Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-10350

van Karl Vanlouwe (N-VA) d.d. 12 november 2013

aan de minister van Overheidsbedrijven en Ontwikkelingssamenwerking, belast met Grote Steden

Belgacom en de gevonden afluistersoftware bij de dochteronderneming BICS

Proximus
computercriminaliteit
gegevensbescherming
computervirus
Verenigde Staten
spionage
industriële spionage

Chronologie

12/11/2013Verzending vraag
28/11/2013Antwoord

Herkwalificatie van : vraag om uitleg 5-4000

Vraag nr. 5-10350 d.d. 12 november 2013 : (Vraag gesteld in het Nederlands)

Op 16 september kwam aan het licht dat Belgacom het slachtoffer is geweest van een cyberaanval waarbij gedurende minstens twee jaar bepaald communicatieverkeer werd afgeluisterd. De malware werd volgens de pers gevonden op "communicatiesystemen" van BICS. Belgacom International Carrier Services is een dochteronderneming van Belgacom. Belgacom heeft 57% van de aandelen ervan in handen, maar volgens andere bronnen belet dat niet dat BICS een redelijk geïntegreerd netwerk met Belgacom heeft. Volgens Belgacom was er geen impact op de routers en de switchen terwijl uit persartikels bleek dat de indringers de volledige controle hadden over die kritische netwerkinfrastructuur. Dat vermoeden werd eveneens bevestigd door in Der Spiegel gepubliceerde slides die afkomstig zijn van NSA-klokkenluider Edward Snowden.

BICS is wereldleider in het onderhouden van internationaal communicatieverkeer tussen internationale telecommunicatieoperatoren. De hackers hadden het in de eerste plaats gemunt op de activiteiten van BICS in onder andere Jemen, Somalië en Iran. Volgens Der Spiegel werd de operatie in 2010 uitgevoerd door een cel van de NSA die ook verantwoordelijk was voor een hele serie andere grote aanvallen en infiltraties. Het werd ook duidelijk dat het de bedoeling was om het mobiel telefoonverkeer van targets te kunnen blijven volgen wanneer die reisden.

De tegenstrijdige berichten, de lekken en de publicatie van verschillende slides in Der Spiegel waarin sprake is van de operatie, noodzaken me toch enkele pertinente vragen te stellen over de onthullingen.

Mijn vragen aan de minister zijn:

1) Kan de minister bevestigen dat de aanval is gestart in 2010 zoals in de slides van de NSA vermeld staat? Kan de minister bevestigen dat het om een geval van cyberspionage gaat waarbij enkel bepaalde gegevens werden gemonitord en dat er geen hacking of sabotage op het netwerk heeft plaatsgevonden?

2) Kan de minister bevestigen dat Belgacom - zoals in de pers staat - in 2012 de eerste indicaties van problemen op het netwerk kreeg en dat pas op 20 juni 2013 het virus als de oorzaak werd aangeduid? Kan de minister uitleggen waarom het er zoveel tijd is verstreken tussen de eerste problemen en de uiteindelijke ontdekking?

3) Kan de minister uitleggen wanneer het management op de hoogte is gebracht van eventuele problemen in 2012 en van de ontdekking van het virus in 2013 ? Wanneer werden de security officer en de risk officer op de hoogte gebracht ? Welke toegang hebben de security officer en de risk officer tot het management en wat zal er organisatorisch veranderen op dat vlak ?

4) Kan de minister uitleggen hoe men het bedrijf of de bedrijven heeft geselecteerd die de opkuis en analyse instaan ?

5) De weerslag op de beurskoers van Belgacom is gelukkig beperkt gebleven. Heeft Belgacom een specifieke - al dan niet geheime - mededeling gedaan aan de belangrijkste aandeelhouders? Hoe reageren de grootste aandeelhouders, partners en klanten van Belgacom en welke garanties heeft Belgacom moeten bieden?

6) Welke inspraak heeft de federale overheid in BICS en wie vertegenwoordigt de federale overheid bij BICS? Wie zijn de andere aandeelhouders, en hoe reageren ze op de onthullingen?

