Schriftelijke vraag en antwoord nr : 1748 - Zittingsperiode : 55

In uw antwoord van 25 oktober 2022 op mijn eerdere schriftelijke vraag nr. 1474 van 22 september 2022 (Vragen en Antwoorden, Kamer, 2022-2023, nr. 96 van 7 november 2022) deelde u mee dat de Quick Reaction Force (QRF) een initiatief is dat een antwoord wil bieden op de rol die de politie speelt binnen het Cybernoodplan van het Centrum voor Cybersecurity België (CCB), teneinde een snelle operationele respons te kunnen leveren bij cyberincidenten, inzonderheid bij aanvallen op kritieke infrastructuren of vitale sectoren. Uw voorganger richtte eind 2019 die QRF op. Het moest een snelle en effectieve respons bieden bij cyberincidenten, met een specifieke aandacht voor kritieke infrastructuren, vitale sectoren en complexe criminele cyberinfrastructuren. Concreet konden de leden van de QRF worden opgeroepen om bij ernstige cyberincidenten de eerste vaststellingen te verrichten. De nadruk ligt dan op het maximaal verzamelen van de nodige bewijselementen voor het verdere onderzoek. De pool vormde geen nieuwe eenheid op zich. De medewerkers blijven deel uitmaken van hun huidige dienst. De QRF kaderde in een partnerschap met andere Belgische diensten, zoals de Staatsveiligheid, de militaire inlichtingendienst en het CCB (Lars Bové, Vliegende brigade rukt voortaan uit bij cyberaanval, De Tijd, 17 december 2019, te raadplegen op https://www.tijd.be/politiek-economie/belgie/federaal/vliegende-brigade-rukt-voortaan-uit-bij-cyberaanval/10191636.html). Het CCB heeft met het nationaal Computer Emergency Response Team (CERT.be) en als nationaal CSIRT (Computer Security Incident Response Team) de opdracht om online veiligheidsproblemen en kwetsbaarheden op te sporen, te analyseren en gebruikers hierover te informeren. 1. Hoeveel keer moest de QFR in de periode 2020-2022, per jaar, een respons bieden bij cyberincidenten? In hoeveel gevallen ging het daarbij om kritieke infrastructuren, vitale sectoren of complexe criminele cyberinfrastructuren? 2. Welke vaststellingen werden verricht en welke bewijselementen werden verzameld? 3. Vormt de QRF nog steeds geen eenheid? Maken de medewerkers nog steeds deel uit van hun eigen dienst? Waarom? 4. Op welke manier wordt het partnerschap met de andere Belgische diensten in de praktijk vormgegeven? 5. Wanneer treedt het QRF op en wanneer het CERT.be? Hoe wordt dat partnerschap georganiseerd? Zijn daar efficiëntiewinsten te boeken?

1. De Quick Reaction Force (QRF) heeft in 2020 en 2021 telkens één keer respons geboden. In 2022 heeft de QRF twee maal respons geboden. De QRF wordt per definitie enkel ingeschakeld in de gevallen die worden beschreven in de vraag. 2. Deze parlementaire vraag valt niet onder mijn bevoegdheden, maar behoort tot die van de minister van Justitie. 3. De QRF vormt geen eenheid op zich. Er is bewust gekozen voor een pool van experten uit de verschillende Computer Crime Units. De structuur is gebaseerd op het model van het Disaster Victim Identification (DVI) van de federale politie. 4. De Federal Computer Crime Unit (FCCU) (Centrale directie van de bestrijding van de zware en georganiseerde criminaliteit (DJSOC)/FCCU), die de QRF coördineert, onderhoudt nauwe contacten met de partners uit het cybernoodplan. 5. Het federale Cyber Emergency Response Team, of kortweg CERT.be is de operationele dienst van het Centrum voor Cybersecurity België (CCB). CERT.be heeft als opdracht het opsporen, het observeren en het analyseren van online veiligheidsproblemen en het permanent informeren daarover. De finaliteit van het CERT en van de QRF zijn verschillend. Het CERT doet aan incident response en de QRF verzamelt sporen teneinde het strafonderzoek te kunnen voeren. Er wordt reeds efficiënt samengewerkt door beide diensten, onder andere door samen ter plaatse te gaan bij incidenten. CERT.be levert reactieve diensten, proactieve diensten en diensten met betrekking tot het beheer van de veiligheidskwaliteit in het domein van cybersecurity. Het gaat over technische veiligheidsmaatregelen, maar ook over maatregelen die gebruikers bewust maken rond veilig internetgebruik (awareness). De QRF wordt principieel ingezet voor het verrichten van de eerste en dringende vaststellingen in het kader van een cyber incident. Prioritair dient een diagnose te worden gesteld van het gebeuren, waarbij de exploitant de nodige hulp/bijstand verleent, met als doel de maximale vrijwaring van alle (digitale) sporen. Naast de politionele respons, voorziet het cybernoodplan eveneens in het activeren van de andere partners in de cybersecurity keten, zoals CERT.be, die de getroffen exploitant bijstaan met remediërende en/of preventieve maatregelen. De QRF kan derhalve niet worden belast met het stoppen van de aanval, het herstel van geïnfecteerde systemen, het verhelpen van gevonden kwetsbaarheden, het nemen van (dringende) veiligheidsmaatregelen en/of het herstellen van de normale werking van de systemen van de getroffen exploitant. De QRF dient echter zijn activiteiten te coördineren met deze van CERT.be. De QRF-coördinator legt het eerste contact met de dienstdoende magistraat en vraagt hem om de onderzoekseenheid belast met het onderzoek zo snel mogelijk aan te wijzen.