| Ingediend | 25 april 2017 |
|---|---|
| Beantwoord | 24 mei 2017 (na 29 dagen) |
| Indieners | Cem Laçin , Maarten Hijink |
| Beantwoord door | Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD), Sharon Dijksma (staatssecretaris infrastructuur en waterstaat) (PvdA) |
| Onderwerpen | economie ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z05588.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-1948.html |
Ik heb kennis genomen van het feit dat er een storing is geweest in het reserveringssysteem van Amadeus. Naar aanleiding van deze casus heb ik contact gehad met de luchtvaartsector. Uit de gesprekken blijkt dat er slechts sprake is geweest van een kortstondige verstoring die snel is verholpen.
Mij is uit informatie van betrokken partijen gebleken dat vanwege een lokaal hardware probleem in het data centrum bij Amadeus, de systemen bij Amadeus gedurende een korte tijd niet bereikbaar waren. Amadeus heeft hierop aan KLM bevestigd dat hier geen hack of een andere moedwillige actie aan ten grondslag lag. Hierbij is door Amadeus tevens aangegeven dat er door of als gevolg van de storing geen privacygevoelige informatie van reizigers of luchtvaartpersoneel in verkeerde handen is gevallen. Ook andere maatschappijen, voornamelijk in Europa, hebben last gehad van deze storing. Het verhelpen van storingen is uiteraard de verantwoordelijkheid van de eigenaar van desbetreffende systemen, zoals Amadeus.
Zie antwoord vraag 2.
De verantwoordelijkheid voor de informatiebeveiliging ligt in dit geval bij de eigenaar van systemen. In het openbaar worden over de veiligheid van individuele systemen geen mededelingen gedaan, juist gelet op de veiligheid. Wel kan ik u aangeven dat tussen de betrokken private partijen onderling sprake is van contractuele afspraken. In het contact met het Ministerie van Infrastructuur en Milieu is door KLM aangegeven dat storingen altijd samen met Amadeus geëvalueerd worden en er afspraken worden gemaakt over verbeterstappen. Deze specifieke storing is door Amadeus onderzocht en er zijn maatregelen genomen. KLM heeft contractuele afspraken met Amadeus over de beschikbaarheid van de systemen, inclusief boeteclausules als Amadeus daar niet aan voldoet.
Digitalisering is doorgedrongen in de haarvaten van de samenleving. Het is daarom onontkoombaar dat er een bepaalde afhankelijkheid van ICT-systemen ontstaat, echter het gebruik van dergelijke systemen heeft ook nadrukkelijke voordelen. Zo leidt het gebruik van Amadeus door wereldwijde inzet tot grotere uniformiteit en wordt daardoor de efficiëntie aanzienlijk vergroot. Vanwege de afhankelijkheid is het van groot belang dat door de eigenaar in het licht van de eigen verantwoordelijkheid reeds maatregelen zijn getroffen om de continuïteit van dit systeem te borgen.
Een schatting is vanuit de overheid niet te geven. De economische schade heeft zich in ieder geval geuit in de vorm van tientallen vertraagde vluchten en een uur durende verstoring van de online ticketverkoop.
In lijn met de conclusies in het Cybersecuritybeeld Nederland 20152 is het in algemene zin inderdaad zo dat er steeds minder fysieke alternatieven zijn op het moment dat digitale voorzieningen niet werken. Uiteraard maakt dit kwetsbaar. Dit is ook de reden waarom door de sector wordt gewerkt aan passende maatregelen. Zo zijn er draaiboeken om de negatieve gevolgen van grote verstoringen, zoals extreem weer, elektriciteitsstoring en uitval van
ICT-systemen, te beperken, alsmede contractuele afspraken tussen partijen onderling.
Ten overvloede wil ik benadrukken dat, zoals in antwoord op vraag 4 is aangeven, er in het geval van Amadeus geen sprake was van een aanval door een hacker, en dat het dus geen waarschuwing in die zin is. Het is echter wel een illustratie van de toegenomen afhankelijkheid van ICT-voorzieningen.
Op dit moment wordt door het Ministerie van Veiligheid en Justitie samen met de betrokken vakdepartementen gewerkt aan de totstandbrenging van de implementatiewetgeving betreffende de Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn), waarin voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan zijn vastgelegd.
Hierover wordt uw Kamer, conform eerder toezegging, op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd. Uiteraard staan we hierbij in nauw contact met de private sector. Dit in aanvulling op reguliere overlegstructuren.
Zie antwoord vraag 7.
Zie antwoord vraag 7.
De overheid heeft de afgelopen jaren ingezet op het verhogen van de digitale weerbaarheid, ofwel de cybersecurity, van de vitale infrastructuur. Zoals reeds aangeven, wordt door de implementatie van de NIB-richtlijn tevens invulling gegeven aan het realiseren van een beveiligingsverplichting voor de vitale infrastructuur.