Schriftelijke vraag betreffende de gevolgen die de grootschalige cyberaanval op Belnet heeft (gehad) voor het Brussels Hoofdstedelijk Gewest.
- Indiener(s)
- Bianca Debaets
- aan
- Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 740)
| Datum ontvangst: 17/05/2021 | Datum publicatie: 19/07/2021 | ||
| Zittingsperiode: 19/24 | Zitting: 20/21 | Datum antwoord: 07/07/2021 | |
| Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
| 07/06/2021 | Ontvankelijk | p.m. |
| Vraag | Op dinsdag 4 mei laatstleden werd ons land opgeschrikt door een grootschalige cyberaanval op Belnet, de primaire provider van heel wat overheidsinstellingen en universiteiten. Volgens Belnet zelf ging het om een DDoS-aanval van ongeziene grootte, afkomstig vanuit 29 landen waaronder Mozambique, Bahrein, de Verenigde Staten, Rusland en China. Het doel van de aanval was volgens Belnet zelf echter vooral om overheidswebsites plat te leggen, niet om effectief gegevens te bemachtigen. Ook de websites en online diensten van het Brussels Hoofdstedelijk Gewest werden op die manier geraakt door deze cyberaanval. Het CIBG voorzag regelmatig updates omtrent het incident en schakelde al snel over op de nodige back-upsystemen, waardoor de hinder nog enigszins beperkt kon worden. Hoewel het CIBG kordaat en adequaat gehandeld heeft en absoluut niets te verwijten valt, is het toch opportuun om na te gaan welke gevolgen deze aanval heeft voor ons Gewest. Vandaar dat ik u graag volgende vragen stel: - Kan u nader toelichten op welke manier de websites en diensten van het Brussels Hoofdstedelijk Gewest geïmpacteerd werden door deze grootschalige cyberaanval? Welke eventuele schade (in termen van dataverlies en dergelijke meer) werd hierbij opgelopen? - Op welke manier draagt het CIBG bij tot het herstel van de getroffen Belnet-servers en het opsporen van de daders van deze aanval? Heeft het CIBG hieromtrent deelgenomen aan breed overleg tussen alle geïmpacteerde actoren? - Welke stappen hebt u besloten te ondernemen met het oog op het vermijden van (de schadelijke effecten van) dergelijke aanvallen in de toekomst? Welke concrete acties en middelen worden hieraan gekoppeld? - Kan u duiden hoeveel andere cyberaanvallen het Brussels Gewest en diens diensten in 2020 en in 2021 tot dusver gekend hebben? Welke gevolgen hebben deze aanvallen gehad? Op welke manier werd hiermee omgegaan? |
| Antwoord | 1/De distributed-denial-of-service-aanval (DDoS) op de internetprovider van het Gewest, het federale netwerk Belnet, heeft de toegang tot de meeste diensten van het CIBG (Nova, Fidus, District team, etc.) vertraagd of zelfs onmogelijk gemaakt op 4 mei van 11.45 uur tot 14.30 uur. De gewestelijke websites die beheerd worden door het CIBG, waren eveneens ontoegankelijk (cibg.brussels, be.brussels, smartcity.brussels en datastore.brussels) tijdens dat tijdsbestek.
Wat de gegevens of andere gevolgen betreft, is dit soort aanvallen niet bedoeld om gegevens te stelen, maar wel om het netwerk plat te leggen door het te verzadigen met zoekopdrachten. Er werden geen gegevens ontvreemd tijdens de aanval van 4 en 5 mei 2021.
2/ Het CIBG en IRISnet hebben op 4 mei 2021 vanaf 14.30 uur de noodprocedure in gang gezet door over te schakelen naar een andere operator dan Belnet. Daardoor kon het Gewest de strikt gewestelijke diensten weer snel opstarten.
Niettemin werden de andere diensten die afhangen van federale diensten of van het gebruik van de federale authenticatiedienst (bijvoorbeeld IRISbox, Editoria, etc.[1]), getroffen tot en met 5 mei rond 10 uur.
Het CIBG stond tijdens de aanval voortdurend in contact met Belnet, IRISnet, het federale niveau en alle gewestelijke klanten.
3/ Om zich te beschermen tegen dit soort aanvallen, had het CIBG zich met name ingeschreven voor ad-hocdienstverlening inzake beveiliging bij Belnet. Jammer genoeg bleek de dienstverlening onvoldoende om de aanvallen op 4 en 5 mei jongstleden, die nieuw en van een nooit geziene omvang waren, te kunnen stoppen. Er loopt momenteel een gerechtelijk onderzoek om de daders te vinden, en wij beschikken nog niet over alle informatie betreffende de precieze kenmerken van de aanval. Sindsdien heeft Belnet ons laten weten dat er een reeks bijkomende maatregelen werd genomen, waaronder onder meer de inschrijving voor bijkomende dienstverlening in verband met de beveiliging die ervoor zou zorgen dat dit soort aanvallen beter geweerd kan worden.
Bovendien is het CIBG bezig met het analyseren van de mogelijkheid om de capaciteit van zijn back-upverbinding te halveren om de veerkracht van de globale internetoplossing voor het Gewest te verhogen. Daarenboven werd de capaciteit van de lijn naar Belnet intussen verdubbeld om meer reserve te creëren en de eventuele verzadiging van de lijn in geval van nieuwe DDoS-aanvallen te vertragen.
4/ Het CIBG werd eind februari 2021 het slachtoffer van een andere DDoS-aanval. In 2020 werden geen grote aanvallen vastgesteld.
De aanval van februari heeft tot gevolg gehad dat de toegang tot de diensten van het CIBG gedurende enkele uren instabiel was.
[1] eCat, eProcurement, TutelleExchange, IDM alsook HMS, BAS en FixMyStreet in beperkte mate. De diensten van de GOB werden eveneens getroffen: BEW, Brugis, Documentum, Feder, Impala, Osiris, VPN, … |