Ingediend | 15 juni 2017 |
---|---|
Beantwoord | 24 augustus 2017 (na 70 dagen) |
Indiener | Attje Kuiken (PvdA) |
Beantwoord door | Henk Kamp (minister economische zaken) (VVD), Stef Blok (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties, minister justitie en veiligheid) (VVD) |
Onderwerpen | criminaliteit economie energie natuur en milieu openbare orde en veiligheid overige economische sectoren |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z08332.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-2527.html |
Ja.
In de Nederlandse energiesector wordt veelal gebruik gemaakt van apparatuur en communicatieprotocollen gelijk aan, dan wel vergelijkbaar met, de apparatuur en protocollen waar de malware Industroyer zich op richt. Dit is inherent aan standaardisering en interoperabiliteit. Het is niet uit te sluiten dat de malware ingezet zou kunnen worden tegen systemen van Nederlandse energiebedrijven.
Om schade aan te kunnen richten met de malware dient een aanvaller van buitenaf toegang tot het netwerk van het doelwit te verkrijgen. Pas daarna kan de malware worden ingezet om te communiceren met industriële controlesystemen. Het is qua weerbaarheid dan ook zaak dat partijen er zorg voor dragen dat een aanvaller van buitenaf niet binnendringt op het netwerk om deze aanvalstechniek in te zetten. Dit vraagt niet om een andere inzet dan bij de bescherming tegen andere aanvallen. Het is aan de partijen zelf om maatregelen te nemen die de kans op misbruik beperken of wegnemen, zoals het installeren van software-updates om kwetsbaarheden weg te nemen, en om maatregelen te nemen die de impact van misbruik kunnen beperken, zoals het implementeren van detectie- en monitoringoplossingen om aanwezigheid van (bekende vormen van) malware te kunnen herkennen. Het managen van cybersecurityrisico’s is voor de energiebedrijven een continu proces. Uiteraard ligt de verantwoordelijkheid voor informatiebeveiliging primair bij de partijen zelf.
Zie antwoord vraag 2.
Overheid en vitale organisaties werken in Nederland samen aan de bescherming van de vitale infrastructuur. De rol van de overheid wordt in generieke zin onder andere ingevuld door middel van wet- en regelgeving. Het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid en Justitie heeft tot taak vitale aanbieders over dreigingen en incidenten te informeren en adviseren en daarbij zo nodig ook anderszins bijstand te verlenen, teneinde maatschappelijke ontwrichting die daarvan mogelijkerwijs het gevolg is te voorkomen en beperken.
Transport en distributie van elektriciteit en gas zijn aangemerkt als vitale processen. Op grond van de Elektriciteitswet 1998 en de Gaswet hebben de netbeheerders de verantwoordelijkheid zorg te dragen voor een veilig en efficiënt transport van energie. ICT beveiliging maakt daar intrinsiek onderdeel van uit. De netbeheerder dient datgene te doen dat binnen zijn (juridische) mogelijkheden ligt om de integriteit van zijn netwerk te beschermen. Op een goede taakuitoefening door de netbeheerders ziet de toezichthouder ACM toe. Energiebedrijven onderhouden contact met relevante overheidsdiensten en partner organisaties om de security controls aan te passen aan nieuwe threat intelligence.
Voorts zij nog gewezen op de Europese Netwerk- en informatiebeveiligingsrichtlijn en de implementatiewetgeving die hiervoor in voorbereiding is, die onder meer voorziet in de verplichting van vitale aanbieders in de energiesector om passende beveiligingsmaatregelen te nemen met betrekking tot hun netwerk- en informatiesystemen, en toezicht op de naleving daarvan. Het implementatiewetsvoorstel is op 16 juni jl. in consultatie gebracht.
Ja, ESET biedt als leverancier oplossingen aan voor bescherming van systemen. In algemene zin geldt dat meerdere digitale beveiligingsbedrijven commerciële toepassingen aanbieden. Het is aan partijen zelf of en op welke wijze zij hiervan in het kader van de beveiliging van hun systemen gebruik maken.
Wat het concrete incident in Oekraïne betreft merk ik overigens nog op dat ESET hiervan actief melding heeft gemaakt bij het NCSC en partijen in de energiesector. De relevante Nederlandse partijen waren dan ook tijdig op de hoogte van het rapport van ESET. Het NCSC blijft de situatie monitoren met het oog op het waar nodig tijdig kunnen informeren en adviseren van genoemde partijen.
Hierbij bericht ik u, mede namens de Minister van Economische Zaken, dat de schriftelijke vragen van het lid Kuiken (PvdA) over het bericht dat malware mogelijk energiebedrijven kan platleggen (ingezonden 15 juni 2017) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.