| Ingediend | 4 juni 2019 |
|---|---|
| Beantwoord | 16 juli 2019 (na 42 dagen) |
| Indiener | Kees Verhoeven (D66) |
| Beantwoord door | Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | criminaliteit openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z11050.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-3477.html |
Ja.
Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.
Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.
Aanvallen als deze zijn zeer onwenselijk en het is uitermate vervelend dat burgers (tijdelijk) niet kunnen beschikken over overheidsdiensten waar ze normaal gesproken op moeten kunnen vertrouwen. De lokale overheid van Baltimore heeft gemeld dat alle diensten bereikbaar en leverbaar zijn, zij het soms via alternatieven als tijdelijke mailadressen. Over de kosten zijn geen mededelingen gedaan, anders dan dat de lokale overheid niet aan het verzoek tot betaling van het losgeld zal voldoen2.
Het kabinet doet er alles aan om te voorkomen dat een dergelijke situatie zich in Nederland zal voordoen. Mogelijke dreigingen worden zeer serieus genomen en risico’s worden, waar mogelijk, gemitigeerd. Ten aanzien van Eternal Blue kan gezegd worden dat het kabinet bekend is met deze exploit en de dreiging die daarvan uitgaat. In het Cyber Security Beeld Nederland (CSBN) 2018 is deze exploit al meerdere keren genoemd3. In het in 2017 gepubliceerde beveiligingsadvies (NCSC-2017–02294) van het Nationaal Cyber Security Centrum (NCSC) werd de kans op misbruik van de kwetsbaarheid, door gebruik van deze exploit, als «hoog» geclassificeerd. Deze classificatie was vanwege actief misbruik van deze kwetsbaarheid, met een hoge kans op schade wanneer een organisatie getroffen wordt. Dit beveiligingsadvies is nog steeds van kracht. Het NCSC blijft de ontwikkelingen nauwlettend volgen en indien er reden toe is zal het beveiligingsadvies worden aangepast. Op dit moment is daar echter geen aanleiding voor.
Ten aanzien van het voorbereiden van organisaties op digitale aanvallen is het van belang te melden dat dit kabinet via de Nederlandse Cyber Security Agenda (NCSA) investeert in het versterken van de digitale weerbaarheid. Zo wordt met de uitvoering van verschillende maatregelen onder de NCSA het Nederlandse stelsel van samenwerkingsverbanden versterkt. Door dit stelsel wordt informatie over kwetsbaarheden bij zo veel mogelijk organisaties bekend en kunnen organisaties passende maatregelen treffen. Voor het bereiken van de organisaties die buiten de vitale infrastructuur en de rijksoverheid vallen, is in 2018 het Digital Trust Center (DTC) in het leven geroepen. Het DTC en het NCSC werken samen om, ter verhoging van de cyberweerbaarheid van de onderscheidenlijke doelgroepen (niet-vitale bedrijfsleven; rijksoverheid en vitale bedrijven), zo veel als mogelijk informatie te kunnen ontsluiten. Het uitgangspunt daarbij is dat organisaties binnen genoemde doelgroepen zelf het best in staat zijn om vanuit hun eigen verantwoordelijkheid en inzicht in de bedrijfsprocessen, te bepalen hoe zij patchmanagement voor hun organisatie hebben georganiseerd. Uitstel of afstel van updates en het nemen van alternatieve mitigerende maatregelen kan voor een organisatie soms een keuze zijn in verband met de continuïteit van processen. Wanneer het echter misgaat kan het wel grote gevolgen hebben. Daarom wordt bijvoorbeeld op de website van het NCSC ook informatie gedeeld over het inrichten van patchmanagement om organisaties daarbij te helpen. Daarnaast is er een actieve rol voor het DTC om het niet-vitale bedrijfsleven daarin goed te bereiken. Vanzelfsprekend wordt ook op de website van het Digital Trust Center informatie gedeeld over onder andere updates.
Uiteraard is het zorgelijk dat wordt gesignaleerd dat machines in Nederland mogelijk nog steeds kwetsbaar zijn voor misbruik doordat updates niet zijn gedraaid. Echter de hoge score in de lijst hangt samen met de hoge mate van digitale connectiviteit van Nederland. Nederland is immers één van de meest gedigitaliseerde landen ter wereld. Ondanks deze wetenschap is het belangrijk ervoor te zorgen dat machines in Nederland weerbaar zijn. Het NCSC adviseert met het oog hierop, net als bij alle andere bekende kwetsbaarheden, om systemen tijdig en volledig te updaten met de meest recente beveiligingsupdates of alternatieve mitigerende maatregelen te treffen. Hierover publiceert het NCSC zoals gezegd beveiligingsadviezen. Sinds de komst van het DTC is er ook een mogelijkheid om het niet-vitale bedrijfsleven actief te benaderen. Het NCSC en het DTC werken samen om beveiligingsadviezen zo breed mogelijk te delen.
Ik zie vanwege deze ene specifieke kwetsbaarheid geen reden het overheidsbrede patchbeleid aan te passen, zoals dat is opgesteld in de Baseline Informatiebeveiliging Overheid6 (BIO). De BIO bevat ten aanzien van kwetsbaarheden en patches de volgende bepalingen:
Zoals gezegd wordt de kans op misbruik van deze kwetsbaarheid sinds 2017 door het NCSC als «hoog» geclassificeerd vanwege actief misbruik dat is waargenomen. In geval van een kwetsbaarheid met een hoge kans op misbruik en hoge vervolgschade neemt het NCSC actief contact op met organisaties in haar doelgroep (rijksoverheid, vitale bedrijven), met het advies direct actie te ondernemen. Het beveiligingsadvies van het NCSC omtrent deze kwetsbaarheid en de daarmee samengaande maatregelen zijn nog steeds van kracht.
Tot slot is het goed te vermelden dat in Baltimore de gemeente werd getroffen. In Nederland is in een dergelijk geval de Informatiebeveiligingsdienst (IBD) het sectorale computercrisisteam voor alle Nederlandse gemeenten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en werkt daartoe onder meer samen met het NCSC.
Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.