| Ingediend | 14 juni 2021 |
|---|---|
| Beantwoord | 5 juli 2021 (na 21 dagen) |
| Indiener | Stephan van Baarle (DENK) |
| Beantwoord door | Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | bestuur economie ict rijksoverheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z10664.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-3468.html |
Ja
Voor de beveiliging van websites bij de overheid hanteren overheden bij het Rijk, provincies, waterschappen en gemeenten een basisnormenkader voor informatiebeveiliging. Het basisnormenkader is de Baseline Informatiebeveiliging Overheid (BIO)2, die sinds januari 2019 van kracht is. De BIO stelt (in deel 1) dat voorafgaand aan het gebruik van een informatiesysteem een risicoafweging dient te worden gemaakt die vervolgens richtinggevend is voor het treffen van beveiligingsmaatregelen. Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is.
Het Nationaal Cybersecurity Centrum (NCSC) publiceert regelmatig adviezen in de vorm van richtlijnen. Ik ben hiermee bekend. Specifiek met betrekking tot deze zaak is dat de richtlijn «ICT beveiligingsrichtlijnen voor webapplicaties».3 Voor de overheid kan deze richtlijn worden beschouwd als een nadere detaillering van de BIO voor het onderdeel webapplicaties.
Uiteindelijk is het resultaat dat een samenhangend pakket van maatregelen wordt vastgesteld en toegepast. Welke dat zijn, zal per geval verschillen. Dat is overigens niet vrijblijvend: over de staat van informatieveiligheid leggen de verschillende overheidsorganen verantwoording af aan hun controlerende organen, zoals Gemeenteraad, provinciale staten, etc.
Kortom, het is aan overheidsorganisaties om door het treffen van de verplichte maatregelen uit de BIO en aanvullende maatregelen, voortvloeiend uit een risicoafweging te bepalen hoe Wordpress veilig kan worden ingezet.
Dat beeld deel ik niet, zie ook het antwoord onder vraag 2.
Ik deel volledig uw mening dat de overheid vertrouwelijk en verantwoord met gevoelige gegevens moet omgaan. Burgers moeten ervan uit kunnen gaan dat de overheid zorgvuldig omgaat met hun gegevens.
Ja.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is bekend met de meldingen van het NCSC. Bij de overheid worden de meldingen van het NCSC nauwlettend in de gaten gehouden door afzonderlijke overheidsorganisaties. De BIO stelt eisen aan het toepassen van (beveiligings)patches voor ernstige kwetsbaarheden in hard- en software. Overheidsorganisaties zijn zelf verantwoordelijk voor het toepassen van deze eisen. Bovendien zijn kwetsbaarheidswaarschuwingen aan de orde van de dag en worden die voor veel systemen gestuurd. Ik heb niet het beeld dat de hoeveelheid bekende kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen. Er spelen ook andere factoren mee zoals de aard, omvang en frequentie van onderzoeken naar een product.
Het is bekend bij het Ministerie van BZK dat de publieke website van de IBD, het Computer Emergency Response Team (CERT) van de Nederlandse gemeenten, draait op Wordpress. Voor de volledigheid meldt de Vereniging van Nederlandse Gemeenten (VNG) het Ministerie van BZK dat de beheeromgeving van deze website niet publiek is. De website van de IBD voldoet aan de eisen die de BIO daaraan stelt. De publieke website van de IBD ontsluit openbare informatie. Voor informatie met een hoger beschermingsniveau gebruikt de IBD andere middelen. Dit doet de IBD op basis van een uitgevoerde risicoanalyse, zoals ook de BIO voorschrijft. Verder voert de IBD periodiek penetratietesten uit op haar systemen, waaronder de website en op basis van de resultaten treft de IBD waar nodig maatregelen. Ik zie daarom geen bezwaar tegen het gebruik van individuele softwarepakketten, zoals Wordpress, als risicoafwegingen zijn gemaakt en maatregelen zijn getroffen.
Zie antwoord vraag 2.
Gezien mijn beantwoording onder de gestelde vragen onder 2 t/m 8 is dat niet aan de orde. Het is de verantwoordelijkheid van elke organisatie zelf om de BIO, de verplichte overheidsmaatregelen en op basis van risicoafweging aanvullende maatregelen te implementeren.
In zijn algemeenheid geldt dat de overheid naast de verplichte maatregelen uit de BIO, diverse open standaarden implementeert zoals informatieveiligheidsstandaarden. De adoptie van deze informatieveiligheidsstandaarden wordt halfjaarlijks gemeten. Halverwege 2020 zijn achterblijvende overheidsorganisaties aangeschreven door het Forum Standaardisatie met adviezen ter verbetering.4 De toepassing van de overige open standaarden van de «pas-toe-of-leg-uit» lijst van het Forum Standaardisatie wordt jaarlijks gemeten. De meest recente versie van deze Monitor Open standaarden 2020 is op 18 maart aangeboden aan uw Kamer.5 Het beeld is dat het gebruik van de verplichte open standaarden verder toeneemt.
De wijze waarop in het algemeen het informatieveiligheidsbeleid bij de overheid gestalte krijgt, heb ik aan uw Kamer gemeld op 18 maart jl.6 in de voortgangsbrief informatieveiligheid bij de overheid.