Phishing bij de overheid in België

Transcriptie

1 Phishing bij de overheid in België Peter Schoofs NAAM: STUDENTNUMMER: DATUM: 9 december 2014

2

3 Phishing in relation to the Belgian government NAAM: Peter Schoofs STUDENTNUMMER: DATUM: 9 december 2014 EERSTE BEGELEIDER / EXAMINATOR: dr.ir. H.P.E. Vranken TWEEDE BEGELEIDER: dr.ir. A.J.F. Kok T9232B - MASTER BUSINESS PROCESS MANAGEMENT AND IT FACULTEIT MANAGEMENT, SCIENCE AND TECHNOLOGY OPEN UNIVERSITEIT

4 Voorwoord Voorwoord Graag zou ik alle mensen willen bedanken die deze masterscriptie mogelijk gemaakt hebben. Vooreest wil ik graag mijn begeleider dr. ir. Harald Vranken bedanken voor de constructieve samenwerking, zijn goede raad en zijn aanstekelijk enthousiasme. Ik wil ook graag de geïnterviewden bedanken voor de moeite die zij hebben willen nemen om mij van de nodige antwoorden te voorzien. Verder wil ik Cegeka bedanken voor de financiële tegemoetkoming en de tijd die zij mij ter beschikking hebben gesteld. Een speciale dank aan mijn vrouw Heidi en mijn kinderen Tobias en Falke voor hun geduld, hun steun en hun begrip tijdens mijn studies. Peter Schoofs December /110

5 Inhoudstabel Inhoudstabel Voorwoord... 4 Samenvatting Inleiding Aanleiding tot het onderzoek Probleemstelling Doelstelling Leeswijzer Onderzoeksopzet Object van onderzoek Vraagstelling Afbakening Onderzoekspopulatie Onderzoeksbenadering en strategie Methode van literatuuronderzoek Methode van onderzoek van het empirisch deel Onderzoeksstrategie Bronnen Dataverzameling Steekproef - populatie Betrouwbaarheid Validiteit Ethiek Analyse van de data Resultaten van het onderzoek Inleiding De term computer L1/E1 - Wat is phishing? Oorsprong van de term phishing De motieven voor phishing Definitie van de term phishing Empirische toets van de definitie van phishing Definitie financiële instellingen in Nederland ten opzicht van Belgische overheid Hoe gaat een phishingaanval in zijn werk? L2/E1 - Welke soorten van phishing bestaan er? /110

6 Inhoudstabel Deceptive phishing Malware-based phishing Technieken toegepast om het slachtoffer te misleiden Op specifieke doelgroepen gerichte vormen van phishing Vergelijking van de soorten van phishing aangehaald in het onderzoek van Dreijer (2012) en de soorten aangehaald in dit onderzoek Soorten van phishing die voorkomen bij de Belgische overheid Soorten phishing bij financiële instellingen in Nederland versus Belgische overheid L3/E2 - Hoe vaak komt phishing voor? Cijfers van de APWG (niet-wetenschappelijke bron) Cijfers van Symantec (niet-wetenschappelijke bron) Aantal phishingmeldingen tegen de Belgische overheid Aantal phishingmeldingen en misleidende technieken per soort bij de Belgische overheid Trend in het aantal phishingmeldingen bij de Belgische overheid Wijze van registratie van phishingmeldingen bij de Belgische overheid L4/E3 - Wat zijn de gevolgen van phishing? Gevolgen in cijfers Schade Phishingincidenten bij de Belgische overheid Impact van phishing op diensten en onderdelen van de Belgische overheid Directe gevolgen van phishing voor de Belgische overheid Indirecte gevolgen van phishing voor de Belgische overheid Doelwit van de phishers: Nederlandse financiële instellingen versus Belgische overheid L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? Gebruikerseducatie (sociale maatregelen) Sociale maatregelen op maat van de overheid (literatuuronderzoek) Sociale anti-phishingmaatregelen bij de Belgische overheid (empirisch onderzoek) Sociale maatregelen in Nederlandse financiële instellingen versus de Belgische overheid Juridische maatregelen Het beleid in België ten aanzien van phishing (cybercriminaliteit) en de onderbouwing van dat beleid Beleid van Nederlandse financiële instellingen versus Belgisch overheid Anti-phishingindicatoren (technische maatregelen) Technische maatregelen op maat van de overheid /110

7 Inhoudstabel Technische anti-phishingmaatregelen genomen door de Belgische overheid (empirisch onderzoek) Verantwoordelijkheid: NVB Belgische overheid Technische maatregelen in Nederlandse financiële instellingen versus de Belgische overheid Uitdagingen Referentiemodel Conclusies, aanbevelingen, product- en procesreflectie Conclusies Aanbevelingen voor verder onderzoek Productreflectie Procesreflectie Referenties Wetenschappelijke bronnen Niet-wetenschappelijke bronnen Bijlage A: Gevonden en geselecteerde artikelen Bijlage B: Definities uit de literatuur Bijlage C: Operationalisering Bijlage D: planning Bijlage E: Vragenlijst gericht aan de Belgische overheidsinstellingen verantwoordelijk voor cyberbeveiliging Bijlage F: Vragenlijst gericht aan de Vlaamse overheidsinstellingen verantwoordelijk voor cyberbeveiliging Bijlage G: Vragenlijst gericht aan de cyberspecialisten van de Vlaamse politieke partijen Bijlage H: Begeleidende Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten (beschikbaarheid cijfermateriaal) Bijlage J: Extract uit het antwoord op parlementaire vraag Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten (voorlichting personeel) /110

