Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 1667 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 1667 |
Heeft u kennisgenomen van de berichten over computers die nog werken op basis van Windows XP, in het bijzonder bij Nederlandse gemeenten?1
Heeft u inzicht in het aantal computers bij gemeenten, provincies, waterschappen en het Rijk die nog werken op basis van Windows XP? Zo ja, om hoeveel pc’s gaat het? Zo nee, wilt u de omvang van het probleem onderzoeken?
Dat inzicht heb ik gedeeltelijk. Overheidsorganisaties bij het Rijk, gemeenten, provincies en waterschappen zijn en blijven zelf verantwoordelijk voor de wijze waarop zij passend invulling geven aan hun ICT- vervangingsbeleid. In interbestuurlijk verband heb ik mijn partners in het openbaar bestuur (te weten het Rijk, provincies, gemeenten en waterschappen) meermaals aangesproken op de beëindiging van de ondersteuning van Windows XP, Office 2003 en Exchange en is de urgentie ervan erkend. Het up to date houden van computersystemen is natuurlijk ook onderdeel van de Baseline in de verplichtende zelfregulering en de toetsen die daarop zijn of worden ingericht ter controle. Ook is het onderliggend onderdeel van de verantwoording bij het in control statement dat moet worden afgegeven.
Bij de Rijksoverheid ging het begin maart om 34.000 tot 40.000 werkplekken bij de verschillende ministeries en departementen.
Klopt het dat 2 op de 5 gemeenten nog computers hebben die Windows XP gebruiken en dat sommige gemeenten nog een jaar lang gebruik zullen maken van Windows XP? Zo nee, wat klopt daar niet aan?
Er zijn gemeenten die nog gebruik zullen maken van computers die draaien op Windows XP, Office 2003 en Exchange na 8 april aanstaande. Dit aantal vermindert, omdat de uitfasering bij gemeenten gaande is. De Informatiebeveiligingsdienst (IBD) heeft gemeenten geïnformeerd over de migratie van Windows XP, Office 2003 en Exchange en wijst gemeenten op haar verantwoordelijkheid passend invulling te geven aan de adviezen die zij samen met het NCSC uitbrengt.
Welke risico’s brengt het voortdurend gebruik van Windows XP met zich mee voor de dataveiligheid van betrokken overheidsinstellingen? Hoe worden deze risico’s beperkt?
Vanaf 8 april aanstaande staakt Microsoft de ondersteuning van Windows XP,Office 2003 en Exchange waarna er geen nieuwe beveiligingsupdates voor zullen worden uitgebracht. Het voortdurend gebruik van Windows XP, Office 2003 en Exchange brengt beveiligingsrisico’s met zich mee, met name op PC’s met een directe toegang tot het Internet. Deze PC’s zullen kwetsbaar worden voor aanvallen van buitenaf (zoals virussen waardoor een aanvaller toegang kan verkrijgen tot informatie op betreffende PC) en na besmetting kunnen aanhoudende aanvallen zich voordoen op het interne kantoornetwerk van een overheidsinstelling. Het risico van deze aanvallen in organisaties wordt aanzienlijk beperkt door het toepassen van gelaagde beveiliging, zoals het gebruik van antivirussoftware en een firewall uitgerust met Intrusion Detection/Prevention System (IDS/IPS). Dit zal echter niet alle aanvallen kunnen tegenhouden.
Bij een aantal organisaties van de Rijksoverheid zijn middels zogeheten Customer Support Agreement (CSA) afgesloten met Microsoft, het gaat dan om beveiligingsmaatregelen genomen voor kritische beveiligingslekken. Momenteel verkennen mijn partners in het openbaar bestuur (provincies, gemeenten en waterschappen) op welke wijze een CSA- regeling ook voor de medeoverheden kan worden bewerkstelligd.
Ook heeft het NCSC in oktober 2013, door middel van het publiceren van een factsheet, alle gebruikers en beheerders van computers met Windows XP met klem geadviseerd om over te stappen naar een ander besturingssysteem. Het NCSC heeft verder geschreven dat als het op korte termijn niet mogelijk is om over te stappen op een ander besturingssysteem, het dan belangrijk is om verbindingen met de buitenwereld, via internet, tot een minimum te beperken.
Worden op Windows XP draaiende computers ook nog ingezet om te communiceren met, of data te verwerken in, systemen die onder verantwoordelijkheid vallen van de Rijksoverheid, zoals de GBA, Suwinet of DigiD? Zo ja, welke risico’s brengt dit met zich mee? Zo nee, hoe wordt dit voorkomen?
