Ingediend | 31 januari 2020 |
---|---|
Beantwoord | 6 maart 2020 (na 35 dagen) |
Indieners | Harry van der Molen (CDA), Chris van Dam (CDA), Joba van den Berg-Jansen (CDA) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
Onderwerpen | economie ict |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z01740.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20192020-2008.html |
Ja.
Citrix heeft op 17 december 2019 de kwetsbaarheid bekend gemaakt en tussentijdse mitigerende maatregelen beschikbaar gesteld voor de kwetsbare Citrix-producten. Of bij goed doorvoeren gebruikers beschermd waren tegen de kwetsbaarheid, hangt af van meer factoren dan alleen het al dan niet juist doorvoeren van deze maatregelen. Na de bekendmaking van de kwetsbaarheid door Citrix, heeft het Nationaal Cyber Security Centrum (NCSC) op 18 december 2019 in een beveiligingsadvies geadviseerd om de door Citrix beschikbaar gestelde tussentijdse mitigerende maatregelen door te voeren. In januari 2020, heeft het NCSC op basis van de toen beschikbare informatie geconcludeerd dat niet alleen als de tussentijdse mitigerende maatregelen niet of niet goed waren doorgevoerd, maar ook als deze niet vóór 9 januari 2020 op de juiste wijze waren doorgevoerd, organisaties ervan moesten uitgaan dat hun systemen niet beschermd waren. Daarnaast heeft Citrix 16 januari 2020 aan het NCSC gemeld dat de tijdelijke beschikbaar gestelde oplossing bij één softwareversie mogelijk niet effectief is geweest. Dit was ten tijde van bekendmaking van de kwetsbaarheid door Citrix nog niet bekend. Het NCSC heeft steeds zijn adviezen afgestemd op de laatst beschikbare informatie. Voor een overzicht hiervan verwijs ik u naar de brieven aan uw Kamer over dit onderwerp van 20 en 23 januari 2020.2
Het beveiligingsadvies van het NCSC van 18 december 2019 is op 24 december 2019 verhoogd naar het hoogste niveau (high/high: hoge kans op misbruik én hoge schade aan systemen bij misbruik). De overheid hanteert de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader voor haar informatiebeveiliging. Ten aanzien van kwetsbaarheden met een hoge kans op misbruik en een hoge schade aan systemen bij misbruik (high/high) schrijft de BIO voor kwetsbaarheden binnen één week op te lossen en in de tussentijd mitigerende maatregelen te treffen op basis van een risicoafweging.
Er zijn bij het NCSC en CIO-Rijk geen aanwijzingen dat Rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. Wel is bij het NCSC bekend dat er binnen de rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd. Informatie van semipublieke organisaties is niet beschikbaar.
Ten aanzien van medeoverheden (provincies, gemeenten en waterschappen) zijn er geen aanwijzingen bij het Ministerie van BZK dat de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist zijn doorgevoerd. Overheden zijn autonome bestuursorganen en zijn zelf verantwoordelijk voor hun informatieveiligheidsbeleid, inbegrepen de risicoafweging die zij maken en de maatregelen die zij treffen.
Deze casus wordt geëvalueerd in opdracht van de Minister van Justitie en Veiligheid. De daaruit geleerde lessen worden samen met de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting» met uw Kamer gedeeld.
Zie antwoord vraag 3.
Elk land maakt eigen afwegingen met betrekking tot kwetsbaarheden in informatie- en netwerksystemen. Internationaal heeft Nederland snel, maar niet als enige gehandeld als het gaat om advisering over hoe om te gaan met deze kwetsbaarheid. Door het NCSC is meerdere malen contact en afstemming geweest met collega-organisaties in het buitenland.
Zodra een kwetsbaarheid publiek bekend wordt gemaakt, stellen veel leveranciers in beginsel zo snel mogelijk een sluitende oplossing beschikbaar, zodat de kans op misbruik kan worden beperkt. In de Leidraad Coordinated Vulnerability Disclosure3 van het NCSC zijn bouwstenen opgenomen die organisaties kunnen gebruiken voor het maken van een eigen beleid t.a.v. het verhelpen van kwetsbaarheden. In deze leidraad wordt een richtlijn meegegeven van 60 dagen voor het kunnen verhelpen van kwetsbaarheden in software voordat deze publiekelijk worden gemaakt, zodat de leverancier voldoende tijd heeft om bij bekendmaking ook een oplossing beschikbaar te hebben. In het geval van de Citrix kwetsbaarheid zijn er ten tijde van bekendmaking van de kwetsbaarheid alleen tussentijdse mitigerende maatregelen beschikbaar gesteld. Elke kwetsbaarheid is anders en elke leverancier kan eigen richtlijnen hanteren voor het tijdig verhelpen van een kwetsbaarheid. Per leverancier, maar ook rekening houdend met het type systemen, zal maatwerk nodig zijn. Ik hecht er wel waarde aan dat bedrijven omwille van veiligheid van ICT-systemen een duidelijk beleid hanteren voor het zo snel mogelijk verhelpen van kwetsbaarheden.
Hierbij deel ik u mede dat de schriftelijke vragen van de leden Van Dam, Van den Berg en Van der Molen van uw Kamer aan de minister van Justitie en Veiligheid over het bericht «Exclusief: Interview Citrix CISO, Fermin Sera, waar ging het mis?» (ingezonden 31 januari 2020) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.