7) Kan de minister uitleggen hoe Belgacom dat zelf een veiligheidsbedrijf heeft, dat zelf partner is in heel veel hoogstaande en specifieke veiligheidsproducten en dat enorm veel reclame maakt met betrekking tot veiligheid, op dergelijke manier totaal wordt overgenomen dat de inbrekers - volgens de pers - bijna alle administratieve paswoorden konden gebruiken?

8) Belgacom is ook eigenaar van Telindus, dat het ICT-en telefoonverkeer regelt voor publieke en private personen, zowel in het binnen- als in het buitenland. Wordt er bij Telindus ook uitgekeken naar malware? Is het Telindus-netwerk eveneens verbonden met het getroffen BICS-netwerk?

9) Zal de minister Belgacom strengere veiligheidsvereisten opleggen alsook een verplichte externe veiligheidstest gezien het strategisch kritisch belang van het bedrijf? Moet het BIPT die strenge vereisten en de verplichte test niet uitbreiden tot alle grote Belgische telecombedrijven die een kritische impact of belangrijke klanten hebben ?

10) Kan de minister inlichtingen geven over de stand van zaken in het onderzoek door de privacycommissie? Kan de heer minister uitleggen waarom Belgacom verklaart dat de aanvallen geen impact hadden op de klantengegevens als in de pers staat dat de indringers toegang hadden tot de routers, switches, servers en computers van de netwerkbeheerders? Is Belgacom zeker dat onder de targets van de operatie geen Belgen waren ?

11) Wat is de opinie van de minister indien wordt bevestigd dat de operatie werkelijk is uitgevoerd vanop een spionagebasis op Brits grondgebied die grotendeels betaald en bemand wordt door de Amerikaanse overheid en zich in eerste instantie richt op het Europese vasteland? Heeft onze regering de Britse en Amerikaanse regering om uitleg gevraagd? Welke stappen overweegt de minister om dit ernstig incident op supranationaal niveau (EU, Navo, … ) aan te kaarten?

12) Belgacom verklaarde dat het BIPT met de andere Belgische netwerken over de technische details van de aanval communiceert. De volgende dag verklaarde de FCCU dat zij die rol op zich neemt. In hoeverre loopt die communicatie al en in welke mate beantwoordt ze aan de concrete behoeften van de veiligheidsverantwoordelijken van de andere netwerken ?

13) Tot voor kort werd de malware op de Windows-pc's van Belgacom slechts door een beperkt aantal antivirusprogramma's ontdekt. Microsoft zelf heeft geen informatie gepubliceerd over die malware en volgens sommigen is hij zelfs geklasseerd als militair geheim. Kan de minister garanderen dat de andere veiligheidsfirma's ook op de hoogte werden of worden gebracht van de kenmerken van de malware zodat ook zij hem automatisch kunnen ontdekken ?

14) Werd dat virus reeds op andere netwerken in België ontdekt ? Ging het om dezelfde malware als de malware die eind vorig jaar op het netwerk van de Belgische militairen werd ontdekt ?

15) Hoever staat het met de oprichting van het Centrum voor Cyberveiligheid? Wanneer worden de nodige fondsen vrijgemaakt?

16) Is het BELNIS-platform al samengekomen over die afzonderlijke onthullingen? Is BELNIS sinds de cyberlekken van de week van 16 september al samengekomen om de strategieën te bespreken?

17) Heeft uw departement geijverd om de interne computersystemen van alle overheidsdiensten te laten screenen op malware? Is al met die screening begonnen sinds de recente onthullingen? Hoe verloopt die operatie en wie coördineert ze?

18) Zal de minister een vergadering - eventueel achter gesloten deuren - organiseren waarop de parlementsleden de juiste informatie kunnen krijgen over de stand van het onderzoek en de consequenties van de resultaten?

Antwoord ontvangen op 28 november 2013 :

Alvorens te antwoorden op de vele vragen, gelieve me toe te staan te reageren op een aantal van uw beweringen.

Ten eerste is er in dit stadium geen enkel formeel bewijs van afluistering van gesprekken en is er bijgevolg geen enkele informatie over de duur van dergelijke feiten.

Ten tweede is het juist dat de onderneming BICS gedeeltelijk in handen is van Belgacom en dat ze voor haar interne behoeften gebruikmaakt van informaticafaciliteiten geleverd door Belgacom, wat echter niet wegneemt dat het telecommunicatienetwerk van BICS wel degelijk een ander netwerk is dan dat van Belgacom en dat het niet geïntegreerd is in het Belgacom-netwerk. Op het ogenblik van de mededeling van Belgacom bestond er geen enkele aanwijzing van hacking in de routers van BICS. Dankzij de versterkte controlemaatregelen werden dergelijke aanwijzingen later ontdekt, maar er kon dan niet worden vastgesteld welk gebruik er van die niet-toegelaten toegang werd gemaakt.

Ten slotte ben ik zo vrij geen commentaar te geven op de info van Der Spiegel en te verwijzen naar de lopende onderzoeken om de daders en hun beweegredenen te achterhalen.

1) Deze digitale inbraak is dermate gesofisticeerd dat de teruggevonden sporen tot op heden niet toelaten de oorsprong van de inbraak te achterhalen. De onderzoekers zetten hun werk voort. Belgacom is dus in dit stadium niet in staat de startdatum van de digitale inbraak te bepalen. De kans bestaat ook dat die nooit zal kunnen vastgesteld worden.

Belgacom verwijst hiervoor naar de mededeling van het Federaal Parket: “Het onderzoek toont aan dat de hacking alleen mogelijk was door de inzet van zware financiële en logistieke middelen door de hackers. Dit feit en ook de complexiteit en de omvang van de hacking zetten de onderzoekers aan hun opsporingswerk te richten op een internationale operatie van staatsspionage.”

Het recentste blootgelegde feit, meer bepaald de wijzigingen doorgevoerd in de software van een router van het internationale netwerk van BICS, versterkt het vermoeden van een internationale operatie van staatsspionage nog. Wat die operatie precies inhield, zal moeten blijken uit het lopend gerechtelijk onderzoek.

2) Dit dient in zijn context te worden bekeken. Er worden bijna dagelijks stabiliteitsproblemen gedetecteerd in het interne IT-systeem van Belgacom, wat normaal is voor een systeem van een dergelijke omvang en complexiteit. Een voorbeeld van dergelijke voorvallen zijn de stabiliteitsproblemen die op een aantal interne e-mailservers werden vastgesteld vanaf eind mei 2012. Die problemen waren zeldzaam en onverklaarbaar. De Belgacom-teams hebben samengewerkt met HP en Microsoft om de oorzaak van die problemen op te sporen.

Het is pas op 20 juni 2013 dat de experts van Belgacom een verdacht proces hebben kunnen opvangen dat ter analyse aan Microsoft werd voorgelegd. Microsoft heeft Belgacom vervolgens ingelicht dat het er van uitging dat het proces verdacht was en mogelijk malware betrof (Trojan). Op grond daarvan hebben de veiligheidsexperts van Belgacom op 21 juni een veiligheidsalarm gelanceerd.

3) Belgacom heeft op 20 juni 2013 de bevestiging gekregen van de aanwezigheid van een virus van het Trojan-type. Op dat ogenblik was er nog geen sprake van een digitale inbraak van grote omvang noch van aanwijzingen van het type inbraak en de gesofisticeerde aard ervan. Naar aanleiding hiervan werd er op 21 juni een veiligheidsalarm gelanceerd door de veiligheidsexperts van Belgacom.

Het directiecomité van Belgacom werd op 16 juli 2013 ingelicht over de resultaten van de eerste analyses uitgevoerd door de externe experts en besloot een klacht in te dienen. Belgacom heeft bij het Federaal Parket klacht ingediend op 19 juli 2013.

Wat de organisatie betreft: Belgacom beschikt over een CSIRT-team (CyberSecurity Incident Response Team) dat tussenkomt bij cyberveiligheidsincidenten. Belgacom beschikt over een director die voor de informatiebeveiliging instaat en die afhangt van de Secretaris-generaal van de onderneming. Belgacom heeft ook een begeleidingscomité aangesteld dat bevoegd is voor de informatiebeveiliging. Dit comité bestaat uit leden van het senior management die de kwetsbaarste activiteiten van het bedrijf vertegenwoordigen.

Wat de timing betreft: Het CSIRT-team heeft het veiligheidsalarm gelanceerd op 21 juni (zie antwoord op vraag 2) en aldus de director informatiebeveiliging en het begeleidingscomité voor informatiebeveiliging ingelicht.

4) De externe experts werden door Belgacom geselecteerd op basis van hun internationaal erkende expertise en hun beschikbaarheid om onmiddellijk tussen te komen.

5) Belgacom mag als beursgenoteerd bedrijf geen specifieke informatie verstrekken aan een van haar aandeelhouders, hoe belangrijk ook, zelfs niet aan de meerderheidsaandeelhouder.

Wat de aandeelhouders betreft, hebt u zelf aangestipt dat de beurskoers van Belgacom er niet heeft onder geleden. Wat de klanten betreft, gaat het om vertrouwelijke informatie, maar het spreekt voor zich dat Belgacom alles in het werk stelt om hun vragen te beantwoorden en verder de dienstkwaliteit te garanderen aan al haar klanten, zowel residentiële als professionele.

6) BICS is een onderneming die gedeeltelijk in handen is van Belgacom en waarvan de aandeelhouders Swisscom en MTN zijn, waarin de Belgische overheden niet vertegenwoordigd zijn.

7) De digitale inbraak waarvan Belgacom het slachtoffer werd, werd door de experts van Fox-IT en de inlichtingendiensten van het leger bestempeld als van het hoogst gesofisticeerde type, ook “Advanced Persistent Threat Category” genaamd, en heeft aanzienlijke middelen gevergd voor zijn ontwikkeling en uitvoering. Dit werd reeds bevestigd door het Federaal Parket in zijn mededeling van 16 september op basis van de elementen van het dossier.

De experts zullen u kunnen vertellen dat geen enkel individueel commercieel bedrijf zich redelijkerwijze voor 100 % kan afschermen voor een dergelijk bedreigingsniveau. Om een dergelijke bedreiging in de toekomst tegen te gaan, zullen alle private en openbare betrokken partijen, zowel op lokaal als Europees niveau hun cyberdefensieacties moeten versterken en coördineren. Belgacom zal eraan meewerken door haar kennis te delen op de desbetreffende sectorplatformen en met de private/openbare partners en zal alles in het werk stellen om haar beveiliging voor te zetten en te versterken.

8) In België vormt Telindus geen afzonderlijke entiteit meer en werd het dus logischerwijze opgenomen in de analyse en het herstelplan, net als alle andere divisies van Belgacom. Wat de Telindus-entiteiten in het buitenland betreft, werd er tot op heden geen infectie van hun systemen gedetecteerd.

9) Als autonoom overheidsbedrijf komt het Belgacom toe om zijn veiligheidsbeleid zo goed mogelijk in te vullen, en het bedrijf neemt deze taak bijzonder ernstig. En zoals vermeld in antwoord 7 beschouwt Belgacom de veiligheid van haar netwerken en klanten als primordiaal. Belgacom voert een permanent veiligheidsbeleid en stelt alles in het werk om de veiligheid van haar netwerken en klanten voortdurend te verbeteren door de beste praktijkervaring van de sector toe te passen en actief samen te werken met de grootste Europese operatoren.

10) De Commissie voor de persoonlijke levenssfeer volgt het dossier aandachtig op.

Belgacom heeft impact op de telecomomgeving nooit uitgesloten, maar gezegd dat er tot dusver geen aanwijzingen voor waren. De recente vaststelling in de router is een nieuw element, dat verder onderzocht moet worden. Wie een telecomrouter hackt, doet dit wellicht om toegang te krijgen tot bepaalde gegevens. Maar of dit ook gebeurd is en in welke mate, weten we nog niet.

Het gerechtelijk onderzoek loopt nog altijd en we moeten de onderzoekers hun werk laten doen. Belgacom meldt me dat ze steeds een transparante en feitelijke communicatie heeft gevoerd op basis van de elementen die ze in haar bezit had.

11) Aangezien het gerechtelijke onderzoek de concrete omvang en oorsprong van deze spionageoperatie lijkt te bevestigen, zou het om uiterst ernstige feiten gaan waarover de Belgische regering rekenschap zal vragen aan de daders, zodra ze afdoende geïdentificeerd zijn.

12) Uw andere vragen vallen niet onder mijn bevoegdheid.