| Ingediend | 7 augustus 2014 |
|---|---|
| Beantwoord | 5 september 2014 (na 29 dagen) |
| Indieners | Magda Berndsen (D66), Kees Verhoeven (D66) |
| Beantwoord door | Opstelten (minister justitie en veiligheid) (VVD) |
| Onderwerpen | criminaliteit openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z13907.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2947.html |
Ja.
Deze claim kan ik bevestigen noch ontkennen. Behalve de mediaberichten is vooralsnog geen feitelijke informatie beschikbaar.
Het NCSC heeft direct contact gezocht met Hold Security om meer informatie te krijgen. Tot dusverre is door Hold Security geen gedetailleerde informatie gedeeld met het NCSC over de buitgemaakte data.
Buiten de mediaberichten is geen feitelijke informatie beschikbaar waardoor de precieze impact van de datadiefstal niet is vast te stellen. Het is daarmee onbekend welke organisaties en individuen mogelijk zijn geraakt, of hier Nederlandse partijen tussen zitten en via welke websites de gegevens zijn buitgemaakt.
Het NCSC staat conform haar reguliere rol in nauw contact met haar internationale partners om aanvullende informatie te verkrijgen. Op basis van de beperkt beschikbare feitelijke informatie heeft het NCSC haar doelgroep van rijksoverheid en vitale sectoren geïnformeerd.
Het wetsvoorstel meldplicht datalekken strekt ertoe de huidige Wet bescherming persoonsgegevens (Wbp) te versterken. Naast de bestaande verplichtingen om persoonsgegevens op behoorlijke en zorgvuldige wijze te verwerken en op passende wijze tegen verlies of onrechtmatige verwerking te beveiligen, zal de Wbp – na inwerkingtreding van dit wetsvoorstel – een verplichting bevatten om inbreuken op de beveiliging van persoonsgegevens te melden aan de toezichthoudende instantie (College bescherming persoonsgegevens) en aan de getroffen personen. Van belang is dat deze meldingen onverwijld geschieden, opdat zo snel mogelijk duidelijk wordt welke maatregelen de getroffen organisatie heeft genomen of voorstelt te nemen om de negatieve gevolgen van de inbreuk te verhelpen. Daarnaast dient de getroffen organisatie aan te geven welke maatregelen de getroffen personen zelf kunnen nemen om de nadelige gevolgen van de inbreuk te beperken. Hierbij kan worden gedacht aan het wijzigen van wachtwoorden. Niet ieder denkbaar datalek valt onder de wettelijke meldplicht. Of een datalek moet worden gemeld is afhankelijk van de aard en de omvang van de inbreuk en de aard van de getroffen persoonsgegevens. Dit is ter beoordeling van de individuele verantwoordelijke. In zijn algemeenheid geldt dat bij een hack als waarvan in de berichtgeving sprake is, waarbij inloggegevens en emailadressen zouden zijn buitgemaakt, een melding al snel gepast zal zijn in verband met risico’s op misbruik van deze persoonsgegevens, zoals identiteitsfraude en andere vormen van (financiële) fraude.
Buiten de mediaberichten is geen feitelijke informatie beschikbaar waardoor niet aan te geven is of de informatie daadwerkelijk via SQL-injectie verkregen is. In de media wordt aangegeven dat criminelen de gegevens zouden hebben verkregen van ruim 400.000 verschillende websites afkomstig uit zowel de VS als daarbuiten. De gegevens zouden onder andere zijn buitgemaakt door misbruik te maken van SQL-injectie, een veel voorkomende kwetsbaarheid die aanwezig was (en mogelijk nog is) in de betreffende 400.000 websites.
Gezien de tot nu toe bekende informatie is weinig te zeggen of in dit bijzondere geval binnendringen in deze geautomatiseerde werken een rol zou kunnen spelen bij het beperken van de schade die is ontstaan door het gebruik van het botnet. In het algemeen kan wel gesteld worden dat de uitbreiding van de mogelijkheden voor politie en Openbaar Ministerie die deel uitmaken van het wetsvoorstel Cybercrime III in de toekomst bij zullen dragen aan de bestrijding van botnets. In het bijzonder het binnen dringen in een geautomatiseerd werk geeft de mogelijkheid om bijvoorbeeld command en controlservers van botnets te onderzoeken en zonodig uit te schakelen. Daarna kan ook in kaart gebracht worden welke computers in het botnet zitten en kan verdere actie genomen worden om deze computers daar uit te (laten) verwijderen. Dit zal dan zeker bijdragen aan het beperken van de schade.