informatieveiligheid en over wenselijke initiatieven in dit domein.

5) De Europese richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak ter bescherming van dergelijke infrastructuren te verbeteren werd in het Belgische recht omgezet naar de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren samen met het koninklijk besluit van 2 december 2011 betreffende de kritieke infrastructuren in de deelsector van het luchtvervoer.

De wetgeving voorziet vier sectoren waarbinnen de kritieke infrastructuren geïdentificeerd worden:

a. Energie

b. Vervoer

c. Financiën

d. Elektronische communicatie

De sectorale overheid bevoegd voor de aanduiding van de kritieke infrastructuren binnen de energiesector is de Algemene Directie Energie van de Federale Overheidsdienst (FOD) Economie.

Momenteel zijn de voorbereidingen voor de aanduiding van deze infrastructuren lopende. Wanneer de aanduiding definitief is, zal de sectorale overheid de aanduiding van zijn infrastructuur als kritieke infrastructuur aan de exploitant betekenen.

Binnen een termijn van 1 jaar zal de exploitant een beveiligingsplan uitwerken met het oog op het voorkomen, beperken en neutraliseren van de risico’s op verstoring van de werking of van de vernietiging van de kritieke infrastructuur door het op punt stellen van interne materiële en organisatorische maatregelen.

Bij de procedure van de uitwerking van een dergelijk plan, kan aan de hand van een risicoanalyse bestaande uit een identificatie van de voornaamste scenario’s van pertinente potentiële bedreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur, nagegaan worden of cyberaanvallen tot deze potentiële bedreigingen behoren.

Binnen dezelfde termijn zal de exploitant de interne beveiligingsmaatregelen implementeren voorzien in het beveiligingsplan.

Wat het beveiligingsplan betreft kan de inspectiedienst (AD Energie of FANC voor nucleaire sites) nagaan of de inhoud van dit plan minimaal voldoet aan de respectievelijke wetgeving (administratieve controle).