Kamervraag 2023Z01823

Het bericht ‘Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen’

Ingediend 3 februari 2023
Beantwoord 16 maart 2023 (na 41 dagen)
Indiener Henri Bontenbal (CDA)
Beantwoord door Kuipers , Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
Onderwerpen criminaliteit economie ict openbare orde en veiligheid organisatie en beleid zorg en gezondheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2023Z01823.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20222023-1882.html
  • Vraag 1
    Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen»?1

    Ja.

  • Vraag 2
    Kunt u toelichten in hoeverre deze aanvallen gevolgen hebben voor de zorg in Nederland? Deelt u onze zorg dat deze cyberaanvallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben?

    Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. Tegelijkertijd kunnen diensten die een rol spelen bij de zorg voor patiënten wel verstoord worden door een DDoS-aanval. Het risico hierop wordt mede bepaald door de preventieve maatregelen van de zorgorganisatie, de inrichting van het netwerk en de eigenschappen van de DDoS-aanval. Daarom is het ontzettend belangrijk dat ziekenhuizen digitaal weerbaar zijn en (preventieve) maatregelen nemen om de impact van dergelijke aanvallen te beperken.
    Dat cyberaanvallen in ernstigere gevallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben is echter zeker het geval, zoals ook al vaker is aangegeven in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.2 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het Kabinet zich hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse cybersecurity strategie.3

  • Vraag 3
    Welke acties worden ondernomen om adequaat op deze cyberaanvallen te reageren en de gevolgen voor de zorg in Nederland zoveel mogelijk te beperken? Hoe worden de betreffende ziekenhuizen ondersteund?

    Ziekenhuizen nemen maatregelen om de gevolgen van een cyberaanval te beperken, en waar nodig zo spoedig mogelijk te mitigeren. Zo hebben ziekenhuizen afspraken met hun ICT-leveranciers over veiligheidseisen aan ICT-producten, en over beheers- en mitigerende maatregelen. Diverse Nederlandse ziekenhuizen maken bijvoorbeeld gebruik van een DDoS-«wasstraat» die ze helpt om DDoS-aanvallen af te kunnen weren.
    Alle ziekenhuizen in Nederland die lid van zijn van de Nederlandse Vereniging van Ziekenhuizen (NVZ) of de Nederlandse Federatie van Universitair Medische Centra (NFU) zijn daarnaast aangesloten bij Z-CERT. Z-CERT voorziet de ziekenhuizen van advies en dreigingsinformatie, en kan tevens netwerken monitoren op kwetsbaarheden of verdachte activiteiten. In het geval van een incident kan Z-CERT een ziekenhuis ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Daarbij heeft Z-CERT onder andere contact met Nationaal Cyber Security Centrum (NCSC).

  • Vraag 4
    Klopt het dat het alleen om DDoS-aanvallen gaat, of is ook sprake van (dreiging van) andersoortige cyberaanvallen?

    Dat klopt. Er is geen indicatie van een andersoortige cyberaanval.

  • Vraag 5
    Wat zijn de meest effectieve maatregelen om DDoS-aanvallen te pareren?

    Een combinatie van organisatorische- en technische maatregelen kan effectief een DDoS-aanval pareren. Het NCSC heeft deze maatregelen beschreven in een factsheet, die beschikbaar is op de website.4

  • Vraag 6
    Kunt u garanderen dat (overheids)organisaties als Z-CERT die dreigingsinformatie over Russische cyberaanvallen ontvangen dit snel en volledig kunnen delen met betreffende bedrijven en sectoren?

    In het huidige cybersecuritystelsel is op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) de primaire taak van het NCSC het verlenen van bijstand aan vitale aanbieders en Rijksoverheidsorganisaties (doelgroeporganisaties) bij digitale dreigingen en incidenten. Dit om het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen bij de doelgroeporganisaties te voorkomen of te beperken.
    Het uitvallen van die netwerk- en informatiesystemen bij deze organisaties kan immers maatschappelijke gevolgen hebben. Denk bijvoorbeeld aan de gevolgen als de dienstverlening van een drinkwaterbedrijf uitvalt. Het NCSC deelt daarom zo snel en volledig mogelijk de dreigings- en incidentinformatie direct met de doelgroeporganisaties.
    Voor het informeren en adviseren van andere organisaties dan de doelgroeporganisaties over digitale dreigingen en incidenten zijn er schakelorganisaties. Deze maken deel uit van het Landelijk Dekkend Stelsel. In dat stelsel verstrekt het NCSC vanuit zijn wettelijke operationele en coördinerende rol dreigings- en incidentinformatie aan schakelorganisaties om zo ook organisaties buiten de doelgroep van het NCSC te bereiken.
    Het is de verantwoordelijkheid van de schakelorganisaties (zoals Z-CERT) om deze informatie zo snel mogelijk met de eigen achterban te delen. De schakelorganisaties zijn het meest bekend met de systemen van hun achterban, bijbehorende belangen, risico’s en informatiebehoeften.

  • Vraag 7
    Kunt u dit ook garanderen voor informatie afkomstig uit andere landen dan Nederland, of informatie uit Nederland die betrekking heeft op organisaties in andere landen?

    Het NCSC staat als nationaal Computer Security Incident Response Team (CSIRT) in contact met het Europese CSIRT netwerk. Binnen dit netwerk wordt informatie over dreigingen en kwetsbaarheden ook zo snel en volledig mogelijk gedeeld

  • Vraag 8
    Zijn er op dit moment wettelijke beperkingen die het delen van dreigingsinformatie bemoeilijken en zo ja, welke zijn dat specifiek?

    De Wbni regelt dat het NCSC dreigings- en incidentinformatie kan verstrekken aan – in eerste instantie – haar doelgroeporganisaties, namelijk vitale aanbieders en rijksoverheidsorganisaties. Het NCSC doet dat om de meest ernstige maatschappelijke ontwrichting te voorkomen of te beperken. Bovendien kan het NCSC deze informatie aan organisaties verstrekken via schakelorganisaties. Zie ook het antwoord op vraag 6.
    Onlangs (december 2022) is de Wbni gewijzigd om belangrijke wettelijke beperkingen voor het delen van informatie weg te nemen.5 Door deze wijziging kan het NCSC dreigings- en incidentinformatie ook rechtstreeks verstrekken aan organisaties die niet onder de doelgroep van het NCSC vallen of waarvoor geen schakelorganisaties zijn. Denk bijvoorbeeld aan politieke partijen en veiligheidsregio’s. Deze wetswijziging regelt ook dat meer dreigings- en incidentinformatie kan worden gedeeld met zogeheten OKTT’s (schakelorganisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten).
    Daarnaast is de nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB2-richtlijn) in werking getreden. Op dit moment loopt een wetgevingstraject om de richtlijn in Nederlandse wetgeving te implementeren. De Minister van Justitie en Veiligheid zal u hierover nader informeren middels een brief aan uw Kamer in het voorjaar.

  • Vraag 9
    Hoe werkt u in Europa samen om op deze cyberaanvallen, die ook andere landen raken, te reageren? Zijn er zaken die we kunnen leren van andere landen op dit punt?

    Als Nationaal Computer Emergency Response Team (CERT) staat het NCSC in nauw contact met het speciaal voor de zorg opgerichte Computer Emergency Response Team (Z-CERT) en andere nationale samenwerkingspartners. Het NCSC is ook in contact met internationale (cyber) partners en werkt intensief samen met een uitgebreid (inter)nationaal netwerk van computercrisisteams, zoals het Europese CSIRT netwerk, het International Watch and Warning Network (IWWN) en de European Government Cert-Group (EGC). Het NCSC kan, in samenwerking met deze internationale partners, de situatie monitoren en contact onderhouden over de te nemen vervolgacties tijdens incidenten zoals technisch onderzoek ten aanzien van de DDoS-aanvallen.
    Ook op diplomatiek niveau is zowel in EU- als NAVO verband gedeeld dat Nederlandse ziekenhuizen zijn getroffen door DDoS-aanvallen. Hiermee dragen we bij aan een gedeeld situationeel bewustzijn bij onze partners.

  • Vraag 10
    Heeft u informatie dat er ook sprake is van een verhoogde cyberdreiging vanuit Russische hackgroepen in andere vitale en/of niet-vitale sectoren? Zo ja, welke sectoren zijn dat en hoe worden betreffende sectoren geholpen om zich hiertegen te wapenen?

    De kans op gerichte cyberaanvallen op Nederlandse belangen wordt vooralsnog laag ingeschat. Dit dreigingsbeeld lijkt stabiel maar kan abrupt veranderen. Nederlandse organisaties kunnen door ketenafhankelijkheden, bijvoorbeeld via een toeleverancier of dochterbedrijf, geraakt worden als gevolg van cyberaanvallen in relatie tot de oorlog in Oekraïne. Diverse cybersecurity(basis)maatregelen, ten behoeve van het creëren vanhandelingsperspectief om aanvallen te herkennen en voorkomen, zijn aan organisaties ter beschikking gesteld. Zie hiervoor de factsheet van het NCSC zoals benoemd in vraag 5, en ook de AIVD en MIVD publicatie over cyberaanvallen door statelijke actoren.6

  • Vraag 11
    Wordt gemonitord welke organisaties en sectoren in andere landen die wapens aan Oekraïne leveren aangevallen worden, zodat deze organisaties en sectoren in Nederland zich op soortgelijke aanvallen kunnen voorbereiden?

    Ja. Het NCSC monitort soortgelijke aanvallen.

  • Mededeling - 23 februari 2023

    De vragen van het lid Bontenbal (CDA) over het bericht «Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen» (2023Z01823) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat de afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.


Kamervraag document nummer: kv-tk-2023Z01823
Volledige titel: Het bericht ‘Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen’
Kamerantwoord document nummer: ah-tk-20222023-1882
Volledige titel: Antwoord op vragen van het lid Bontenbal over het bericht ‘Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen’