Platform Identity Management Nederland (PIMN)

PIMN voor beter identity management

Vragenuur Tweede Kamer 6 september over hack



Mevrouw  Gesthuizen (SP):

Voorzitter. Een nachtelijke persconferentie vindt gelukkig niet vaak plaats. Er was en is ook echt iets aan de hand met de veiligheid van de communicatie via internet bij de overheid. Het was misschien wel een grapje van minister Donner toen hij zei: "Doe het zoals ik: per brief of per overschrijvingsbiljet", maar ik kon daar niet om lachen. Dat geldt ook voor vele ondernemers die al een hele tijd verplicht zijn om digitaal belastingaangifte te doen. Ook zij zijn niet blij, want hackers konden bij hun gegevens. Er leven nog veel vragen in de Kamer en ook buiten op straat. Daarom wil ik van de minister het volgende weten. Als mensen nu naar de site DigiD gaan, is er dan nog altijd een risico? Is er een risico bij andere overheidswebsites? Worden mensen altijd gewaarschuwd als er iets mis is? Als zij niet gewaarschuwd worden, is het dan echt veilig? Betekent geen waarschuwing dus dat het veilig is? Hoelang kan het nog duren dat mensen extra moeten opletten, zoals de minister in zijn persconferentie zei?

Is het mogelijk dat in de afgelopen weken gegevens van mensen in verkeerde handen terecht zijn gekomen, waardoor criminelen bijvoorbeeld bij de bankrekening van deze mensen konden komen? Is het mogelijk dat naast Iraanse hackers ook anderen certificaten hebben vervalst? Hoe kan het dat het ministerie van Binnenlandse Zaken afgelopen woensdag nog bezwoer dat er niets aan de hand was met de veiligheid van bijvoorbeeld DigiD? Dat op 1 september op de website van DigiD nog stond dat de betrouwbaarheid van de DigiD-website niet in het geding was? Hoe kan dat als 24 uur later blijkt dat er een groot probleem is? Hoe kan het dat maandenlang niet is opgemerkt dat een partner van de overheid zijn zaakjes niet goed op orde had? Is dit niet een teken dat het ministerie onvoldoende in de smiezen heeft hoe de ICT in elkaar steekt? Wat gaat de minister daaraan doen?

Tot slot iets over het rapport van Fox-IT dat vandaag aan de Kamer is gezonden. In dat rapport staat dat een deel van het onderzoek naar de ICT-inbraak en de gevolgen ervan niet openbaar gemaakt kan worden. Wil de minister de Kamer hierover op korte termijn, desnoods vertrouwelijk, informeren?

Minister  Donner:

Voorzitter. Er is een lange lijst vragen aan mij gesteld. Ik meen dat een belangrijk deel van die vragen al beantwoord is in de brief die ik vanochtend naar de Kamer heb gestuurd.

In de eerste plaats de vragen over DigiD. Zoals mevrouw Gesthuizen uit de brief kan afleiden, hadden de signalen van vorige week, waarop gewezen is, betrekking op de eigenmerkcertificitaten, de ongeregelde certificaten van DigiNotar. Daar maakt DigiD geen gebruik van. Afgelopen vrijdag kregen wij onmiskenbare signalen dat ook dit systeem mogelijk gecompromitteerd was. Ik leg daar dan ook de nadruk op. Toen is onmiddellijk geconstateerd dat wij alle certificaten zouden intrekken en dat iedereen aanbevolen werd, over te stappen op een ander certificaat. Een van de prioriteiten daarbij in dit weekend lag bij DigiD. Dat is inmiddels overgestapt op de andere certificaten. Gisteren is de hele dag gekeken in hoeverre DigiD in de ketensystemen werkt, zodat daar geen nieuwe moeilijkheden optreden. Vooralsnog heb ik niet geconstateerd dat zich daar problemen voordoen. Ik ben echter, net als ieder ander, afhankelijk van systemen waarvan proefondervindelijk moet blijken of die in orde zijn. Dit soort certificaten wordt zo veelvuldig in machines en in het verkeer gebruikt, dat men nooit weet of er niet ergens een certificaat is dat leidt tot het signaal: onbetrouwbaar.

Het aantal aanwijzingen van problemen met certificaten is beperkt. Er is in het bijzonder één aanwijzing die aanleiding heeft gegeven tot dit hele proces. Het gaat er niet om dat de gegevens van de mensen die van de site van de Belastingdienst of welke andere site dan ook gebruikmaken niet betrouwbaar zijn. Het risico dat bestond is dat mensen denken op de site van de Belastingdienst te komen en vervolgens gegevens verstrekken die niet bij de Belastingdienst terechtkomen. Tegelijkertijd blijkt dat op een goed moment altijd omdat mensen ontdekken dat gegevens waarvan men dacht dat die bij de Belastingdienst waren daar niet aanwezige blijken.

Mevrouw  Gesthuizen (SP):

Zegt de minister nu dat het vermoeden van mensen onterecht is dat, omdat zij naar een andere server zijn geleid, hun gegevens op straat zijn komen te liggen of in handen gekomen van kwaadwillenden? Is dat dus niet terecht? Is er geen al dan niet gevoelige informatie van mensen in verkeerde handen terechtgekomen?

Minister  Donner:

In theoretische zin kan ik in wezen niets uitsluiten. Er is op dit punt geen aanwijzing dat het door mevrouw Gesthuizen bedoelde is voorgekomen.

Het gebruik van de valse certificaten heeft in het buitenland plaatsgevonden met betrekking tot andere diensten. Nogmaals, dat zal navenant moeten blijken. Daarvoor zouden aanwijzingen kunnen ontstaan doordat plotseling de mededeling komt dat iemand meent gegevens naar de Belastingdienst of een andere dienst te hebben gezonden en de betreffende dienst vervolgens constateert dat deze niet zijn aangekomen. Dan zou je kunnen constateren dat er iets fout is, want als er iets in de ene bus gaat, gaat het niet in een andere bus. Op deze wijze wil ik aangeven dat er intellectueel niets kan worden uitgesloten, er kan twee procent onzekerheid bestaan. Voor de overheid is dat voldoende geweest om voor honderd procent te concluderen dat deze certificaten niet meer betrouwbaar waren. Daarop wordt dus gehandeld. Dit is nu in ieder geval overgenomen door de browsersystemen, dus de systemen waarmee men op een website komt. Het wordt nu ook geïmplementeerd door de serversystemen, waarbij binnen de systemen updates komen die wijzen op de onbetrouwbaarheid van sites die gebruikmaken van DigiNotar-certificaten. Daarbij verschijnt een dergelijke mededeling op het scherm. Ook dat is weer technisch geregeld. Maar is het nu absoluut zeker? Deze vraag kan zelfs een technicus niet met ja of nee beantwoorden.

Mevrouw  Gesthuizen (SP):

Dat is nogal wat. Overigens heeft de minister op veel van mijn vragen nog geen antwoord gegeven.

Minister  Donner:

Nee, maar het waren ook zo veel vragen...

Mevrouw  Gesthuizen (SP):

Inderdaad, het waren een heleboel vragen, maar het zijn ook de vragen die bij de mensen buiten op straat leven. Ik vind het dus van groot belang dat ik daarop van de minister een adequaat antwoord krijg.

Maar ik vind het dus nogal wat dat de overheid al enige tijd werkt met ICT-diensten waarvan mensen verplicht gebruik moeten maken, terwijl de minister ook zegt dat het nu eenmaal nooit is te garanderen dat die veilig zijn. Dat is nu ook precies het punt dat ik de minister wil voorleggen. Ik twijfel er namelijk zeer aan dat deze minister echt op de hoogte is van de risico's die ICT-onveiligheid meebrengt. Ik durf wel te beweren dat daarom het veiligheidsissue lange tijd is veronachtzaamd, niet alleen in dit geval maar ook bij vele andere ICT-projecten bij de overheid. Ik krijg hierop graag een reactie van de minister.

Minister  Donner:

Als mevrouw Gesthuizen de persoon van de minister bedoelt, heeft zij gelijk. Als zij het ambt bedoelt, heeft zij geen gelijk. Juist op dit moment, bij de aanpak van dit probleem, wordt gebruikgemaakt van de inzichten op dit terrein van ongeveer de gehele wereld. Ik wil daar het volgende aan toevoegen. De directe aanleiding voor deze discussie waren de problemen bij DigiNotar, maar ik wil erop wijzen dat vandaag berichten in het nieuws zijn gekomen over claims van de vermeende hacker, dat deze bij andere sites hetzelfde heeft gedaan. Die berichten worden door ons serieus genomen en op dit moment onderzocht op echtheid, wat een eerste voorwaarde is.

Dit laatste dus ter aanvulling. Het geeft aan dat deze problematiek niet meer alleen Nederlands is, maar internationaal. Naar aanleiding van deze berichten wordt de zaak internationaal opgeschaald, om tot een eenduidige analyse van de echtheid te komen. Een en ander wijst op andere motieven en doelen dan hier vermeend, namelijk overheidsinterventie. Internationale afstemming vindt nu dus plaats. Die leidt bij ons echter niet tot een andere beleidslijn dan die we vrijdag hebben ingezet. Onderdeel daarvan was dat de AIVD onmiddellijk alle andere PKI-diensten bij de overheid bezocht, en onderzocht of de veiligheid van de systemen voldeed aan de eisen en of er sporen waren van inbraak bij die sites.

Ook op die basis is gedaan wat mogelijk is om zekerheid te krijgen.

Mevrouw  Gesthuizen (SP):

Voorzitter. Mij rest niets anders dan te concluderen dat wij dit debat met de minister gewoon moeten voortzetten. Ik heb op veel vragen nog geen antwoord gehad, maar dat gaat hopelijk wel gebeuren. Ik begrijp dat de minister zegt dat het een groot probleem is dat niet alleen Nederland betreft maar de hele wereld. Dat neemt echter niet weg dat als wij de burgers in Nederland dwingen om gebruik te maken van ICT-diensten in contacten met de overheid, wij de allerhoogste garantie moeten kunnen geven dat dat veilig gebeurt.

Minister  Donner:

Voorzitter. Ik ben het geheel eens met mevrouw Gesthuizen dat waar de overheid de mogelijkheid biedt om langs deze lijnen te communiceren met de overheid -- ik heb het niet over verplicht stellen -- deze er inderdaad voor moet zorgen dat voldaan wordt aan de eisen die op dat terrein worden gesteld. In dit geval werd er naar ons inzicht aan voldaan. Dat dit op dit moment niet zo blijkt te zijn, is inderdaad aanleiding voor ons om te kijken hoe het systeem werkt. De discussies daarover zijn weliswaar nu al gestart, maar daarop kan ik pas bevredigend ingaan als er inzicht is in hoe groot het probleem is. Daarom waarschuw ik voor een al te overhaastig breed uitdiscussiëren van dit onderwerp; wij weten nog niet wat de werkelijke impact is.

De heer  Heijnen (PvdA):

Voorzitter. De PvdA-fractie vindt dat de zaak de komende dagen en weken wel grondig moet worden besproken, onder andere met de minister, om een en ander tot op de bodem uit te zoeken. Mijn fractie vindt het namelijk onaanvaardbaar dat burgers gedurende een maand of twee mogelijk het risico hebben gelopen dat hun paspoortgegevens en gebruikersnaam niet terechtkwamen bij de instantie waartoe zij zich richtten maar bij anderen die daarvan mogelijk misbruik zouden maken. Ik hoor graag allereerst van de minister of hij dat net als de PvdA-fractie onaanvaardbaar vindt. In het verlengde daarvan stel ik de volgende vraag. In 2005 heeft de Kamer met het vorige ambt of het voorvorige ambt van de minister een discussie gevoerd waarin door de PvdA-fractie is gepleit voor een meldplicht voor hackers. Als er gehackt is, zou een bedrijf of instelling dat, wettelijk gezien, moeten melden. Ik lees in de brief van de minister nu dat hij dat gaat overwegen.

De voorzitter:

Mijnheer Heijnen, het spijt mij zeer maar ik onderbreek u. Een halve minuut is een halve minuut, ook voor u.

Minister  Donner:

Voorzitter. Het kabinet is ook van mening dat dit niet moet kunnen, hetgeen onder meer onderstreept wordt door het feit dat in het regeerakkoord de meldplicht waarop de heer Heijnen doelt al is aangekondigd. De staatssecretaris van Veiligheid en Justitie bereidt daartoe een wetsvoorstel voor. Dat is vermeld in de brief.

