| Ingediend | 19 maart 2014 |
|---|---|
| Beantwoord | 8 april 2014 (na 20 dagen) |
| Indiener | Astrid Oosenbrug (PvdA) |
| Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
| Onderwerpen | bestuur economie gemeenten ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z05063.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-1667.html |
Ja.
Dat inzicht heb ik gedeeltelijk. Overheidsorganisaties bij het Rijk, gemeenten, provincies en waterschappen zijn en blijven zelf verantwoordelijk voor de wijze waarop zij passend invulling geven aan hun ICT- vervangingsbeleid. In interbestuurlijk verband heb ik mijn partners in het openbaar bestuur (te weten het Rijk, provincies, gemeenten en waterschappen) meermaals aangesproken op de beëindiging van de ondersteuning van Windows XP, Office 2003 en Exchange en is de urgentie ervan erkend. Het up to date houden van computersystemen is natuurlijk ook onderdeel van de Baseline in de verplichtende zelfregulering en de toetsen die daarop zijn of worden ingericht ter controle. Ook is het onderliggend onderdeel van de verantwoording bij het in control statement dat moet worden afgegeven.
Bij de Rijksoverheid ging het begin maart om 34.000 tot 40.000 werkplekken bij de verschillende ministeries en departementen.
Er zijn gemeenten die nog gebruik zullen maken van computers die draaien op Windows XP, Office 2003 en Exchange na 8 april aanstaande. Dit aantal vermindert, omdat de uitfasering bij gemeenten gaande is. De Informatiebeveiligingsdienst (IBD) heeft gemeenten geïnformeerd over de migratie van Windows XP, Office 2003 en Exchange en wijst gemeenten op haar verantwoordelijkheid passend invulling te geven aan de adviezen die zij samen met het NCSC uitbrengt.
Vanaf 8 april aanstaande staakt Microsoft de ondersteuning van Windows XP,Office 2003 en Exchange waarna er geen nieuwe beveiligingsupdates voor zullen worden uitgebracht. Het voortdurend gebruik van Windows XP, Office 2003 en Exchange brengt beveiligingsrisico’s met zich mee, met name op PC’s met een directe toegang tot het Internet. Deze PC’s zullen kwetsbaar worden voor aanvallen van buitenaf (zoals virussen waardoor een aanvaller toegang kan verkrijgen tot informatie op betreffende PC) en na besmetting kunnen aanhoudende aanvallen zich voordoen op het interne kantoornetwerk van een overheidsinstelling. Het risico van deze aanvallen in organisaties wordt aanzienlijk beperkt door het toepassen van gelaagde beveiliging, zoals het gebruik van antivirussoftware en een firewall uitgerust met Intrusion Detection/Prevention System (IDS/IPS). Dit zal echter niet alle aanvallen kunnen tegenhouden.
Bij een aantal organisaties van de Rijksoverheid zijn middels zogeheten Customer Support Agreement (CSA) afgesloten met Microsoft, het gaat dan om beveiligingsmaatregelen genomen voor kritische beveiligingslekken. Momenteel verkennen mijn partners in het openbaar bestuur (provincies, gemeenten en waterschappen) op welke wijze een CSA- regeling ook voor de medeoverheden kan worden bewerkstelligd.
Ook heeft het NCSC in oktober 2013, door middel van het publiceren van een factsheet, alle gebruikers en beheerders van computers met Windows XP met klem geadviseerd om over te stappen naar een ander besturingssysteem. Het NCSC heeft verder geschreven dat als het op korte termijn niet mogelijk is om over te stappen op een ander besturingssysteem, het dan belangrijk is om verbindingen met de buitenwereld, via internet, tot een minimum te beperken.
Voor kritieke systemen die vallen onder de verantwoordelijkheid van de Rijksoverheid waarop Windows XP, Office 2003 en Exchange nog draait na 8 april aanstaande, geldt dat op deze computers een zogeheten Customer Support Agreement (CSA) van Microsoft is inbegrepen. Het komt erop neer dat kritieke patches nog worden bijgewerkt en dat de migratie naar een nieuw besturingssysteem zo snel als mogelijk plaatsvindt. Voor wat betreft de Basisregistratie Personen (BRP), voorheen GBA, geldt dat er geen computers in gebruik zijn die draaien op Windows XP. De koppelingen zijn op het niveau van het berichtenverkeer: een gemeente stuurt een bericht naar de BRP en de BRP stuurt een bericht terug. Voor de centrale voorziening van het Suwinet geldt eveneens dat Windows XP niet wordt toegepast in het berichtenverkeer en gegevensverwerking, evenals voor de DigiD- voorziening.
In het kader van de DigiD-assessments wordt bij organisaties die op DigiD aansluiten het patchmanagement beoordeeld, waaronder impliciet het gebruik van een actueel besturingssysteem.
Indien overheidsorganisaties gebruik maken van de Suwinet-Inkijkpagina’s in combinatie met Windows XP op de werkstations, dan is er bij deze organisaties sprake van een beveiligingsrisico en van groot belang dat deze organisaties passende maatregelen treffen. Hierop ga ik nader in bij vraag 10.