Voor kritieke systemen die vallen onder de verantwoordelijkheid van de Rijksoverheid waarop Windows XP, Office 2003 en Exchange nog draait na 8 april aanstaande, geldt dat op deze computers een zogeheten Customer Support Agreement (CSA) van Microsoft is inbegrepen. Het komt erop neer dat kritieke patches nog worden bijgewerkt en dat de migratie naar een nieuw besturingssysteem zo snel als mogelijk plaatsvindt. Voor wat betreft de Basisregistratie Personen (BRP), voorheen GBA, geldt dat er geen computers in gebruik zijn die draaien op Windows XP. De koppelingen zijn op het niveau van het berichtenverkeer: een gemeente stuurt een bericht naar de BRP en de BRP stuurt een bericht terug. Voor de centrale voorziening van het Suwinet geldt eveneens dat Windows XP niet wordt toegepast in het berichtenverkeer en gegevensverwerking, evenals voor de DigiD- voorziening.
In het kader van de DigiD-assessments wordt bij organisaties die op DigiD aansluiten het patchmanagement beoordeeld, waaronder impliciet het gebruik van een actueel besturingssysteem.
Indien overheidsorganisaties gebruik maken van de Suwinet-Inkijkpagina’s in combinatie met Windows XP op de werkstations, dan is er bij deze organisaties sprake van een beveiligingsrisico en van groot belang dat deze organisaties passende maatregelen treffen. Hierop ga ik nader in bij vraag 10.
Welke eisen worden er gesteld aan de computersystemen van burgers en bedrijven bij het inloggen bij DigiD of eHerkenning? Vormt het gebruik van Windows XP hier ook een potentieel risico voor de integriteit van de dataverwerking?
De gebruiksvoorwaarden van eHerkenning vereisen dat de gebruiker van het eHerkenningsmiddel (dit kan een bedrijf zijn of een overheidsorganisatie) zorg draagt voor voldoende beveiliging van de netwerkverbindingen en systemen die onder diens verantwoordelijkheid vallen en die door het bedrijf of de overheidsorganisatie worden gebruikt om in te loggen met eHerkenning. Het gebruik van Windows XP vormt hierbij een potentieel risico voor de integriteit van de dataverwerking. Zo bestaat bijvoorbeeld het risico dat malware de inloggegevens afvangt of de waarden aanpast op het formulier dat wordt ingevuld (bv. het gevraagde subsidiebedrag of het rekeningnummer waarop de subsidie dient te worden overgemaakt). De dienstverlening van eHerkenning is en blijft echter veilig: de integriteit van het berichtenverkeer kan niet worden aangetast zonder dat dit binnen eHerkenning wordt opgemerkt. Indien de gebruiker dus na 8 april 2014 gebruik blijft maken van Windows XP, voldoet de gebruiker niet meer aan de gestelde eis van voldoende beveiliging. Op de website van eHerkenning wordt geattendeerd te stoppen met het gebruik van Windows XP. Daarnaast zullen de bij eHerkenning betrokken erkende aanbieders door Logius worden gevraagd om hun klanten te wijzen op de gestelde eis van voldoende beveiliging en dat zij na 8 april hier niet meer aan voldoen indien zij Windows XP gebruiken. De bij eHerkenning betrokken erkende aanbieders maken in het operationele netwerk eHerkenning geen gebruik meer van Windows XP.
Bij DigiD worden geen eisen gesteld aan de computersystemen van eindgebruikers. Wel wordt op de website van DigiD (en ook de website van MijnOverheid.nl) geattendeerd te stoppen met het gebruik van Windows XP. Daarnaast wordt er op de DigiD website een aantal tips gegeven hoe de burger zijn computer gezond kan houden. Zie: https://www.digid.nl/veiligheid/ (onder het kopje «Houd uw computer gezond»). Het gegevensverkeer van en naar DigiD is wel beschermd omdat gebruik wordt gemaakt van zogenaamde PKI overheidscertificaten bij eindgebruiker en DigiD zelf.
DigiD zelf gebruikt geen op Windows XP draaiende computers om te communiceren of data te verwerken en vormt hierbij geen potentieel risico voor de integriteit van dataverwerking.
Welke rol ziet u voor de overheid in het bevorderen van het gebruik van veilige computersystemen door burgers en bedrijven in Nederland?
Voor burgers en bedrijven in Nederland is het van groot belang dat zij -voor de veiligheid van hun persoonlijke gegevens/klantgegevens- zo spoedig mogelijk stoppen met het gebruik van Windows XP. Als burgers en bedrijven met Windows XP blijven werken, lopen ze op het internet een risico om slachtoffer te worden van cybercrime. Dat geldt bij allerlei soorten handelingen, of het nu gaat om internetbankieren, bestellen bij webwinkels, raadplegen van informatie of het doen van zaken met de overheid.
In de Nationale Cyber Security Strategie 2 (vergaderjaar 2013 – 2014, Kamerstuk 26 643, nr. 291) wordt van burgers een zekere basis-cyberhygiëne en bekwaamheid verwacht als zij ICT gebruiken, bijvoorbeeld bij het surfen op het web. Denk aan voorzichtig zijn met persoonlijke gegevens, het uitvoeren van updates, het gebruik van sterke wachtwoorden en het in evenwicht brengen van functionaliteit en cybersecurity. De overheid zet in op het vergroten van de digitale weerbaarheid van overheid, burgers en bedrijfsleven, bijvoorbeeld via het onderwijs.
Sinds wanneer waren gemeenten en andere overheden op de hoogte van het beëindigen van de ondersteuning van Windows XP door Microsoft? Hoe kan het zijn dat het niet gelukt is om tijdig de betrokken systemen aan te passen, zodat ondersteunde software gebruikt wordt?
Overheidsorganisaties zijn al enkele jaren op de hoogte van de voorgenomen beëindiging van de ondersteuning van Windows XP door Microsoft op 8 april aanstaande. Veel organisaties hebben dan ook de uitfasering van Windows XP opgenomen in het meerjarige beveiligingsplan. Op 3 juli 2013 is uw Kamer over de risico’s geïnformeerd in het Cyber Security Beeld Nederland – 3 (vergaderjaar 2012 – 2013, Kamerstuk 26 643, nr. 285). De vorig jaar opgerichte IBD heeft gemeenten in oktober 2013 op de hoogte gesteld en geattendeerd op de factsheet van het NCSC hieromtrent. Ook is gemeenten, die niet voor 8 april a.s. zullen migreren, dringend geadviseerd het bij antwoord 4 genoemde advies van het NCSC op te volgen en bij vragen de helpdesk van de IBD te bellen. Vervanging van besturingssystemen op de PC’s en servers gaat niet van de ene op de andere dag. Er zit veelal samenhang met applicaties en daardoor kunnen er grote vervangingstrajecten nodig zijn. Sommige overheidsorganisaties geven daarom aan dat het niet gaat lukken om voor 8 april a.s. over te stappen naar een ander besturingssysteem.
Deelt u de mening van het College bescherming persoonsgegevens (Cbp) dat gemeenten niet klaar zijn voor de grote hoeveelheid gevoelige gegevens die zij straks te verwerken krijgen? Zo nee, waardoor vindt u dat gemeenten hier wel klaar voor zijn? Zo ja, wat wordt gedaan om de gegevensbescherming te borgen en wat is de rol van het Cbp hierin?
De zorgen van het College bescherming persoonsgegevens (Cbp) begrijp ik. Er worden met de IBD/VNG en de Taskforce BID gezamenlijk stappen gezet om de informatieveiligheid bij gemeenten nader invulling te geven. Ook mijn collega’s van de bij de decentralisaties betrokken departementen zijn hier mee bezig. Zie verder ook mijn antwoord op vraag 3 van het lid Van Toorenburg met kenmerk 2014Z04940. De rol van het Cbp is hierin onafhankelijk. Het Cbp heeft de mogelijkheid handhavend op te treden indien gemeenten niet voldoen aan de vereisten van de Wbp.
Deelt u de mening dat de langzame uitfasering van niet langer ondersteunde besturingssystemen een zorgelijk beeld geeft van de computerbeveiliging bij gemeenten en andere overheden? Zo nee, waarom niet? Zo ja, hoe gaat u de gehele Nederlandse overheid aansporen en ondersteunen bij het bij de tijd en veilig houden van de ICT-infrastructuur?
Er zijn overheden die gebruik maken van computers die draaien op Windows XP, ook na 8 april aanstaande. Dit aantal vermindert, omdat de uitfasering van Windows XP bij steeds meer overheden plaatsvindt. Vanuit mijn coördinerende verantwoordelijkheid voor de kwaliteit van het openbaar bestuur heb ik mijn partners in het openbaar bestuur er op aangesproken tijdig over te gaan naar een nieuwer besturingssysteem. Ook het Ministerie van Veiligheid & Justitie heeft middels de factsheet van het NCSC in oktober 2013 alle gebruikers en beheerders van computers (ook bij de overheid) met Windows XP met klem geadviseerd om over te stappen naar een ander besturingssysteem.
«Hoeder privacy: Gemeenten laks met veiligheid data», Volkskrant 15 maart 2014;
«Nog één miljoen pc’s met «gevaarlijk» Windows XP», NRC Handelsblad 12 maart 2014;
http://webwereld.nl/beveiliging/81286-xp-nog-jaar-lang-op-duizenden-pc-s-bij-gemeenten
http://computerworld.nl/beveiliging/80767-gemeenten-nemen-bewust-risico-met-gebruik-xp
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20132014-1667.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.