8 Samenvatting Samenvatting De wereld is de laatste decennia sterk geëvolueerd naar een genetwerkte wereld door toedoen van de opkomst van het internet. De wereld is een dorp is een uitspraak die nu meer dan ooit een hoog waarheidsgehalte heeft. Mensen zijn steeds minder gebonden door hun fysieke locatie. Overheden over heel de wereld gebruiken het internet steeds meer om in contact te treden met de burgers. Loketten verdwijnen en de burgers kunnen hun administratieve interacties met de overheid online afhandelen. Het succes en de eindeloze mogelijkheden van het internet zijn ook de criminele elementen in de maatschappij niet ontgaan. De fysieke grenzen waarmee criminelen geconfronteerd werden, zijn door het internet grotendeels verdwenen. Cybercriminelen kunnen vanuit om of het even welk land cybermisdrijven plegen over heel de wereld. Phishing is één van de vele cybermisdrijven die door deze criminelen gepleegd worden. Iedere internetgebruiker is bewust of onbewust al eens geconfronteerd met phishing. Phishing blijft wereldwijd toenemen. De wereldwijde schade aangericht door phishing wordt geschat op meer dan 5,9 miljard dollar (EMC - RSA Corporation, 2014). Dit onderzoek gaat op zoek naar phishing in relatie tot de Belgische overheid. De hoofdvraag van dit onderzoek luidt: Hoe gaat de Belgische overheid om met phishing? Om een antwoord te formuleren op de hoofdvraag is een tweeledig onderzoek opgezet. In een eerste deel is vanuit wetenschappelijke literatuur een referentiekader over phishing opgebouwd. Dit referentiekader is vervolgens in het tweede deel empirisch getoetst bij de Belgische overheid. Deze toetsing bestond uit het afnemen van interviews met cybersecurityspecialisten van de Vlaamse partijen Groen, CD&V, N-VA en Open Vld en door het afnemen van een interview met een exsecurityconsultant van een cyberbeveiligingsinstelling van de Belgische (Vlaamse) overheid. Uit het literatuuronderzoek blijkt dat er drie elementen dienen te bestaan om van phishing te spreken: een vorm van communicatie, een misleidende techniek en een objectief van de phisher. Uit het literatuuronderzoek is deze definitie voor phishing afgeleid: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren. Verder blijkt uit het literatuuronderzoek dat er vier categorieën bestaan waarin phishing of de aanverwante technieken kunnen onderverdeeld worden: - Deceptive phishing: het phishingbericht bevat een list om het slachtoffer te misleiden, maar bevat geen malware; - Malware-based phishing: het phishingbericht bevat een vorm van malware die zich op het toestel van het slachtoffer nestelt; 8/110

9 Samenvatting - Op specifieke doelgroepen gerichte phishing: deze vorm maakt gebruik van de andere twee soorten, maar richt zich op een specifieke doelgroep; - Misleidende technieken: dit zijn de technieken die toegepast worden in de verschillende soorten van phishingaanvallen om het slachtoffer in de val te lokken. Uit het empirisch onderzoek blijkt dat de Belgische overheid geconfronteerd wordt met de drie soorten van phishing en met een aantal misleidende technieken. De meest voorkomende zijn e- mailphishing, spear-phishing, telefoonphishing in combinatie met een aantal misleidende technieken. Uit cijfers van de Anti-Phishing Working Group blijkt dat phishing blijft toenemen, ook voor overheden. De cijfers voor België (CERT.be, 2014) geven ook een stijgende trend aan. Uit het empirisch onderzoek blijkt dat sommige phishingaanvallen tegen de Belgische overheid gericht waren op geldgewin (cyberincidenten van Rijksdienst voor Kinderbijslag en de Belgische fiscus) terwijl andere gericht waren op het stelen van informatie (cyberincident bij het ministerie van Buitenlandse Zaken). Daarnaast heeft de Belgische overheid ook last van state-sponsored -aanvallen, waarbij phishing gebruikt wordt als middel om binnen te dringen en confidentiële informatie te stelen (cyberincident Belgacom International Carrier Services). Europees onderzoek geeft aan dat de burgers hun internetgedrag aanpassen door toedoen van cyberincidenten. Het vertrouwen in de Belgische overheid om de online gegevens van de burgers te beschermen blijkt ten opzichte van andere Europese landen nog mee te vallen. De Belgen hebben zelfs meer vertrouwen in hun overheid dan in gewone websites om hun online gegevens te beschermen. Het literatuuronderzoek geeft aan dat er twee types van anti-phishingmaatregelen genomen kunnen worden: - Sociale maatregelen: de gebruikers sensibiliseren om de phishingval te doorzien en er niet meer in te trappen; - Technische maatregelen: op technologie gebaseerde anti-phishingsystemen die automatisch of met behulp van de gebruiker de phishingaanvallen blokkeren. Het empirisch onderzoek toont aan dat het merendeel van de Belgische overheidsadministraties ervoor zorgt dat haar werknemers ingelicht zijn over de mogelijke gevaren van phishing en cybermisdrijven. De Belgische overheid heeft ook reeds een sensibiliseringsbericht verstuurd via de openbare omroep. Uit een enquête van Eurostat (TNS Opinion & Social, 2012) blijkt dat de Belgische burger zich gemiddeld geïnformeerd voelt over de gevaren van cybercriminaliteit. De Belgische overheidsadministraties zetten ook technische maatregelen in om phishing tegen te gaan, de ene administratie al wat professioneler dan de andere. Een opvallende vaststelling van het onderzoek was de niet-bestaande antwoordbereidheid bij de Belgische cybersecurityinstellingen. Deze instellingen beschouwen de manier waarop zij omgaan met cybercriminaliteit (phishing) als hun interne keuken. Zelfs wanneer federale parlementsleden schriftelijke vragen indienen om meer inzicht te krijgen in de werkwijze van de cyberbeveiligingsinstellingen van de Belgische overheid, dan nog is er sprake van een grote terughoudendheid om informatie vrij te geven. Uit de vergelijking tussen de manier waarop Nederlandse financiële instellingen met phishing omgaan en de manier waarop de Belgische overheid met phishing omgaat komen vier verschillen naar voren. 9/110

10 Samenvatting Ten eerste fungeert de NVB (Nederlandse Vereniging van Banken) als een centraal coördinatiecentrum voor de bestrijding van phishing (cybercriminaliteit), daar waar de Belgische overheid nog geen cybersecuritycentrum heeft 1. Ten tweede beperkt het motief van phishers bij de Nederlandse financiële instellingen zich tot geldgewin. De motieven van phishingaanvallen tegen de Belgische overheid bestaan uit geldgewin en hoofdzakelijk uit diefstal van informatie. Ten derde krijgt de Belgische overheid ook te maken met state-sponsored -phishingaanvallen. Tot slot kan gesteld worden dat de Nederlandse financiële instellingen een stuk professioneler omgaan met phishingbestrijding dan de Belgische overheid. Uit de resultaten van het onderzoek kan geconcludeerd worden dat de Belgische overheid veel moeite heeft met phishing. Ondanks initiatieven om cybercriminaliteit hoog op de agenda te krijgen, ondanks initiatieven om een visie uit te werken en om een centraal superviserend cybersecuritycentrum op te richten is er in de praktijk niets aan de precaire cybersecuritysituatie in België veranderd. Uit het empirisch onderzoek blijkt dat noodkreten van cybersecurityspecialisten bij de overheid, die teruggaan tot 2007, allemaal in dovemansoren zijn gevallen. Iedere overheidsdienst probeert naar best vermogen phishing het hoofd te bieden. Het probleem wordt niet erkend en daardoor zijn er niet voldoende mensen en budgetten voorzien. Uit een hele reeks incidenten blijkt dat het probleem phishing (cybercriminaliteit) wel degelijk bestaat en veel schade berokkent aan de overheid en aan het land. Er is gelukkig een aantal lichtpunten in het onderzoek naar boven gekomen. Een aantal Vlaamse partijen heeft blijk gegeven van een duidelijke visie over hoe er in de toekomst dient omgegaan te worden met phishing (cybercriminaliteit). In het voorlopige regeerakkoord van de op handen zijnde nieuwe Belgische regering is de bestrijding van cybercriminaliteit één van de topprioriteiten. 1 Nederland beschikt wel over een cybersecurity centrum: het NCSC (Nationaal Cyber Security Centrum). Het NCSC heeft als taak om cybersecurity aangelegenheden in Nederland te coördineren. 10/110

11 Inleiding 1 Inleiding 1.1 Aanleiding tot het onderzoek Sinds het einde van de 20 e eeuw is de informatisering van de maatschappij steeds meer toegenomen. Dit fenomeen brengt heel wat voordelen met zich mee. Mensen kunnen met één druk op een knop informatie van over heel de wereld op het scherm laten verschijnen binnen een tijdspanne van enkele seconden. De geïnformatiseerde maatschappij heeft zelfs virtuele werelden doen ontstaan waarin mensen handelingen kunnen uitvoeren via hun virtuele persoonlijkheid. Maar naast de voordelen zijn er ook nadelen verbonden aan het informatiseringsfenomeen. Demchak (1999) stelt dat net de eigenschappen die ervoor zorgen dat het web zoveel troeven biedt, met name immediacy (het onmiddellijke, realtime karakter), anonymity (anonimiteit) en critical interdepence (kritieke afhankelijkheid tussen de verschillende netwerken), de deur opzetten voor onvoorziene, ontwrichtende gebeurtenissen. Demchak (1999) geeft aan dat er twee types van storingen kunnen optreden in de geïnformatiseerde maatschappij: systeem-falen veroorzaakt door de gecompliceerdheid van de genetwerkte wereld en problemen veroorzaakt door intentionele handelingen. Deze intentionele handelingen die leiden tot fouten en verstoringen worden meestal uitgevoerd door hackers en worden aangeduid met de term cybercriminaliteit (Wall, 2008). Organisaties die het slachtoffer worden van cybercriminaliteit wapenen zich met behulp van technologische oplossingen tegen deze bedreiging. Hierdoor richten hackers zich op de zwakste schakel in de beveiligingsketen: de mens. Social engineering is het manipuleren van mensen om een bepaalde handeling uit te voeren of om een bepaalde vorm van gedrag aan te nemen. Binnen de context van cybercriminaliteit wordt ermee bedoeld, mensen aanmoedigen en misleiden om persoonlijke informatie vrij te geven (Al-Msloum & Al-Johani, 2013). Deze informatie wordt dan misbruikt om logische objecten te stelen: data, geheimen, geld. Dit onderzoek richt zich naar één vorm van social engineering met name phishing. Phishing komt meer en meer voor en de phishingboodschappen worden steeds beter waardoor hun verleidingskracht steeds sterker wordt. In de geïnformatiseerde maatschappij wordt iedereen geconfronteerd met phishing en wordt het steeds belangrijker dat mensen zich bewust zijn van dit gevaar. In dit onderzoek wordt in kaart gebracht wat er verstaan wordt onder phishing, welke soorten van phishing er bestaan, hoe vaak phishing voorkomt en welke maatregelen mogelijk zijn om phishing te bestrijden. Er wordt vervolgens onderzocht hoe de Belgische overheid omgaat met het fenomeen phishing. De resultaten van het empirisch onderzoek worden ten slotte vergeleken met de resultaten van het onderzoek van Dreijer (2012) over phishing bij Nederlandse financiële instellingen. 1.2 Probleemstelling Doelstelling De doelstelling van het onderzoek is in kaart te brengen wat phishing betekent voor de Belgische overheid. Heeft de Belgische overheid last van phishingaanvallen en hoe vaak doen dergelijke aanvallen zich voor? Wat zijn de gevolgen van deze aanvallen voor de Belgische overheid? Op welke manier is de Belgische overheid georganiseerd om phishing te bestrijden; wie is verantwoordelijk voor welke aspect van cyberbeveiliging? Welke beleid voert de Belgische overheid en waarop is dat beleid gebaseerd (op studies, op vroegere ervaringen, een bepaalde visie)? Welke sociale (vormen van gebruikerseducatie) en technische maatregelen worden door de Belgische overheid genomen tegen phishing? Hoe effectief zijn de door de Belgische overheid genomen anti-phishingmaatregelen? De antwoorden op deze vragen worden vergeleken met de antwoorden die Dreijer (2012) heeft gekregen in zijn onderzoek naar phishing bij Nederlandse financiële instellingen. 11/110

