Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2014-2015 | 1195 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2014-2015 | 1195 |
Bent u bekend met het artikel «Beveiligingslek banken maakte phishing mogelijk»?1
Deelt u de mening dat het onacceptabel is dat de websites van banken zo eenvoudig aan te passen zijn door kwaadwillenden? Bent u er ook zo van geschrokken dat bij alle grote Nederlandse consumentenbanken dit beveiligingslek is geconstateerd?
De websites van banken dienen robuust te zijn en een veilig betalingsverkeer te waarborgen. Het is goed dat de onderzoeker het betreffende lek heeft gemeld. Dit maakt dat banken maatregelen kunnen nemen om het probleem te verhelpen. De Nederlandse banken en de overheid spannen zich in om een zo veilig mogelijke dienstverlening te leveren. De beveiliging zal in de praktijk echter nooit voor honderd procent waterdicht zijn.
De bancaire sector heeft onder meer een beleid voor responsible disclosure opgesteld en dit breed ingevoerd.2 In dit openbaringsbeleid kunnen personen die kwetsbaarheden signaleren in een bancair systeem op een verantwoordelijke wijze dit melden bij de betreffende bank, waarna het vervolgens wordt opgelost. In deze casus is gehandeld conform het door de banken opgestelde responsible disclosure beleid.
Gezien de ontwikkeling van cyberdreigingen heeft DNB de eisen die zij stelt aan onder toezicht staande instellingen wat betreft de analyse en beheersing van IT-risico’s vanaf dit jaar verzwaard. Banken moeten aantonen hun beheersprocessen continu te evalueren en (indien nodig) te verbeteren. De complexiteit van de IT-infrastructuur en de maatregelen die de detectie van en reactie op cyberdreigingen verbeteren, zijn daarbij belangrijke aandachtspunten.
Is dit beveiligingslek gebruikt door criminelen voor phishingpraktijken? Volgens het artikel komen soortgelijke beveiligingslekken vaak voor; in hoeverre is die constatering correct? Bent u bekend met eerder gebruik van soortgelijke beveiligingslekken?
De banken testen zelf op beveiligingslekken en zorgen dat hun systemen regelmatig worden geüpdate. Banken nemen bij het testen voor de invoering van software mitigerende maatregelen om kwetsbaarheden in productie te voorkomen. Het probleem van de in het artikel genoemde «cross site scripting» is vaker geconstateerd en eerder aangepakt door de banken. De Betaalvereniging Nederland heeft aangegeven niet bekend te zijn met aanvallen waarin gebruik werd gemaakt van het aangekaarte lek of vergelijkbare lekken.
Wordt er gegarandeerd dat iedere consument of ondernemer die middels deze phishingpraktijken gedupeerd is snel en volledig de schade door banken vergoed krijgt?
Volgens de Betaalvereniging Nederland zal bij de aangekaarte vorm van phising er niet snel sprake zijn van grove nalatigheid. Het uitgangspunt is dat indien consumenten schade leiden, de banken de schade vergoeden tenzij er sprake is van grove nalatigheid. