Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2012-2013 | 2113 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2012-2013 | 2113 |
Kent u het bericht «Banken te laks met aanpak van cybercrime»?1
Waarom werken de banken volgens u onvoldoende mee aan het tegengaan van cybercriminaliteit terwijl de Nederlandse Vereniging van Banken (NVB) aangeeft zich niet in uw kritiek te herkennen? Kunt u de verschillen in opvatting verklaren?
Wat is voor u de aanleiding geweest een werkgroep in te richten om digitale aanvallen op bankrekeningen van consumenten tegen te gaan terwijl sinds 2011 de Korps landelijke Politiediensten (KLPD), het Landelijk Parket, de banken en Centre for Protection of the National Infrastructure (CPNI.NL) samenwerken in de Electronic Crimes Taskforce (ECTF) die zich richt op het voorkomen en aanpakken van digitale criminaliteit zoals fraude met internetbankieren? Wat is de toegevoegde waarde van de werkgroep? Waarom bent u niet tevreden over de houding van de banken in dit overleg?
De samenwerking met de bankensector is goed. Er zijn geregeld contacten, ook op technisch niveau, als het gaat om detectie. Technische maatregelen leveren ook successen op: de Nederlandse Vereniging van Banken heeft op 2 april 2013 bericht dat de fraude met internetbankieren in de tweede helft van 2012 met 60% is gedaald ten opzichte van de eerste helft van 2012.2
Gezien de ernst van de dreiging van cybercrime moet evenwel over de hele linie een nog grotere inspanning dan nu al het geval is worden geleverd, ook door de bancaire sector. Ik wil de samenwerking verder uitbouwen en gezamenlijk optrekken om de huidige en komende problemen het hoofd te bieden. Er is met name winst te behalen in de operationele samenwerking met het bedrijfsleven. Samen met het bedrijfsleven, waaronder de banken, ga ik daarom de komende jaren investeren in verbeterde signalering, detectie en informatie-uitwisseling. Er is hierover geen verschil van opvatting, zoals onder andere mag blijken uit de brief die de Minister van Financiën en ik uw Kamer op 16 april 2013 stuurden naar aanleiding van de recente DDOS-aanvallen op enkele Nederlandse banken en de operationele maatregelen die wij naar aanleiding daarvan in ons onderlinge overleg van 15 april 2013 hebben genomen. Zoals vermeld in deze brief zal door de banken een liaison in het Nationaal Cyber Security Centrum worden geplaatst om de intensieve samenwerking te bestendigen.
Met de groep publieke en private partijen die in het in vraag 1 aangehaalde bericht wordt genoemd, doelde ik op de bestaande Electronic Crimes Taskforce (ECTF).
Welke afspraken zijn er gemaakt tussen de overheid en de banken over de aanpak van cybercrime? Komen de banken de gemaakte afspraken na? Zijn volgens u de gemaakte afspraken voldoende om cybercrime te bestrijden, zo nee, op welke onderdelen zouden de afspraken moeten worden aangepast?
Banken en overheid werken in de strijd tegen cybercrime op vele verschillende fronten met elkaar samen, onder andere in verbanden zoals de ECTF en het skimmingpoint. De daar gemaakte afspraken worden nagekomen door de deelnemende partijen. Daarnaast wordt door de financiële sector op constructieve wijze samengewerkt binnen het Information Sharing and Analysis Centre (ISAC) voor de financiële sector. Deze Financial-ISAC, waarbinnen publieke en private partijen samenwerken door het delen van informatie en kennis over ICT-kwetsbaarheden en -dreigingen in het digitale domein, is aangesloten bij het Nationaal Cyber Security Centrum (NCSC).
Een terrein waar nog winst te boeken valt is het werken met zogenaamde barrièremodellen. Bij het werken met barrièremodellen heeft de overheid een leidende rol. Binnen een barrièremodel wordt gedetailleerd bekeken hoe een criminele organisatie of een crimineel verdienmodel werkt. Hierdoor kan worden nagegaan waar de criminele organisatie of het criminele model het meest kwetsbaar is. Op basis daarvan kan worden bepaald welke partij uit het samenwerkingsverband zo effectief mogelijk kan ingrijpen. Opsporing en vervolging zijn ultimum remedium. Eerst moeten we er met elkaar alles aan hebben gedaan om zaken veiliger te maken en gebruikers bewuster. Ik verwijs verder naar mijn antwoord op vragen 2 en 3.
Klopt het dat sinds vorig jaar banken datalekken en hackersaanvallen verplicht moeten melden? Zo ja, hebben de banken zich aan de meldplicht gehouden? Heeft u zich al een keer genoodzaakt gezien uw bevoegdheden aan te wenden omdat banken zich niet hielden aan de meldplicht, zo ja, kunt u toelichten in welke situaties hier sprake van is geweest?
Banken moeten al geruime tijd op grond van de Wet op het financieel toezicht (Wft) incidenten verplicht melden aan De Nederlandse Bank (DNB). Een incident op grond van de Wft is een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere bedrijfsuitoefening. Datalekken en hackersaanvallen die kwalificeren als incident, moeten dus worden gemeld aan DNB. Voor zover DNB kan overzien wordt de meldplicht door de banken nageleefd. DNB ontvangt enkele meldingen per jaar van DDOS-aanvallen op Nederlandse banken.
In aanvulling op de hiervoor beschreven meldplicht wordt momenteel door het ministerie van Veiligheid en Justitie gewerkt aan twee wetsvoorstellen. In het eerste wetsvoorstel worden onder andere banken verplicht om datalekken (inbreuken op beveiligingsmaatregelen voor persoonsgegevens) te melden aan het College bescherming persoonsgegeven (CBP). In het tweede wetsvoorstel worden banken verplicht om inbreuken op de veiligheid en integriteit van hun informatiesystemen die het betalings- of effectenverkeer onderbreken en een (potentieel) maatschappelijk ontwrichtende werking hebben, te melden aan het NCSC (dit betreft de security breach notification).
Vormt naming en shaming een risico ten opzichte van het belang via het Nationaal Cyber Security Centrum (NCSC) te weten welke aanvallen en lekken er zijn om gerichter de cybercrime te kunnen aanpakken en meer kennis te kunnen vergaren? Is het te verkiezen dat bedrijven in vertrouwen hun lekken kunnen melden in plaats van verzwijgen uit angst voor negatieve publiciteit?
Naming en shaming zijn geen onderdeel van uitgangspunten van de security breach notification die ik naar aanleiding van de motie Hennis-Plasschaert3, in samenwerking met het Ministerie van Financiën, aan het uitwerken ben. Het is van belang om informatie te delen met het NCSC zodat gewerkt kan worden aan het verminderen van kwetsbaarheden en indien noodzakelijk hulp geboden kan worden. In mijn brief van 6 juli 20124 heb ik dan ook aangegeven dat vertrouwelijkheid en de door het NCSC te bieden hulp belangrijke uitgangspunten zijn bij de uitwerking van de wettelijke meldplicht. Het wetsvoorstel hieromtrent zal spoedig in consultatie gebracht worden.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20122013-2113.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.