12 Inleiding Leeswijzer In de inleiding (hoofdstuk 1) is kort aangeraakt waar het onderzoek om draait. Hoofdstuk 2: Onderzoeksopzet beschrijft de wijze waarop het literatuuronderzoek en het empirisch onderzoek zijn uitgevoerd. Hoofdstuk 3: Resultaten van het onderzoek beschrijft vraag per vraag de resultaten van het onderzoek en maakt ook een vergelijking tussen de antwoorden van dit onderzoek met de resultaten van het onderzoek van Dreijer. Hoofdstuk 4: Referentiemodel geeft het referentiemodel weer dat is gedestilleerd uit het literatuuronderzoek en waarop de vragen van het empirisch onderzoek zijn gebaseerd. Hoofdstuk 5: Conclusies, aanbevelingen, product- en procesreflectie beschrijft de conclusies van het onderzoek, mogelijke pistes voor verder onderzoek en geeft een persoonlijke noot van de auteur in een product- en procesreflectie. Hoofdstuk 6: Referenties geeft het overzicht van de gebruikte bronnen opgedeeld in wetenschappelijke en niet-wetenschappelijke bronnen. In de bijlagen is additionele informatie opgenomen die minder geschikt is om in het onderzoeksverslag op te nemen omdat het de leesbaarheid niet bevordert (bijvoorbeeld de vragenlijsten gebruikt in het onderzoek), maar die toch een wezenlijk deel van het onderzoek uitmaken. 12/110

13 Onderzoeksopzet 2 Onderzoeksopzet In dit hoofdstuk wordt het onderzoekskader toegelicht. 2.1 Object van onderzoek Vraagstelling Uit de doelstelling van het onderzoek (zie paragraaf 1.2.1) volgt de hoofdvraag: Hoe gaat de Belgische overheid om met phishing? Uit de hoofdvraag zijn deelvragen afgeleid die enerzijds met een literatuuronderzoek zijn beantwoord en anderzijds via empirisch onderzoek. Het theoretisch deel van het onderzoek is uitgevoerd aan de hand van vijf onderstaande onderzoeksvragen. Deze vragen zijn, gebruikmakend van literatuur, vanuit twee perspectieven beantwoord: het fenomeen phishing in zijn algemeenheid en phishing in relatie tot overheden. - L1 - Wat is phishing? - L2 - Welke soorten van phishing bestaan er? - L3 - Hoe vaak komt phishing voor? - L4 - Wat zijn de gevolgen van phishing? - L5 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? Op basis van de onderzoeksresultaten van het literatuuronderzoek is een referentiemodel (zie hoofdstuk 4) over phishing uitgewerkt dat gebruikt is als uitgangspunt voor de volgende vier empirische onderzoeksvragen: - E1 - Welke soorten van phishing komen bij de Belgische overheid voor? - E2 - Hoe vaak komt phishing voor bij de Belgische overheid? - E3 - Wat zijn de gevolgen van phishing voor de Belgische overheid? - E4 - Welke organisatorische, technische en sociale maatregelen worden door de Belgische overheid genomen? Afbakening In het literatuuronderzoek is er naast de sociale en technische maatregelen voor de volledigheid ook gekeken naar de juridische maatregelen die overheden kunnen nemen tegen phishing. De juridische maatregelen behoren niet tot de scope van het empirisch onderzoek. Dit neemt niet weg dat soms gebruik gemaakt wordt van wetsvoorstellen en wetteksten om bepaalde antwoorden van respondenten te onderbouwen. De interviews zijn afgenomen op het ogenblik dat de Belgische regering een regering in lopende zaken was. De onderhandelingen voor een nieuwe federale regering liepen toen nog. Dit is de reden dat er in bepaalde antwoorden in voorwaardelijke wijs gesproken wordt over het nieuwe regeerakkoord en de nieuwe federale regering. Om respondentbias door cultuur- en taalverschil te vermijden (Saunders, Lewis, Thornhill, Booij, & Verckens, 2011) is de opzet van het empirisch onderzoek beperkt tot het federale en het Vlaamse niveau (zie ook Figuur 1 en Tabel 1). Gegevens van het Waalse gewest, de Franse gemeenschap en de Duitstalige gemeenschap zijn enkel gebruikt in dit onderzoek als ze voor het behandelen van cybercrime onder een federale overheidsinstelling ressorteren. Taal is een gevoelig onderwerp in België en om iedere overheid met het nodige respect te benaderen zouden de vragen in de hoofdtaal van dat gewest of die gemeenschap dienen gesteld te worden, waardoor de kans op 13/110

14 Onderzoeksopzet interpretatieverschillen zou vergroot worden. Om dezelfde reden zijn enkel de cyberspecialisten van de Vlaamse partijen opgenomen in het empirisch onderzoek. Lagere overheden (gemeenten en provincies) en overheidsgesubsidieerde organisaties (universiteiten, bibliotheken, onderzoekscentra) zijn niet expliciet mee in scope genomen. Deze instanties zijn niet geïnterviewd. De cybersecurity die door de federale overheid is ingericht, biedt wel een paraplu waaronder deze organisaties kunnen schuilen. DE STAATSSTRUCTUUR VAN BELGIË. De Belgische overheid is op zich een complex gegeven omdat er verschillende entiteiten (zie Figuur 1 en Tabel 1) zijn ontstaan na het doorvoeren van zes staatshervormingen die plaatsvonden tussen 1970 en 2014 (Belgische_Federale_Overheidsdiensten, 2012). De bevoegdheden van iedere instantie worden kort weergegeven in Tabel 1. Figuur 1: Overzicht van de Belgische overheden (Belgische_Federale_Overheidsdiensten, 2012) Overheidsinstantie / term Federale overheid Gemeenschap 2 Definitie / bevoegdheid Binnen de federale overheid wordt de wetgevende macht uitgeoefend door enerzijds het federaal parlement, dat is samengesteld uit twee vergaderingen (de Kamer van volksvertegenwoordigers en de Senaat), en anderzijds de koning. De koning oefent geen persoonlijke macht uit. Zijn ministers (de federale regering) dragen de volle verantwoordelijkheid door de wetsontwerpen, die door het parlement werden aangenomen, en de Koninklijke besluiten mede te ondertekenen. Een gemeenschap gaat uit van de taal. De Vlaamse Gemeenschap oefent haar bevoegdheden uit in de Vlaamse provincies en in Brussel; de Franse Gemeenschap in de Waalse provincies, met uitzondering van de Duitstalige gemeenten, en in Brussel; de Duitstalige Gemeenschap in de gemeenten van de provincie Luik die het Duitse taalgebied vormen. 2 In Vlaanderen zijn de gemeenschaps- en gewestelijke instellingen samengesmolten. In Vlaanderen heeft men dus één parlement en één regering. 14/110

15 Onderzoeksopzet Overheidsinstantie / term Definitie / bevoegdheid Gewest Er zijn drie gewesten. De benaming van de drie gewestelijke instellingen is ontleend aan de naam die hun grondgebied draagt. Vandaar dat we spreken (van noord naar zuid) van het Vlaamse Gewest, het Brussels Hoofdstedelijk Gewest en het Waalse Gewest. De gewesten hebben wetgevende en uitvoerende organen, die men het gewestparlement en de gewestregering noemt. Deze worden om de 5 jaren rechtstreeks verkozen. Tabel 1: Definities van de verschillende overheidsniveaus (Belgische_Federale_Overheidsdiensten, 2012) Onderzoekspopulatie De onderzoekspopulatie bestaat uit twee groepen. De eerste groep zijn de mandatarissen die verantwoordelijk zijn voor de verschillende overheidsinstellingen die bevoegd zijn voor cyberbeveiliging in België (zie Tabel 2). Een tweede groep wordt gevormd door de specialisten cybercriminaliteit van de verschillende Vlaamse politieke partijen (zie Tabel 3). Afhankelijk van de samenstelling van de regering, bestaat deze groep uit mensen die het beleid mee bepalen (de specialisten van de partijen die deelnemen aan de regering) of uit mensen die een controlerende functie uitoefenen op de verschillende instanties vanuit het parlement (de oppositie). Instelling NVO FedICT BelNET CERT BIPT FCCU Kerntaken De Nationale Veiligheidsoverheid (NVO) is de collegiale overheid die bevoegd is voor de afgifte of de intrekking van veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. De NVO is bovendien verantwoordelijk voor het beheer en het toezicht op de goede beveiliging van de geclassificeerde informatie in België. De NVO is samengesteld uit vertegenwoordigers van verschillende federale overheden. Het voorzitterschap wordt bekleed door de FOD 3 Buitenlandse Zaken, waar ook het secretariaat is ondergebracht. (Nationale Veiligheidsoverheid (NVO), 2012). Federale Overheidsdienst (FOD) Informatie- en Communicatietechnologie (FedICT) Belnet is een dienst van de federale overheid, opgericht in 1993, en behoort tot het Federale Wetenschapsbeleid. Er werken ruim 60 medewerkers in een dynamische high tech omgeving aan: - Het Belnet-netwerk: het Belgische onderzoeksnetwerk voor universiteiten, hogescholen, onderzoekscentra en overheidsdiensten. - Het BNIX-platform: het Belgische internetknooppunt dat data-uitwisseling aan hoge snelheid mogelijk maakt tussen onder meer internetserviceproviders en internetcontentproviders (Belnet, 2014). CERT.be (Computer Emergency Response Team) is het federale cyber emergency team, dat als neutrale specialist in internet en netwerkveiligheid bedrijven of organisaties kan helpen met het: coördineren bij cyberbeveiligingsincidenten, adviseren om een oplossing te vinden wanneer er zich cyberbeveiligingsincidenten voordoen, bijstaan om deze beveiligingsincidenten te voorkomen. CERT.be behoort tot BelNET (Cert.be, 2014). Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT). Het BIPT is de federale overheid die de volgende functies uitoefent: - Het is de regulator van de elektronische-communicatiemarkt. - Het is de regulator van de postmarkt. - Het beheert het elektromagnetische spectrum van de radiofrequenties. - Het is een mediaregulator in Brussel-Hoofdstad. (Belgisch Instituut voor postdiensten en telecommunicatie: over ons, 2014) De Federal Computer Crime Unit (FCCU) maakt deel uit van de federale politie en is belast met de bestrijding van de ICT-criminaliteit (ICT: Information and Communication Technology, de computers en de netwerken die ze verbinden) met als doel ook in de cyberwereld de burgers te beschermen tegen alle vormen van traditionele en nieuwe criminaliteit. Deze opdracht omvat ook: de bestrijding van andere criminele fenomenen ondersteunen met 3 FOD: federale overheidsdienst 15/110

16 Onderzoeksopzet Instelling Kerntaken gespecialiseerde recherche in ICT-omgeving. Ook pedofilie op het internet, internetfraude (frauduleuze verkoop op het internet) en telecomfraude behoren tot de competenties. (FCCU - RCCU, 2014) e-ib Entiteit e-government en ICT-Beheer Vlaanderen. Opdracht: - Het aantal personen met toegang tot gevoelige, cruciale en waardevolle informatie binnen de Vlaamse overheid neemt sterk toe. De activiteiten die deze personen uitoefenen, vereisen daarom een gecoördineerde en coherente aanpak om een effectieve en efficiënte beveiliging te realiseren. (ICT, e-government en informatie, 2014) ADIV De Algemene Dienst Inlichting en Veiligheid (ADIV) is de Belgische militaire tegenhanger van de (burgerlijke) staatsveiligheid. Deze dienst is in België beter bekend als 'militaire inlichtingendienst'. Tabel 2: Overzicht van de verschillende overheidsinstellingen die met cybercrime bezig zijn in België Partij Omschrijving N-VA De Nieuw-Vlaamse Alliantie (N-VA) is een jonge partij met een lange voorgeschiedenis die wortelt in het democratisch Vlaams-nationalisme. De N-VA ontstaat in 2001 uit de Volksunie (VU) die in 1954 was opgericht. (N-VA, 2014) CD&V CD&V Christen Democratisch & Vlaams: de Vlaamse Christendemocraten - is meer nog dan een politieke partij, een brede beweging van geëngageerde mensen. CD&V profileert zich als enthousiaste partner van gezinnen, ondernemers en verenigingen. CD&V levert vandaag de Europese president Herman Van Rompuy. (CD&V, 2014) Open Vld De afkorting Vld staat voor Vlaamse Liberalen en Democraten. Vlaanderen is voor Open Vld het eerste en voornaamste beleidsniveau. Open Vld wil de burgers nog meer inspraak geven in onze democratie. Met de toevoeging Open voor de afkorting benadrukken de Vlaamse liberalen dat ze resoluut kiezen voor een open samenleving. (Open VLD, 2014) sp.a Socialistische Partij Anders, afgekort als sp.a, is een Vlaamse sociaaldemocratische politieke partij die in 2012 ongeveer leden telde. De geschiedenis van sp.a is, net zoals die van vele andere sociaaldemocratische partijen, geworteld in de sociaaleconomische strubbelingen van de 19de eeuw.(sp.a, 2014) Groen Groen is een Vlaamse, progressieve en groene politieke partij. (GROEN, 2014) VB Vlaams Belang (vaak afgekort als VB) is een Vlaams-nationalistische en rechts-conservatieve politieke partij die onder meer bekend staat voor haar streven naar een onafhankelijk Vlaanderen, de tegenstand met betrekking tot immigratie door personen die zich volgens de partij weigerachtig opstellen tegen integratie of assimilatie naar westerse normen, de verdediging van de traditionele normen en waarden, en het verzet tegen het oprukken in Europa van de politieke islam en het moslimfundamentalisme. (Vlaams Belang, 2014) Tabel 3: Overzicht van de Vlaamse politieke partijen die gecontacteerd worden 2.2 Onderzoeksbenadering en strategie De literatuurstudie is op inductieve wijze uitgevoerd waarbij een referentiemodel (zie hoofdstuk 4) afgeleid is over het begrip phishing. Dit referentiemodel geeft op een beknopte wijze een overzicht van wat phishing is, welke soorten er bestaan, wat de trends van phishing zijn, welke gevolgen phishing heeft en wat er tegen gedaan kan worden. Op basis van dit referentiemodel is een verkennend onderzoek bij de Belgische overheid uitgevoerd, gebruikmakend van een casestudie (Saunders et al., 2011). Het verkennend onderzoek heeft geresulteerd in een situatieschets (dwarsdoorsnede) van phishing bij de Belgische overheid. Het onderzoek richt zich naar de federale Belgische overheid en naar de Vlaamse overheid. Beide overheden zijn in hun geheel, dus als een holistische casestudie behandeld (Saunders et al., 2011). Uit het empirisch onderzoek is een situatieschets ontstaan die getoetst is aan de resultaten van de literatuurstudie. Deze toetsing is verder geanalyseerd tot er een duidelijk beeld gevormd kon worden over phishing van de Belgische 16/110

17 Onderzoeksopzet overheid. Dit beeld vormt het antwoord op de hoofdvraag. Figuur 2 geeft een schematisch overzicht van de verschillende stappen van het onderzoek: 1. Wetenschappelijke bronnen over phishing zijn gezocht, gecatalogeerd op relevantie en vervolgens doorgenomen. 2. Op basis van de studie van deze wetenschappelijke bronnen is een referentiemodel over het fenomeen phishing opgesteld waarin de definitie van phishing, de soorten van phishing, de frequentie van phishing, de gevolgen van phishing en de anti-phishingmaatregelen zijn opgenomen. 3. Dit referentiemodel is gebruikt om een verkennend onderzoek bij de Belgische overheid uit te voeren m.b.v. een casestudie die gebaseerd is op vragenlijsten. De empirische vragen in deze vragenlijsten zijn gebaseerd op de verschillende aspecten van het referentiemodel. 4. De antwoorden op de empirische vragen vormen een situatieschets van phishing bij de Belgische overheid. 5. De antwoorden op de empirische vragen over phishing bij de Belgische overheid zijn getoetst aan de antwoorden verkregen uit de literatuur. Een eerste toetsing is de vraag of phishing bij de Belgische overheid vergelijkbaar is met de algemene trends over phishing die beschreven worden in de literatuur. Een tweede toetsing is de vraag of phishing bij de Belgische overheid vergelijkbaar is met phishing bij de sector overheid, zoals beschreven in de literatuur. 6. De antwoorden op de literatuurvragen zijn samen met de antwoorden op de empirische vragen geanalyseerd. 7. Uit de analyse is een beeld naar voren gekomen over phishing bij de Belgische overheid. Dit beeld is een situatieschets van de toestand van het fenomeen phishing bij de Belgische overheid in de periode september oktober Literatuurstudie op inductieve wijze 3. Verkennend onderzoek m.b.v. casestudie 2. Referentiemodel over het fenomeen phishing 4. Situatieschets van phishing bij de Belgische overheid Definitie van phishing Soorten van phishing Prevalentie van phishing Gevolgen van phishing Anti-phishing maatregelen 5. Toetsing Soorten van phishing bij de Belgische overheid Prevalentie van phishing bij de Belgische overheid Gevolgen van phishing bij de Belgische overheid Anti-phishing maatregelen bij de Belgische overheid 6. Analyse 7. Beeld van de phishing bestrijding door Belgische overheid Figuur 2: Onderzoeksopzet, waarbij de nummering de volgorde aangeeft van de verschillende fasen 2.3 Methode van literatuuronderzoek Het proces van literatuurstudie (Saunders et al., 2011) werd gevolgd om de nodige literatuur te vinden die op iedere vraag een onderbouwd en kritisch antwoord kan formuleren. Dit proces zorgde voor een verfijning en filtering van de bruikbare literatuur bij iedere iteratie: - Stap 1: parameters / trefwoorden definiëren; - Stap 2: zoeken; - Stap 3: literatuur vastleggen; 17/110

18 Onderzoeksopzet - Stap 4: beoordelen van de literatuur / notities nemen; - Stap 5: een conceptoverzicht maken. De gevonden artikelen zijn met het softwarepakket Endnote X7 bewaard en geciteerd in de teksten. De gebruikte referentiestijl is APA versie 6. De gebruikte primaire literatuurbronnen bestaan voornamelijk uit wetenschappelijke, peer reviewed artikelen uit internationale magazines. Daarnaast is er gebruik gemaakt van een aantal zoekmachines (Google Scholar, Web of Science) die de mogelijkheid bieden om de geciteerde artikelen uit een relevant artikel heel snel op te zoeken. Op die manier kon snel een relevante bibliografie opgebouwd worden. De via het internet gebruikte zoekmachines zijn Google en Google Scholar. De zoekmachines Web of Science, EBESCO host en de IEEE Digital Library zijn via de digitale bibliotheek van de Open Universiteit (portaalsite) gebruikt. De gebruikte secundaire literatuurbronnen bestaan voornamelijk uit artikelen gepubliceerd door securitybedrijven (bijvoorbeeld Symantec) en internationale anti-phishingorganisaties (bijvoorbeeld de Anti-Phishing Working Group, APWG). Deze artikelen bestaan uit rapporten met cijfers over de evolutie van phishing door de jaren heen. In bijlage A is een overzicht opgenomen van de gevonden en de geselecteerde artikelen. De volgende zoektermen zijn gebruikt: social engineering, phishing, phishing (counter)measures, antiphishing, phishing implications, phishing and government, phishing en overheid, cybercrimes, cyberaanvallen en cybercriminaliteit. 2.4 Methode van onderzoek van het empirisch deel Onderzoeksstrategie De onderzoeksstrategie is gebaseerd op een casestudie. Een casestudie maakt het mogelijk om holistische en zinvolle begrippen van real-life-events in het onderzoek te beschrijven (Saunders et al., 2011). Het real-life-event van het empirisch onderzoek betreft phishing bij de Belgische overheid. De casestudie in het empirisch onderzoek is uitgevoerd op basis van interviews, waarbij de vragen waarom? wat en hoe met betrekking tot phishing, in vragenlijsten vervat zijn. Deze interviews zijn telefonisch afgenomen indien de respondent daarvoor open stond en in de andere gevallen heeft de respondent zelf de vragenlijst ingevuld en per verstuurd. Het onderzoek richt zich naar het fenomeen phishing bij de federale Belgische overheid en naar het fenomeen phishing bij de Vlaamse overheid. Beide overheden zijn in hun geheel, dus als een holistische casestudie behandeld (Saunders et al., 2011) Bronnen De geraadpleegde bronnen bestaan uit de cyberbeveiligingsinstellingen van de overheid, weergegeven in Tabel 2 en uit de specialisten van cybercriminaliteit van de verschillende Vlaamse politieke partijen weergegeven in Tabel 3. Deze tweede groep bestaat, afhankelijk van de samenstelling van de regering, uit mensen die het beleid mee bepalen (de specialisten van de partijen die deelnemen aan de regering) of uit mensen die een controlerende functie uitoefenen op de verschillende instanties vanuit het parlement (de oppositie). De respondenten van de tweede groep laten zich meestal bijstaan door medewerkers die gespecialiseerd zijn in bepaalde onderwerpen zoals phishing (cybersecurity). In Tabel 5 is Laurens Bynens (medewerker van Nele Lijnen) daar een voorbeeld van. De respondenten van de regeringspartijen ontvangen hun informatie rechtstreeks van de overheidsinstanties die instaan voor cyberbeveiliging. De respondenten van de oppositiepartijen 18/110

