Het is onmogelijk om te zeggen hoe vaak de Nederlandse overheid het doelwit is geweest van cyberaanvallen. Wel is er een algemene tendens dat de instellingen in ons land, waaronder overheidsorganen, te kampen hebben met digitale aanvallen. Het kabinet doet er alles aan om de digitale weerbaarheid en de cybersecurity in ons land te vergroten en versterken.
Dat schrijft demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops aan de Tweede Kamer. Hij geeft antwoord op de schriftelijke vragen die PvdA-Kamerlid Barbara Kathmann afgelopen maand stelde over de DDoS-aanval op Belnet, waarbij honderden organisaties in België tijdelijk uit de lucht waren.
Kabinet heeft fors geïnvesteerd in vergroten digitale weerbaarheid
De eerste vraag van de politica was hoe vaak de Nederlandse overheid het doelwit is geweest van een cyberaanval. Die vraag kan staatssecretaris Knops niet beantwoorden, omdat dit niet centraal geregistreerd wordt. “In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen”, schrijft Knops. Door deze dreiging is het volgens de staatssecretaris niet ondenkbaar dat de Nederlandse belangen worden aangetast.
Is ons land bestand tegen cyberaanvallen en waar blijkt dat uit? Staatssecretaris Knops erkent dag de weerbaarheid tegen digitale dreigingen nog niet overal op orde is. Omdat cyberincidenten de potentie hebben om grote maatschappelijke en economische schade toe te brengen, heeft het kabinet de afgelopen jaren fors ingezet op het versterken van cybersecurity. Zo is er 95 miljoen euro uitgetrokken om de Nationale Cybersecurity Agenda (NCSA) te verwezenlijken.
“Om in te kunnen spelen op technologische en maatschappelijke ontwikkelingen en actuele dreigingen en risico’s, zijn de maatregelen uit de NCSA in de loop van de tijd verder uitgewerkt en versterkt”, aldus Knops. Zo is sinds eind 2018 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Daarin zijn normen voor informatiebeveiliging vastgelegd waar de Rijksoverheid, provincies, gemeenten en waterschappen zich aan moeten houden. “Door implementatie van de BIO hebben overheidsorganisaties de basisbeveiliging op orde. Dit levert een bijdrage aan de weerbaarheid tegen cyberaanvallen.”
Voor meer initiatieven die het kabinet heeft genomen om cybersecurity in ons land te versterken, verwijst de staatssecretaris naar de voortgangsbrief die hij in maart naar de Tweede Kamer stuurde.
Overheid monitort voortdurend veiligheid eigen systemen
Kathmann vroeg aan de staatssecretaris of de overheid actief zoekt naar kwetsbaarheden in de beveiliging. Daarop zegt hij dat steeds meer overheden, waaronder de Rijksoverheid, op verschillende manieren hun beveiliging testen. Hiervoor hanteren de politieke instanties de zojuist genoemde BIO als basis. “De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij.”
Verder schrijft Knops dat zijn ministerie bezig is om een doorlopende kwetsbaarhedenscan bij Rijksoverheidsorganisaties in te richten. Andere departementen zoeken via penetratietesten en Red Team oefeningen proactief naar kwetsbaarheden. Tot slot voert de Auditdienst Rijk (ADR) onderzoeken uit naar de veiligheid van computersystemen en netwerken bij de verschillende ministeries.
‘Cyberdreigingen zijn niet gebonden aan landsgrenzen’
Op de vraag of de overheid een noodprotocol heeft als ze getroffen wordt door een cyberaanval, antwoord de staatssecretaris dat alle overheden herstel- en continuïteitsplannen hanteren. Tevens worden er allerlei maatregelen getroffen om de continuïteit van de dienstverlening van de overheid te waarborgen. Als maatschappelijke ontwrichting dreigt, dan treedt het Nationaal Crisisplan Digitaal (NCP-Digitaal) in werking. Verder wordt er sinds 2019 jaarlijks geoefend met gesimuleerde hackaanvallen op processen en systemen van de overheid. “Met alle overheden wordt het oefenscenario zo realistisch mogelijk uitgewerkt waarbij een digitale verstoring merkbaar zichtbaar is bij meerdere overheidslagen”, schrijft staatssecretaris Knops.
Knops zegt dat hij op 4 en 6 mei contact heeft gehad met het Belgische Collectief Computer Security Incident Response Team (CSIRT) en CERT-BE over de DDoS-aanval over de technische details en maatschappelijke impact ervan. De belangrijkste les die daaruit geleerd kon worden, is dat digitale incidenten niet aan landsgrenzen gebonden zijn.
“Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren”, schrijft de staatssecretaris aan de Tweede Kamer. “In algemene zin tonen de cyberaanvallen in België wederom het belang van het op orde hebben van de digitale weerbaarheid aan.”
