| Ingediend | 12 juni 2024 |
|---|---|
| Beantwoord | 11 september 2024 (na 91 dagen) |
| Indieners | Queeny Rajkowski (VVD), Jan Valize (PVV), Jesse Six Dijkstra (NSC) |
| Beantwoord door | Kajsa Ollongren (minister defensie) (D66), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Hugo de Jonge (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | bestuur economie ict openbare orde en veiligheid parlement staatsveiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2024Z10292.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20232024-2524.html |
Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.
Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.
Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.
Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.
Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.
Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.
Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.
Zie antwoord vraag 7.
Zie antwoord vraag 7.
Zie antwoord vraag 7.
Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.
Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.
Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.
De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.