De gebruiksvoorwaarden van eHerkenning vereisen dat de gebruiker van het eHerkenningsmiddel (dit kan een bedrijf zijn of een overheidsorganisatie) zorg draagt voor voldoende beveiliging van de netwerkverbindingen en systemen die onder diens verantwoordelijkheid vallen en die door het bedrijf of de overheidsorganisatie worden gebruikt om in te loggen met eHerkenning. Het gebruik van Windows XP vormt hierbij een potentieel risico voor de integriteit van de dataverwerking. Zo bestaat bijvoorbeeld het risico dat malware de inloggegevens afvangt of de waarden aanpast op het formulier dat wordt ingevuld (bv. het gevraagde subsidiebedrag of het rekeningnummer waarop de subsidie dient te worden overgemaakt). De dienstverlening van eHerkenning is en blijft echter veilig: de integriteit van het berichtenverkeer kan niet worden aangetast zonder dat dit binnen eHerkenning wordt opgemerkt. Indien de gebruiker dus na 8 april 2014 gebruik blijft maken van Windows XP, voldoet de gebruiker niet meer aan de gestelde eis van voldoende beveiliging. Op de website van eHerkenning wordt geattendeerd te stoppen met het gebruik van Windows XP. Daarnaast zullen de bij eHerkenning betrokken erkende aanbieders door Logius worden gevraagd om hun klanten te wijzen op de gestelde eis van voldoende beveiliging en dat zij na 8 april hier niet meer aan voldoen indien zij Windows XP gebruiken. De bij eHerkenning betrokken erkende aanbieders maken in het operationele netwerk eHerkenning geen gebruik meer van Windows XP.
Bij DigiD worden geen eisen gesteld aan de computersystemen van eindgebruikers. Wel wordt op de website van DigiD (en ook de website van MijnOverheid.nl) geattendeerd te stoppen met het gebruik van Windows XP. Daarnaast wordt er op de DigiD website een aantal tips gegeven hoe de burger zijn computer gezond kan houden. Zie: https://www.digid.nl/veiligheid/ (onder het kopje «Houd uw computer gezond»). Het gegevensverkeer van en naar DigiD is wel beschermd omdat gebruik wordt gemaakt van zogenaamde PKI overheidscertificaten bij eindgebruiker en DigiD zelf.
DigiD zelf gebruikt geen op Windows XP draaiende computers om te communiceren of data te verwerken en vormt hierbij geen potentieel risico voor de integriteit van dataverwerking.
Voor burgers en bedrijven in Nederland is het van groot belang dat zij -voor de veiligheid van hun persoonlijke gegevens/klantgegevens- zo spoedig mogelijk stoppen met het gebruik van Windows XP. Als burgers en bedrijven met Windows XP blijven werken, lopen ze op het internet een risico om slachtoffer te worden van cybercrime. Dat geldt bij allerlei soorten handelingen, of het nu gaat om internetbankieren, bestellen bij webwinkels, raadplegen van informatie of het doen van zaken met de overheid.
In de Nationale Cyber Security Strategie 2 (vergaderjaar 2013 – 2014, Kamerstuk 26 643, nr. 291) wordt van burgers een zekere basis-cyberhygiëne en bekwaamheid verwacht als zij ICT gebruiken, bijvoorbeeld bij het surfen op het web. Denk aan voorzichtig zijn met persoonlijke gegevens, het uitvoeren van updates, het gebruik van sterke wachtwoorden en het in evenwicht brengen van functionaliteit en cybersecurity. De overheid zet in op het vergroten van de digitale weerbaarheid van overheid, burgers en bedrijfsleven, bijvoorbeeld via het onderwijs.
Overheidsorganisaties zijn al enkele jaren op de hoogte van de voorgenomen beëindiging van de ondersteuning van Windows XP door Microsoft op 8 april aanstaande. Veel organisaties hebben dan ook de uitfasering van Windows XP opgenomen in het meerjarige beveiligingsplan. Op 3 juli 2013 is uw Kamer over de risico’s geïnformeerd in het Cyber Security Beeld Nederland – 3 (vergaderjaar 2012 – 2013, Kamerstuk 26 643, nr. 285). De vorig jaar opgerichte IBD heeft gemeenten in oktober 2013 op de hoogte gesteld en geattendeerd op de factsheet van het NCSC hieromtrent. Ook is gemeenten, die niet voor 8 april a.s. zullen migreren, dringend geadviseerd het bij antwoord 4 genoemde advies van het NCSC op te volgen en bij vragen de helpdesk van de IBD te bellen. Vervanging van besturingssystemen op de PC’s en servers gaat niet van de ene op de andere dag. Er zit veelal samenhang met applicaties en daardoor kunnen er grote vervangingstrajecten nodig zijn. Sommige overheidsorganisaties geven daarom aan dat het niet gaat lukken om voor 8 april a.s. over te stappen naar een ander besturingssysteem.
De zorgen van het College bescherming persoonsgegevens (Cbp) begrijp ik. Er worden met de IBD/VNG en de Taskforce BID gezamenlijk stappen gezet om de informatieveiligheid bij gemeenten nader invulling te geven. Ook mijn collega’s van de bij de decentralisaties betrokken departementen zijn hier mee bezig. Zie verder ook mijn antwoord op vraag 3 van het lid Van Toorenburg met kenmerk 2014Z04940. De rol van het Cbp is hierin onafhankelijk. Het Cbp heeft de mogelijkheid handhavend op te treden indien gemeenten niet voldoen aan de vereisten van de Wbp.
Er zijn overheden die gebruik maken van computers die draaien op Windows XP, ook na 8 april aanstaande. Dit aantal vermindert, omdat de uitfasering van Windows XP bij steeds meer overheden plaatsvindt. Vanuit mijn coördinerende verantwoordelijkheid voor de kwaliteit van het openbaar bestuur heb ik mijn partners in het openbaar bestuur er op aangesproken tijdig over te gaan naar een nieuwer besturingssysteem. Ook het Ministerie van Veiligheid & Justitie heeft middels de factsheet van het NCSC in oktober 2013 alle gebruikers en beheerders van computers (ook bij de overheid) met Windows XP met klem geadviseerd om over te stappen naar een ander besturingssysteem.