Kamervraag 2022Z07464

Het bericht ‘Oekraïense centrales slaan cyberaanval af’.

Ingediend 14 april 2022
Beantwoord 4 mei 2022 (na 20 dagen)
Indiener Queeny Rajkowski (VVD)
Beantwoord door Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)
Onderwerpen criminaliteit openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2022Z07464.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-2623.html
  • Vraag 1
    Bent u bekend met het bericht «Oekraïense centrales slaan cyberaanval af»?1?

    Ja.

  • Vraag 2
    Klopt het bericht dat Russische hackers een mislukte aanval op Oekraïense energiecentrales hebben uitgevoerd?

    In publieke berichtgeving van het Oekraïense «Computer Emergency Response Team» (CERT-UA) en het beveiligingsbedrijf ESET wordt dit beeld geschetst.2 3 Hoewel dit zeer voorstelbaar is, is technische attributie complex en kan het bericht daarom niet met zekerheid door het kabinet worden bevestigd.

  • Vraag 3
    Wat is bij u bekend over de nieuwste malware vorm «Industroyer» en de aan Russische veiligheidsdiensten gelieerde groep «Sandworm»? Is bekend welke veiligheidsmaatregelen moeten worden genomen tegen deze nieuwe malware? Zo ja, worden hier al stappen voor gezet? Zo nee, waarom niet?

    Industroyer is kwaadaardige software die in 2016 is ingezet in Oekraïne om een gedeelte van de elektriciteitsvoorziening uit te schakelen. Het recent gebruikte Industroyer2 is een nieuwe variant van deze malware.
    De digitale aanval wordt door beveiligingsbedrijf ESET en CERT-UA met een hoge mate van zekerheid toegeschreven aan de Sandworm-groep. Deze groep wordt door Amerikaanse en Britse overheidsinstanties geacht gelieerd te zijn aan de Russische militaire inlichtingendienst de GRU en is door de EU in 2020 op de cybersanctielijst gezet.4 In Nederland doen inlichtingen- en veiligheidsdiensten onderzoek naar statelijke actoren. Over dergelijke inlichtingenonderzoeken wordt doorgaans niet publiekelijk gecommuniceerd.
    De Industroyer2-malware is specifiek geconfigureerd om een Oekraïense energieleverancier aan te vallen. Aanvullend handelingsperspectief tegen deze malware is niet bekend, omdat de genomen maatregelen niet van toepassing zullen zijn op andere organisaties vanwege deze specifieke configuratie. Het Nationaal Cyber Security Centrum (NCSC) adviseert in algemene zin waakzaam te blijven en de basismaatregelen te treffen die op de website van het NCSC zijn gepubliceerd.5

  • Vraag 4
    Is de gebruikte malware «Industroyer» ook al gebruikt als cyberaanval op Nederlandse organisaties? Zo ja, waar is deze malware gebruikt? Zo nee, verwacht u cyberaanvallen met de malware «Industroyer» op Nederlandse organisaties in de nabije toekomst?

    Op dit moment zijn er bij het NCSC geen aanwijzingen van de inzet van een van de varianten van Industroyer in een cyberaanval op Nederlandse organisaties.
    Toekomstige aanvallen en eventuele gevolgen daarvan voor Nederland kunnen echter niet worden uitgesloten. Daarom is het belangrijk dat ook Nederlandse organisaties waakzaam en alert blijven en zich voorbereiden op een mogelijk incident.

  • Vraag 5
    Is er verhoogde paraatheid bij onze vitale aanbieders om een eventuele (indirecte) aanval met Industroyer af te wenden? Zo nee, waarom niet?

    Ja. Het NCSC staat mede met oog op deze casus, samen met veiligheidspartners (onder andere met cybersecuritybedrijven en via de Cyber Intel/Info Cel), in nauw contact met vitale aanbieders in de energiesector.6 Op 13 april jongstleden heeft het NCSC relevante vitale aanbieders geïnformeerd over Industroyer2. Vanwege de eerdere variant van Industroyer uit 2016 heeft dit type malware al langer de aandacht van het NCSC.