19 Onderzoeksopzet verkrijgen hun informatie via parlementaire vragen. Een derde bron is een ex-consultant, die voor een overheidsinstelling heeft gewerkt als securityspecialist. In Tabel 4 is een overzicht gegeven van de potentiële respondenten en hun functie binnen hun organisatie. Instelling / partij Naam contactpersoon Naam van de potentiële Functie van de contactpersoon / respondent potentiële respondent NVO Dirk Nissen Security officer FedICT Mila Druwe - Marcom manager BelNET Davina Luyten - Persverantwoordelijke CERT Davina Luyten - Persverantwoordelijke BIPT info@bipt.be ICT-afdeling FCCU Walter Coenraets Hoofd FCCU e-ib Anoniem Ex-securityconsultant N-VA Peter Dedecker Federaal parlementslid CD&V Roel Deseyn Federaal parlementslid Open Vld Nele Lijnen Federaal parlementslid sp.a Dajo De Prins Onderzoeksmedewerker SPA Groen Stefaan Van Hecke Federaal parlementslid VB Niet bekend ICT-medewerkers Vlaams Belang Tabel 4: Overzicht van de contactpersonen, potentiële bronnen en hun functies binnen hun organisatie In de volgende paragraaf Dataverzameling wordt uitgelegd hoe de namen van de potentiële respondenten in Tabel 4 verkregen zijn Dataverzameling Alle cyberbeveiligingsinstanties van de overheid in België en in Vlaanderen zijn telefonisch benaderd om de naam van de persoon te pakken te krijgen die via een interview de vragenlijsten zou kunnen beantwoorden. Dit is ook gebeurd voor de Vlaamse partijen. Tabel 4 geeft de namen weer van de personen waarmee er contact is geweest en de namen van potentiële respondenten. Enkel wanneer er geen naam verkregen is voor een potentiële respondent, is de naam van de contactpersoon ingevuld. Om een interview in te plannen is er gebruik gemaakt van een workflow (zie Figuur 3). De personen werden gebeld om te vragen of zij wensten mee te doen aan het onderzoek. Wanneer na drie keren proberen op verschillende tijdstippen de persoon niet telefonisch bereikt kon worden, werd een e- mail met het verzoek tot deelname verstuurd. Als een persoon zich akkoord verklaarde, werd een afspraak gemaakt om ter plaatse of op afstand het interview te nemen. In tweede instantie was het ook mogelijk dat de vragenlijst per verstuurd werd naar de respondent, wanneer de respondent daarop aandrong. Na het afnemen van het interview werden de antwoorden naar de respondent ter controle gestuurd. Na het ontvangen van de gecontroleerde antwoorden of na het ontvangen van de rechtstreeks gestuurde antwoorden is de workflow afgerond en kon de analyse van de ontvangen data van start gaan. 19/110

20 Onderzoeksopzet Mail sturen of persoon wenst mee te doen 3X > 3X Neen Neen Ja Afspraak maken Interview afnemen Resultaat van interview laten controleren Start Bellen Persoon bereikt? Ja Persoon akkoord? OR Einde Ja met vragen sturen Antwoorden per ontvangen Neen Figuur 3: Onderzoeksworkflow gevolgd om de gegevens te bekomen Tabel 5 geeft een overzicht van het aantal ontvangen antwoorden en de vorm van deze antwoorden. De interviews met Peter Dedecker (N-VA) en Stefaan Van Hecke (Groen) zijn telefonisch op een eenop-een basis afgenomen. De vragenlijsten zijn voor het interview per verstuurd omdat dit de respondenten een duidelijk beeld over de context van het onderzoek gaf en het ook eenvoudiger maakte voor de respondenten om antwoorden te geven. Deze één-op-één interviews hadden de voorkeur omdat de vragen en de verschillende begrippen complex van aard zijn. Wanneer de respondent een bepaald begrip niet goed begreep, is dit onmiddellijk verduidelijkt. Een ander voordeel van de één-op-één interviews was het feit dat de interviewer de mogelijkheid had om op bepaalde antwoorden van de respondent dieper in te gaan waardoor interessante feiten naar boven gehaald konden worden. Dit is bij beide interviews gebeurd. De interviewer heeft de antwoorden direct genoteerd. De ingevulde vragenlijst is ter controle naar de respondenten gestuurd om hen de gelegenheid te bieden de antwoorden te controleren en eventueel te verbeteren, wat zij ook gedaan hebben. De overige drie antwoorden (e-ib, CD&V en Open VLD) zijn verkregen via . Bij een asynchroon elektronisch interview zoals was het verduidelijken van begrippen niet mogelijk en kon er een begripsverwarring ontstaan die de onderzoeksresultaten zou beïnvloeden. Deze vorm van interviewen bood ook geen gelegenheid om uit te wijden of om dieper in te gaan op interessante aspecten die door de respondent worden aangegeven. Om dit tot een minimum te herleiden waren de vragenlijsten, die per verstuurd zijn, voorzien van extra uitleg bij iedere vraag en bij ieder begrip. De respondenten die de vragenlijsten per hebben verstuurd, hebben veel bijkomende informatie in bijlage meegestuurd. Deze additionele informatie (parlementaire vragen, Europese rapporten ) is mee verwerkt in het onderzoek (zie paragraaf Niet-wetenschappelijke bronnen). Instelling / partij Antwoord gegeven Vorm van het antwoord Respondent NVO Neen - - FedICT Neen - - BelNET Neen - - CERT Neen - - BIPT Neen - - FCCU Neen - - e-ib Niet rechtstreeks Ingevulde vragenlijst Anoniem ADIV Neen - - N-VA Ja Telefonisch interview Peter Dedecker CD&V Ja Ingevulde vragenlijst Wim Scharpé (Roel Deseyn) 20/110