Comité I vernietigend voor Belgische cyberbescherming

Gebrek aan coördinatie en onderbezetting van de veiligheidsdiensten, het maakt België tot een makkelijk doelwit voor cyberaanvallen, meent Comité I.

Gebrek aan coördinatie en onderbezetting van de veiligheidsdiensten, het maakt België tot een makkelijk doelwit voor cyberaanvallen, meent Comité I. Het Vast Comité van Toezicht op de Inlichtingen- en Veiligheidsdiensten (Comité I) heeft bijzonder scherpe conclusies gepubliceerd over de noodzaak om informatiesystemen te beschermen tegen cyberaanvallen uit het buitenland. De krant De Tijd kon het document als eerste inkijken.

Het Comité I constateert dat de reële dreigingen reeds lang gekend zijn en door het Comité I zijn onderstreept, terwijl technologieën en actieve groepen op het gebied van afluisteren snel in aantal toenemen.

Het Comité I onderkent dat zowel de Veiligheid van de Staat als de ADIV (Algemene Dienst Inlichting en Veiligheid) “zich bewust zijn van de ernst van de bedreigingen die cyberaanvallen, ongeacht of ze uitgaan van andere staten, vormen tegen de vitale (civiele en militaire) informatiesystemen van het land.” Meer nog, de diensten hebben “opmerkelijk werk” geleverd om “hun ‘klanten’ te sensibiliseren.”

Het Comité I constateert evenwel dat er geen gecoördineerd beleid bestaat, en dat meerdere federale diensten (Nationale veiligheidsoverheid, Fedict, Belnet, Bipt) zich met de beveiliging van informatiesystemen bezig houden, “zonder een algemeen beeld te hebben van de kritieke infrastructuur van de informatiesystemen.” Concreet moet dan ook een “federale strategie worden uitgewerkt,” en “snel een agentschap wordt opgericht met de opdracht de activiteiten rond informatieveiligheid te coördineren.”

Wat de inlichtingendiensten betreft, kampen die met problemen om gekwalificeerde experten terzake aan te trekken, omdat het bedrijfswezen onder meer betere verloningen aanbiedt. Voorts ontbreekt het ook aan middelen om systemen met gevoelige informatie, evenals de apparatuur waarmee die worden opgebouwd, te certifiëren en te homologeren.

Het Comité I wenst onder meer dat leveranciers van dergelijke apparatuur over een “veiligheidsmachtiging” moeten beschikken en dat “bijzondere aandacht wordt besteed aan de eventuele banden van die firma’s met sommige buitenlandse inlichtingendiensten.” Een voorwaarde die overigens de keuze wel eens bijzonder sterk zou kunnen beperken, lijkt het.

Interessant is voorts dat het Comité ook oproept dat “er wordt voorzien in de mogelijkheid om systemen in het buitenland te neutraliseren in geval van aanvallen tegen de informatiesystemen van andere ministeries dan landsverdediging [de veiligheidsdiensten kunnen momenteel enkel in het geval van een aanval op landsverdediging optreden, nvdr] of tegen de nationale kritieke infrastructuur.”

Die laatste aanbeveling roept zeker vragen op hoe een en ander in de praktijk zou worden gebracht, want dat kan gaan van een beroep doen op buitenlandse diensten – het Europese securityagentschap Enisa gaat hierrond nog oefeningen organiseren – tot het zelf (pro)actief aanpakken van die systemen over de landsgrenzen heen…

De besluiten en aanbevelingen van het onderzoek werden gepubliceerd op de site van het Vast Comité van Toezicht op de Inlichtingen- en Veiligheidsdiensten.