| Ingediend | 14 juni 2021 |
|---|---|
| Beantwoord | 25 augustus 2021 (na 72 dagen) |
| Indieners | Hatte van der Woude (VVD), René Peters (CDA) |
| Beantwoord door | Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66) |
| Onderwerpen | economie hoger onderwijs ict onderwijs en wetenschap |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z10670.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-3779.html |
Ja
Ik ben op het gebied van kennisveiligheid en cyberveiligheid in gesprek met kennisinstellingen, de koepels en ook met het Nationaal Cyber Security Centrum (NCSC). Deze instellingen heb ik ook betrokken bij de laatste Kamerbrief over cyberveiligheid, die ik op 19 mei 20212 naar uw Kamer heb gestuurd.
Mijn indruk is dat de instellingen zich bewust zijn van de dreiging van cyberaanvallen, of deze dreiging nu van statelijke actoren of van hackersgroepen afkomstig is. Ik ben het met de heer Akerboom eens dat de veiligheid van onze instellingen verder moet worden verhoogd. Het is duidelijk dat deze bewustwording nodig is in alle lagen van de organisaties en vertaald dient te worden in maatregelen gericht op het tegengaan van dreigingen. De hoger onderwijsinstellingen zijn hier dan ook actief mee bezig en ik zal de voortgang van de instellingen blijven volgen, zoals ik in de Kamerbrief heb aangekondigd. Daarbij realiseer ik mij dat cyberveiligheid een gezamenlijke verantwoordelijkheid is van zowel de instellingen als de overheid. Belangrijk hierbij is dat de cyberveiligheid van instellingen expliciet wordt meegenomen in de reguliere bestuurlijke gesprekken die mijn ministerie met de instellingen en de koepels voert. Deze periodieke gesprekken over cyberveiligheid bevorderen het internaliseren van cyberveiligheidsmaatregelen in de bedrijfsvoering van de gehele sector.
In die Kamerbrief heb ik ook beschreven welke concrete maatregelen de hoger onderwijs- en kennisinstellingen nemen om hun digitale veiligheid te verhogen. Dit doen zij bijvoorbeeld door monitoringssystemen, maar ook door het vergroten van bewustwording en trainingen. Een knooppunt in de aanpak van cyberdreigingen is het SURF Computer Emergency Response Team (SURFcert), dat 24/7 ondersteuning biedt bij cyberincidenten en in direct contact staat met het NCSC. Daarnaast is er, op initiatief van de hoger onderwijsinstellingen, een Security Operations Center (SURFsoc) gerealiseerd bij SURF. Een belangrijk onderdeel van het SOC is de 24/7 monitoring van netwerken en de signalering van dreigingen bij deelnemende instellingen. De continue monitoring helpt instellingen enorm met het versterken van de informatiebeveiliging, omdat er constant informatie wordt verzameld die bij mogelijke dreigingen snel sector breed wordt gedeeld. De toetreding van instellingen tot de SURFsoc zal nu gefaseerd plaatsvinden, door de technische en contractuele voorbereidingen die per instelling moeten worden getroffen.
De directeur-generaal van de AIVD, heeft in de technische briefing over de WIV d.d. 2 juni 2021 gepleit voor een breed cyberoffensief, te beginnen met een betere awareness en actie in eigen huis. Zijn uitspraken in de technische briefing over cyberveiligheid betroffen kennisinstellingen, het bedrijfsleven en de overheid.Zowel bij kennisinstellingen, overheden als bedrijfsleven bestaat aandacht voor (cyber)veiligheid, maar actie en bewustzijn is volgens de directeur-generaal nodig in alle lagen van de betrokken organisaties. Zoals ik ook bij vraag 2 meldde, ben ik het met hem eens dat de digitale veiligheid van de instellingen verder kan worden vergroot. Ik heb daarom de instellingen eerder al opgeroepen om hun veiligheidsbeleid in hun jaarverslagen op te nemen wanneer dit nog niet het geval is, dit onderwerp structureel met hun Raden van Toezicht te bespreken en een meerjarenvisie op dit terrein te presenteren. De genomen maatregelen (zie vraag 2 en de Kamerbrief) laten wat mij betreft zien dat de instellingen de cyberveiligheid serieus nemen. Het bereiken van 100% veiligheid is helaas onmogelijk, er zal altijd een risico op cyber- en kennisveiligheidsincidenten blijven bestaan.
Ik denk dat, wanneer het gaat om de preventie van cyberaanvallen, er niet gesproken kan worden over «ogenschijnlijk onschuldige incidenten». Uiteindelijk kan de aangerichte schade wel verschillen, maar de preventiebenadering is dezelfde. De schade van deze «onschuldige» incidenten is juist beperkt gebleven doordat de kennisinstellingen goed samenwerken en kennis over de cyberaanvallen binnen hun netwerk snel met elkaar delen. Dat doen zij zowel bij zwaardere als bij lichtere incidenten, want er wordt door SURF 24/7 gemonitord en ondersteuning geboden. Bij dit incident speelde ook de vroege detectie door het Security Operations Centre (SOC) en ingrijpen door het Computer Emergency Response Team (CERT) een belangrijke rol in het inperken van de impact.
In een eerdere brief4 over kennisveiligheid schreef ik dat het verwerven van (hoogwaardige) kennis voor diverse statelijke actoren tot hun strategische doelstellingen behoort. Ik heb in die brief ook verschillende maatregelen benoemd om de kennisveiligheid in het hoger onderwijs en de (toegepaste) wetenschap beter te borgen, welke momenteel worden uitgevoerd. Zo komt er dit jaar nog een specifieke «leidraad» voor kennisveiligheid beschikbaar, die de rijksoverheid samen met de kennissector ontwikkelt. Ook worden er bestuurlijke afspraken gemaakt met de kennisinstellingen waarin de aandacht ook naar digitale veiligheid zal uitgaan. Bovendien wordt een Expertise- en adviesloket Kennisveiligheid opgezet om kennisinstellingen te ondersteunen bij de afwegingen die zij vanuit hun verantwoordelijkheid maken. In dit kader hebben de Nederlandse universiteiten al een belangrijke stap gezet door op 8 juli het Kader Kennisveiligheid te presenteren. Door dit kader kunnen wetenschappers en universiteiten nog scherper de afweging maken tussen de openheid van wetenschap en het voorkomen van ongewenste kennisoverdracht.
Naast de eerder genoemde maatregelen die instellingen nemen om hun digitale veiligheid te vergroten, heb ik zoals ik ook aangaf in het antwoord op vraag 4 en de Kamerbrief «Cyberveiligheid in het hoger onderwijsveld en onderzoeksveld», de instellingen opgeroepen om hun veiligheidsbeleid in hun jaarverslagen op te nemen, dit onderwerp structureel met hun Raden van Toezicht te bespreken en een meerjarenvisie op dit terrein te presenteren. De rol van bestuurders hierbij is evident, zo ook het belang van een integrale veiligheidsaanpak in het onderwijs-en onderzoeksveld.
De maatregelen die ik heb benoemd bij het antwoord op vraag 5 laten zien dat de rijksoverheid en de kennisinstellingen momenteel al intensief samenwerken om kennisveiligheid in het hoger onderwijs en bij de kennisinstellingen te verhogen. Ik zal uw Kamer in het najaar van 2021 opnieuw informeren over de voortgang die er op het gebied van kennisveiligheid wordt geboekt.
Op 14 juni 2021 hebben de leden Van der Woude (VVD) en Peters (CDA) schriftelijke vragen gesteld over het bericht «AIVD: hoger onderwijs is zich totaal niet bewust van digitale dreiging». Tot mijn spijt is beantwoording binnen de gestelde termijn niet mogelijk, omdat de afstemming met de betrokken partijen vertraging oploopt. Ik zal de vragen in augustus beantwoorden.