Kamervraag 2012Z11855

De waarschuwing van het Industrial Control System Cyber Emergency Response Team.

Ingediend 13 juni 2012
Beantwoord 1 augustus 2012 (na 49 dagen)
Indiener Sharon Gesthuizen (SP)
Beantwoord door Opstelten (minister veiligheid en justitie) (VVD)
Onderwerpen openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2012Z11855.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20112012-3156.html
  • Vraag 1
    Wat is uw reactie om de waarschuwing van het Industrial Control System Cyber Emergency Response Team?1

    De waarschuwing van de Amerikaanse ICS-CERT acht ik waardevol. ICS-CERT brengt jaarlijks vele waarschuwingen en adviezen uit. Het Nationaal Cyber Security Centrum (NCSC) is bekend met deze producten en maakt ook gebruik van de informatie uit deze producten en verwerkt deze in haar publicaties.
    In een door het NCSC uitgebrachte factsheet over de beveiliging van SCADA/ICS systemen is verwezen naar de informatie op de website van ICS-CERT.

  • Vraag 2
    Wordt er in Nederland gebruik gemaakt van de in de memo genoemde SCADA en ICS gerelateerde web- en softwareapplicaties van Siemens, bijvoorbeeld in de chemische-, olie- en gasindustrie, in de sectoren voedsel- en watervoorziening of andere sectoren, zoals de gezondheidszorg en defensie? Zo ja, op welke schaal en in welke sectoren?

    Het is niet bekend of en in welke mate er in Nederland gebruik wordt gemaakt van de genoemde SCADA en ICS gerelateerde web- en software applicaties van Siemens.
    In mijn brief van 19 maart jl.2 heb ik aangegeven dat het NCSC ten aanzien van de beveiliging van SCADA/ICS systemen adviseert en een factsheet en checklists heeft gepubliceerd en deze actief heeft verspreid binnen de overheid en de private vitale sectoren. In de factsheet wordt verwezen naar informatie op de website van ICS-CERT. Daarnaast wordt in de factsheet ingegaan op de veiligheidsrisico’s die het aansluiten van SCADA/ICS-systemen op het internet met zich meebrengt. Ook is in het door het NCSC gepubliceerde Raamwerk Beveiliging Webapplicaties hierover uitgebreid aandacht besteed. Deze publicaties gaan ook in op de problemen zoals benoemd in vraag 3.
    De aansluiting bij het NCSC van de Information Sharing and Analysis Centres (ISACs) van diverse (vitale) private sectoren zal de advisering richting die sectoren en de kennisdeling versterken.
    Zoals ik in mijn brief van 19 maart jl. aangaf zijn organisaties zelf primair verantwoordelijk voor de beveiliging van hun systemen, maar houdt de overheid, gezien het grote belang dat door de overheid aan bepaalde sectoren wordt toegekend, toezicht op bepaalde sectoren (onder andere de sector telecom en financiën). Met het oog hierop stelt de overheid naast de algemene wet- en regelgeving ook wet- en regelgeving op het sectorale niveau op. Deze sectorale wet- en regelgeving wordt opgesteld door de bij deze sectoren betrokken vakdepartementen. Hierbij behoren dan ook de sectorale toezichthouders.

  • Vraag 3
    Zijn de bedrijven en organisaties in Nederland, die deze kritieke systemen beheren, op de hoogte van de in de memo vermelde «cross-site scripting», «path traversal, XML Injection» en «buffer overflow» problemen in relatie tot de vermelde Siemens applicaties? Zo nee, waarom niet?

    Zie antwoord vraag 2.

  • Vraag 4
    Hebben deze bedrijven de specifieke aanbevolen stappen ter beveiliging van de systemen en ter voorkoming van zowel manipulatie op afstand als manipulatie door derden van deze systemen al genomen? Zo nee, waarom niet? Wanneer verwacht u dat deze bedrijven en organisaties de maatregelen wel genomen hebben?

    Zie antwoord vraag 2.

  • Vraag 5
    Weet u of de bedrijven en organisaties, die deze kritieke systemen beheren, de meer algemene aanbevelingen in de memo hebben toegepast, waaronder de loskoppeling van deze systemen en software van het internet waar mogelijk, de scheiding van deze systemen en software van de interne bedrijfsnetwerken door middel van firewalls en het gebruik van VPNs (Virtual Private Networks) om veilige verbindingen met deze applicaties te garanderen? Zo nee, waarom niet? Wanneer denkt u dat de bedrijven en organisaties deze maatregelen wel genomen hebben?

    Het NCSC is geen toezichthouder die beveiligingsarrangementen van organisaties opvraagt. Het NCSC heeft een advies en incident respons rol richting overheid en vitale sectoren.

  • Mededeling - 4 juli 2012

    Hierbij deel ik u mede dat de schriftelijke vragen van het lid Gesthuizen (SP) van uw Kamer aan de Minister van Veiligheid en Justitie over de waarschuwing van het Industrial Control System Cyber Emergency Response Team (ingezonden 13 juni 2012) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.


Kamervraag document nummer: kv-tk-2012Z11855
Volledige titel: De waarschuwing van het Industrial Control System Cyber Emergency Response Team.
Kamerantwoord document nummer: ah-tk-20112012-3156
Volledige titel: Antwoord vragen Gesthuizen over de waarschuwing van het Industrial Control System Cyber Emergency Response Team