  • Vraag 6
    Zijn er sinds de oorlog in Oekraïne al voorbeelden waarbij Russische hackers grootschalige cyberaanvallen uitvoeren op Nederlandse vitale bedrijven? Zo ja, hoe zijn deze cyberaanvallen verlopen? Zo nee, hoe groot acht u de kans dat deze bedrijven binnen korte tijd getroffen zullen worden door een grootschalige Russische cyberaanval?

    Op basis van de huidige beschikbare informatie, kan geconcludeerd worden dat er vooralsnog geen grootschalige Russische cyberaanvallen op Nederlandse vitale bedrijven zijn uitgevoerd. Het NCSC houdt de situatie sinds de oorlog en de aanloop daarnaartoe nauwlettend in de gaten en heeft intensief contact met de inlichtingen- en veiligheidsdiensten.
    Wel is het voorstelbaar dat Nederlandse belangen direct of indirect geschaad kunnen worden door digitale activiteiten omtrent de oorlog in Oekraïne. Het NCSC is dan ook waakzaam op eventuele veranderingen in de digitale dreiging richting Nederlandse belangen.

  • Vraag 7
    In hoeverre worden Nederlandse bedrijven voorbereid op grootschalige Russische cyberaanvallen door de rijksoverheid?

    De verantwoordelijkheid om beschermende maatregelen te nemen is primair de verantwoordelijkheid van de bedrijven die het betreft zelf. De overheid heeft echter ook tot taak bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
    Om de risico’s in de samenleving te beperken is er de afgelopen weken door het NCSC en het Digital Trust Center (DTC) extra aandacht gevraagd voor het belang van cyberweerbaarheid en waakzaamheid. Het NCSC voorziet daartoe in verschillende algemene producten en houdt een informatiepagina bij op de eigen website. Het DTC heeft op verschillende momenten partners en doelgroeporganisaties opgeroepen waakzaam te zijn, waarbij de nadruk wordt gelegd op het treffen van preventieve maatregelen.
    Zo hebben het DTC en het NCSC op 9 maart gezamenlijk een online informatiesessie verzorgd met als titel «Huidig beeld en digitale impact van de oorlog in Oekraïne». Dit webinar was toegankelijk voor alle organisaties in Nederland en kan worden teruggekeken op het YouTube-kanaal van het DTC.7 Deze informatiesessie is door ongeveer 4.000 bezoekers bekeken.
    Ook het «Cyber Security Incident Response Team» voor digitale dienstverleners (CSIRT-DSP) verstrekt een wekelijks overzicht van (internationaal) cybersecurity nieuws gerelateerd aan de oorlog in Oekraïne aan digitale dienstverleners en monitort de situatie nauwlettend voor een actueel dreigingsbeeld voor digitale dienstverleners in Nederland.
    Uit een recente sterke toename van het aantal bezoeken aan de Basisscan Cyberweerbaarheid lijkt de oproep tot verhoogde cyberweerbaarheid en waakzaamheid weerklank te vinden.8

  • Vraag 8
    In hoeverre zijn kleinere bedrijven voldoende beschermd tegen cyberaanvallen vanuit Rusland? Wat is de status van de aangenomen motie Hermans c.s. (Kamerstuk 35 788, nr. 120) om ondernemers beter te beschermen tegen digitale aanvallen en dreigingen?

    Ook hiervoor geldt dat de verantwoordelijkheid om beschermende maatregelen te nemen primair de verantwoordelijkheid is van de bedrijven zelf, en dat de overheid desalniettemin de taak heeft om bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
    Naast de activiteiten uiteengezet in antwoord op vraag 7 publiceert het DTC sinds 2018 informatie over digitale dreigingen gericht op het Nederlandse bedrijfsleven. De vijf basisprincipes van veilig digitaal ondernemen zijn opgesteld om aanvallers, ongeacht de oorsprong, buiten de deur te houden. Daarnaast informeert het DTC sinds de zomer van 2021 individuele bedrijven over specifieke dreigingen en kwetsbaarheden in hun netwerk- en informatiesystemen.
    De Tweede Kamer wordt voor de zomer geïnformeerd over de uitvoering van de motie Hermans c.s.9


Kamervraag document nummer: kv-tk-2022Z07464
Volledige titel: Het bericht ‘Oekraïense centrales slaan cyberaanval af’.
Kamerantwoord document nummer: ah-tk-20212022-2623
Volledige titel: Antwoord op vragen van het lid Rajkowski over een cyberaanval in Oekraïne