De heer  Elissen (PVV):

Voorzitter. Ik ga nog even terug naar de kern, want het gaat er natuurlijk om dat je vertrouwen moet kunnen hebben in een veilig internet. Het gaat om cyber security, om internetveiligheid. Je moet een veilige overheid hebben die de regie voert en de verantwoordelijkheid neemt, een overheid die de zaken goed geregeld heeft. Het heeft er alle schijn van dat het aan alle kanten rammelt. In juli is er een hacker geweest en is sprake geweest van inbraak terwijl pas afgelopen vrijdag een persconferentie is gehouden. Dat roept een hoop vragen op. Mijn belangrijke vraag op dit moment betreft de rol van GOVCERT. Dat lijkt een waakhond, maar mijn fractie vindt het een tandenloze chihuahua. Wordt het niet tijd dat daar een stevige pitbull komt en de overheid de regie weer naar zich toetrekt en zaken goed gaat regelen? Is de minister bereid om daarnaar een onderzoek in te stellen en ons zo snel mogelijk te informeren?

Minister  Donner:

Voorzitter. Hieraan zitten twee aspecten. Het ene aspect is de betrouwbaarheid van de websites waarmee de overheid een brievenbus vormt voor gegevens op het internet. Dat is ook het punt dat de heer Heijnen net aan de orde stelde bij mevrouw Gesthuizen.

De Nederlandse overheid kan de veiligheid van het internet niet waarborgen. Internet is een internationaal verschijnsel. Dat is ook de reden waarom, toen bij de behandeling van de Telecommunicatiewet in 2002 de regels met betrekking tot de certificaten werden besproken, nadrukkelijk is gekozen voor het systeem van gekwalificeerde certificaten zoals wij dat nu hebben. Als wij in Nederland eisen stellen aan de certificaten, kan elk bedrijf onmiddellijk naar het buitenland uitwijken en daar de certificaten gebruiken. Nu zijn er certificaten van een Nederlands bedrijf in een ander land gebruikt. De Kamer moet zich hoeden voor het gebruik van beelden van een veilig internet. Het is een oud beginsel van het recht: men moet zijn vertrouwen vinden daar waar men het gelaten heeft. Het vertrouwen in het internet kan niet groter zijn dan het vertrouwen dat gerechtvaardigd is door de veiligheid die wij kunnen waarborgen.

De heer  Elissen (PVV):

Volgens mij geeft de minister geen antwoord op mijn vraag. Het gaat natuurlijk wel om internetveiligheid, oftewel: cybersecurity. Wij hebben een nationale cybersecuritystrategie. In dat licht gezien, moeten wij deze aanvliegroute kiezen. Vindt de minister met mij dat het op dit moment waardeloos geregeld is en dat wij de taak van GOVCERT beter gestalte moeten geven? Dit betekent dat de overheid gewoon weer de regie moet nemen en ervoor moet zorgen dat de zaken wel goed zijn geregeld, zodat de burger weer vertrouwen kan hebben in het internet.

Minister  Donner:

Nogmaals: GOVCERT is de instantie die met betrekking tot de overheid waakt over veilig gebruik. Dat is iets totaal anders dan de veiligheid van het internet. De regels waarover wij het hebben, zijn onderwerp geweest van discussie hier in de Kamer, in het kader van de Telecommunicatiewet. Er is gekozen voor een bepaald systeem. Het toezicht is gelegd bij de OPTA als het gaat om de gekwalificeerde certificaten. In de brief heb ik u aangegeven dat deze hele ontwikkeling alle aanleiding vormt om te bezien hoe wij een en ander hebben geregeld en wat er is gedaan. Zelfs voordat deze voorvallen plaatsvonden, heeft het kabinet bij de Kamer een nota ingediend over de cyberstrategie. De minister van Veiligheid en Justitie heeft de Cyberraad ingesteld. Deze wordt ingeschakeld om te adviseren over de wijze waarop wij hiermee kunnen omgaan. Ik denk dus dat het kabinet al hierop lette nog voordat de vraag werd gesteld.

Weergaven: 38

Opmerking

Je moet lid zijn van Platform Identity Management Nederland (PIMN) om reacties te kunnen toevoegen!

Wordt lid van Platform Identity Management Nederland (PIMN)

Doe mee op LinkedIn

Vaker een update en goede mogelijkheid om zichtbaar te zijn.

© 2018   Gemaakt door Jaap Kuipers.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden