Ingediend | 1 februari 2012 |
---|---|
Beantwoord | 19 maart 2012 (na 47 dagen) |
Indieners | Gerard Schouw (D66), Wassila Hachchi (D66) |
Beantwoord door | Liesbeth Spies (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Opstelten (minister justitie en veiligheid) (VVD) |
Onderwerpen | economie ict industrie |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2012Z01694.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20112012-1881.html |
Ja.
Ja. Het is niet nodig om over uitzonderlijk geavanceerde software te beschikken om een aanval op een beheerssysteem van bijvoorbeeld een riolering te laten slagen. In het Cyber Security Beeld Nederland (CSBN) 2011 is niet anders gesuggereerd.
Het CSBNgaat enerzijds in op generieke risico's van SCADA-systemen en anderzijds op de specifieke mogelijkheid van een gerichte aanval met een variant op de Stuxnet malware om een vitaal proces te verstoren. Over dit laatste stelt het CSBN dat het ontwikkelen van een variant op Stuxnet om op soortgelijke wijze SCADA-systemen van andere vitale processen te verstoren «diepgaande kennis vereist van het aan te vallen proces».
Organisaties binnen de overheid en de commerciële sector zijn zelf verantwoordelijk voor hun SCADA-systemen.
Het NCSC adviseert de overheid en de commerciële sector over veiligheid van SCADA-systemen. Zo heeft het NCSC een checklist2 «security on-line SCADA-systemen» ontwikkeld . Deze adviezen zijn gezonden aan vitale organisaties bij de overheid en in de commerciële sector.
Toezicht op de veiligheid van SCADA-systemen ligt bij sectorale toezichthouders, die vallen onder de relevante vakdepartementen. Naast algemene wet- en regelgeving bestaat er op het sectorale niveau relevante wet- en regelgeving met daarbij voor de diverse sectoren van toepassing zijnde verplichtingen. Deze wet- en regelgeving laat zich veelal kenmerken door de specifieke focus op de sector.
Ik onderschrijf de waarschuwing voor het gevaar van USB-sticks. Het NCSC/Govcert.nl heeft in adviezen over informatiebeveiliging gewezen op de risico’s die zijn verbonden aan het gebruik van USB-sticks.
(Vitale) organisaties zijn zelf verantwoordelijk voor het uitvoeren van de adviezen van het NCSC, het opstellen van beveiligingsprotocollen en de naleving daarvan. Het valt nooit helemaal uit te sluiten dat datadragers van buitenaf worden ingevoerd. Met betrekking tot het door u aangehaalde voorbeeld van de kerncentrale Borssele merk ik op dat de beveiliging van de centrale in algemene zin een hoge prioriteit kent. Zo heeft in het najaar 2011 een stresstest safety door de vergunninghouder van de kerncentrale Borssele plaatsgevonden. Hierin is ondermeer onderzocht of, en zo ja op welke wijze, cyberaanvallen op onder meer sturingssystemen van de kerncentrale uitgevoerd kunnen worden. Geconcludeerd is dat de systemen in de kerncentrale goed uitgerust is om dit soort aanvallen te kunnen weerstaan.
Het aansluiten van Industriële Controle Systemen(ICS) zoals SCADA op het internet vergroot de veiligheidsrisico’s. Voor alle systemen die een koppeling hebben met het internet geldt dan ook, dat hierbij uiterste zorgvuldigheid betracht dient te worden. De beveiliging van dergelijke systemen is een verantwoordelijkheid van ieder betrokken bedrijf of organisatie. Zoals gezegd zal het NCSC intensief samenwerken met de vitale sectoren om de kennis over SCADA-systemen en de beveiliging daarvan op een hoger niveau te brengen.
Ook op Europees niveau is er aandacht voor de veiligheidsrisico’s van procesbesturingsystemenen en lopen er al diverse activiteiten.