| Ingediend | 20 maart 2013 |
|---|---|
| Beantwoord | 1 mei 2013 (na 42 dagen) |
| Indieners | Aukje de Vries (VVD), Klaas Dijkhoff (VVD) |
| Beantwoord door | Opstelten (minister justitie en veiligheid) (VVD), Jeroen Dijsselbloem (minister financiën) (PvdA) |
| Onderwerpen | criminaliteit financieel toezicht financiën openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2013Z05566.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20122013-2113.html |
Ja.
De samenwerking met de bankensector is goed. Er zijn geregeld contacten, ook op technisch niveau, als het gaat om detectie. Technische maatregelen leveren ook successen op: de Nederlandse Vereniging van Banken heeft op 2 april 2013 bericht dat de fraude met internetbankieren in de tweede helft van 2012 met 60% is gedaald ten opzichte van de eerste helft van 2012.2
Gezien de ernst van de dreiging van cybercrime moet evenwel over de hele linie een nog grotere inspanning dan nu al het geval is worden geleverd, ook door de bancaire sector. Ik wil de samenwerking verder uitbouwen en gezamenlijk optrekken om de huidige en komende problemen het hoofd te bieden. Er is met name winst te behalen in de operationele samenwerking met het bedrijfsleven. Samen met het bedrijfsleven, waaronder de banken, ga ik daarom de komende jaren investeren in verbeterde signalering, detectie en informatie-uitwisseling. Er is hierover geen verschil van opvatting, zoals onder andere mag blijken uit de brief die de Minister van Financiën en ik uw Kamer op 16 april 2013 stuurden naar aanleiding van de recente DDOS-aanvallen op enkele Nederlandse banken en de operationele maatregelen die wij naar aanleiding daarvan in ons onderlinge overleg van 15 april 2013 hebben genomen. Zoals vermeld in deze brief zal door de banken een liaison in het Nationaal Cyber Security Centrum worden geplaatst om de intensieve samenwerking te bestendigen.
Met de groep publieke en private partijen die in het in vraag 1 aangehaalde bericht wordt genoemd, doelde ik op de bestaande Electronic Crimes Taskforce (ECTF).
Zie antwoord vraag 2.
Banken en overheid werken in de strijd tegen cybercrime op vele verschillende fronten met elkaar samen, onder andere in verbanden zoals de ECTF en het skimmingpoint. De daar gemaakte afspraken worden nagekomen door de deelnemende partijen. Daarnaast wordt door de financiële sector op constructieve wijze samengewerkt binnen het Information Sharing and Analysis Centre (ISAC) voor de financiële sector. Deze Financial-ISAC, waarbinnen publieke en private partijen samenwerken door het delen van informatie en kennis over ICT-kwetsbaarheden en -dreigingen in het digitale domein, is aangesloten bij het Nationaal Cyber Security Centrum (NCSC).
Een terrein waar nog winst te boeken valt is het werken met zogenaamde barrièremodellen. Bij het werken met barrièremodellen heeft de overheid een leidende rol. Binnen een barrièremodel wordt gedetailleerd bekeken hoe een criminele organisatie of een crimineel verdienmodel werkt. Hierdoor kan worden nagegaan waar de criminele organisatie of het criminele model het meest kwetsbaar is. Op basis daarvan kan worden bepaald welke partij uit het samenwerkingsverband zo effectief mogelijk kan ingrijpen. Opsporing en vervolging zijn ultimum remedium. Eerst moeten we er met elkaar alles aan hebben gedaan om zaken veiliger te maken en gebruikers bewuster. Ik verwijs verder naar mijn antwoord op vragen 2 en 3.
Banken moeten al geruime tijd op grond van de Wet op het financieel toezicht (Wft) incidenten verplicht melden aan De Nederlandse Bank (DNB). Een incident op grond van de Wft is een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere bedrijfsuitoefening. Datalekken en hackersaanvallen die kwalificeren als incident, moeten dus worden gemeld aan DNB. Voor zover DNB kan overzien wordt de meldplicht door de banken nageleefd. DNB ontvangt enkele meldingen per jaar van DDOS-aanvallen op Nederlandse banken.
In aanvulling op de hiervoor beschreven meldplicht wordt momenteel door het ministerie van Veiligheid en Justitie gewerkt aan twee wetsvoorstellen. In het eerste wetsvoorstel worden onder andere banken verplicht om datalekken (inbreuken op beveiligingsmaatregelen voor persoonsgegevens) te melden aan het College bescherming persoonsgegeven (CBP). In het tweede wetsvoorstel worden banken verplicht om inbreuken op de veiligheid en integriteit van hun informatiesystemen die het betalings- of effectenverkeer onderbreken en een (potentieel) maatschappelijk ontwrichtende werking hebben, te melden aan het NCSC (dit betreft de security breach notification).
Naming en shaming zijn geen onderdeel van uitgangspunten van de security breach notification die ik naar aanleiding van de motie Hennis-Plasschaert3, in samenwerking met het Ministerie van Financiën, aan het uitwerken ben. Het is van belang om informatie te delen met het NCSC zodat gewerkt kan worden aan het verminderen van kwetsbaarheden en indien noodzakelijk hulp geboden kan worden. In mijn brief van 6 juli 20124 heb ik dan ook aangegeven dat vertrouwelijkheid en de door het NCSC te bieden hulp belangrijke uitgangspunten zijn bij de uitwerking van de wettelijke meldplicht. Het wetsvoorstel hieromtrent zal spoedig in consultatie gebracht worden.
Hierbij bericht ik u, mede namens de de minister van financiën, dat de schriftelijke vragen van de leden Dijkhoff en Aukje de Vries (beiden VVD) over het bericht Banken te laks met de aanpak van cybercrime (ingezonden 20 maart 2013) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.