| Ingediend | 16 december 2020 |
|---|---|
| Beantwoord | 12 januari 2021 (na 27 dagen) |
| Indiener | Tom van den Nieuwenhuijzen-Wittens (GL) |
| Beantwoord door | Ank Bijleveld (minister defensie) (CDA) |
| Onderwerpen | bestuur organisatie en beleid rijksoverheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z25137.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-1297.html |
Op 15 december 2020 ontving Defensie een journalist op het ministerie die kort in een wachtruimte alleen is gelaten. De betreffende wachtkamer is voorzien van een zogeheten wall-outlet met internetaansluiting waarop een wifi acces point is aangesloten. Via deze aansluiting kunnen bezoekers alleen gebruik maken van een afgeschermde internetverbinding voor gasten.
Defensie hanteert een toegangsbeleid en bezoekersregeling op het ministerie waarbij bezoekers begeleid worden door een daarvoor verantwoordelijke gastheer. Het kan voorkomen dat een bezoeker, die in een werk- of wachtkamer wordt ontvangen, korte tijd alleen wordt gelaten. Dit betekent echter niet dat bezoekers in deze kort tijd toegang kunnen verkrijgen tot het netwerk van Defensie. Door het inzetten van technische maatregelen in het netwerk, op outlets en op de werkstations wordt toegang door bezoekers tot het netwerk tegengegaan.
Defensie behandelt gevoelige gegevens overeenkomstig de in het Defensie Beveiligingsbeleid vastgestelde normen en maatregelen. Gevoelige gegevens worden opgeslagen binnen hoger gerubriceerde netwerkomgevingen die zich in beveiligde ruimtes bevinden. Wanneer Defensie een bezoeker ontvangt in een van deze beveiligde ruimtes wordt hij/zij te allen tijde begeleid en voorzien van een gekleurde pas die altijd zichtbaar gedragen dient te worden.
Elke dag worden er in Nederland cyberaanvallen uitgevoerd. Het JIVC (met oa. het Defensie Cyber Security Centrum), lokale beheerorganisaties en gebruikers beschermen Defensie tegen deze dreiging. Gerubriceerde en/of gemerkte fysieke informatie (documentaire informatie) wordt binnen Defensie opgeslagen in beveiligde werkomgevingen en/of beveiligde ruimten. Al naar gelang de hoogte van de rubricering worden aanvullende beveiligingsmaatregelen getroffen om ontvreemding van die informatie te voorkomen. Doelgerichte pogingen door bezoekers om op locatie informatie buit te maken zijn niet bekend.
Defensie heeft, als onderdeel van het Defensie Beveiligingsbeleid, instructies voor ICT-beveiliging en -veiligheid, die minimaal tweejaarlijks worden geëvalueerd, waaronder op effectiviteit.
Defensie heeft, conform het Defensie Beveiligingsbeleid en in overeenstemming met het Rijksbreed geldende Voorschrift Informatiebeveiliging Rijk – Bijzondere Informatie (VIR-BI), de beveiliging ingericht middels vier lagen die verschillende beveiligingsniveaus kennen (waarbij niveau één «hoog» is en niveau vier «laag»). Zo zijn poorten voor hoger gerubriceerde netwerksystemen bijvoorbeeld niet toegankelijk voor bezoekers in verband met de permanente begeleiding in de beveiligde ruimten. In het geval van besloten vergaderingen treft Defensie de nodige beveiligingsmaatregelen, waaronder ook het tegengaan van opnamen of afluisteren. Wachtwoorden en codes worden regelmatig door de gebruikers gewijzigd omdat dit middels het systeem automatisch wordt afgedwongen.
Zie antwoord vraag 5.
Defensie voert jaarlijks meerdere soorten security assessments uit op het gebied van (ICT-) beveiliging. Dit gebeurt ook in samenwerking met de veiligheidsdiensten. Daarnaast staat de IT-beheerder van Defensie in nauw contact met onder meer het Defensie Cyber Security Centrum. Bij vermoedens van incidenten, of om andere veiligheidsredenen, voert Defensie onderzoek uit en worden de systemen doorgelicht.