| Ingediend | 24 april 2024 |
|---|---|
| Beantwoord | 28 juni 2024 (na 65 dagen) |
| Indiener | Barbara Kathmann (PvdA) |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | bestuur criminaliteit openbare orde en veiligheid parlement |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2024Z07366.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20232024-2122.html |
Ja.
Nee, dat is mij niet bekend. SMC en Securitas zijn zelf verantwoordelijk voor het informeren van hun klanten over het lek. Vanwege de aard en beperkte impact van het lek heeft het Nationaal Cyber Security Centrum (NCSC) geen reden gezien om hierover verdere navraag te doen bij Rijksoverheidsorganisaties en vitale aanbieders.
Zowel SMC als Securitas heeft te kennen gegeven dat na eigen onderzoek geen indicatie van actief misbruik van het lek is waargenomen bij bedrijven en andere organisaties die gebruik maken van de systemen van SMC en Securitas. Daarnaast hebben zij aangegeven aanvullende maatregelen te hebben genomen zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces. (Rijks-)overheidsorganisaties en vitale organisaties zijn daarmee voldoende beschermd.
Het NCSC heeft besloten geen algemeen advies op te stellen vanwege de maatregelen die door SMC en Securitas zijn getroffen, de aard van de kwetsbaarheid en de daardoor geringe impact op haar doelgroep.
Het NCSC en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Met name gelet op de toelichting van de zijde van SMC en Securitas in die gesprekken over de aard en beperkte impact van dit lek op bedrijven en andere organisaties is door het NCSC besloten hierover geen verdere actie te ondernemen ten behoeve van de eigen doelgroep. Zie ook antwoord op vraag 3.
Zie antwoord op vraag 3 en vraag 4.
Het product waarin de kwetsbaarheid is gevonden, was een zogenaamd end-of-life product. Dit betekent dat dit product niet meer werd onderhouden of ondersteund door de leverancier. Het gebruik van dit soort producten brengt een risico met zich mee. Het Nationaal Cyber Security Centrum (NCSC) heeft diverse adviesproducten op de website over risicomanagement in het algemeen en het omgaan met producten waarvan het onderhoud en ondersteuning door de leverancier afloopt in het bijzonder. In de toekomst moeten nieuwe digitale producten die op de Europese markt worden gebracht voldoen aan cybersecurityeisen conform de Cyber Resilience Act. Dit betreft onder meer het verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat een product kan worden gebruikt.
SMC en Securitas hebben aangegeven dat er na onderzoek geen indicatie van misbruik is waargenomen. Het Nationaal Cyber Security Centrum (NCSC) heeft zelf ook geen indicaties hiervoor waargenomen.
Van de zijde van SMC en Securitas is aangegeven dat het initieel leek alsof met de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Echter, na onderzoek van deze twee partijen bleek de kwetsbaarheid alleen zogenaamde telefonische afmeldcodes te betreffen richting de centrale. Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld.
Van andere alarmcentrales is niet bekend of deze zijn getroffen.
Het Nationaal Cyber Security Centrum (NCSC) kan dit aantal niet bevestigen, met name ook omdat het zelf geen meldingen hierover van organisaties heeft ontvangen. Zie beantwoording vraag 6.
Het SMC is primair verantwoordelijk voor het onderzoek naar de scope van het lek en het delen van de uitkomsten daarvan. Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Zoals aangegeven in het antwoord op vraag 6 is het onderzoek inmiddels afgerond en zijn de uitkomsten gedeeld met het Ministerie van Justitie en Veiligheid. Op grond van de AVG is elke organisatie die te maken heeft met een datalek zelf verantwoordelijk om daar melding van te doen bij de Autoriteit Persoonsgegevens. SMC en Securitas hebben aangegeven melding van het onderhavige lek te hebben gedaan bij de Autoriteit Persoonsgegevens.
Deze persoon heeft een Coordinated Vulnerability Disclosure, ook wel CVD-melding genoemd, bij het NCSC gedaan.
Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum(NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend.
Ja.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Kathmann (GroenLinks-PvdA), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht «Geheime afmeldcodes van duizenden alarmsystemen opvraagbaar door softwarefout» (ingezonden 24 april 2024) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.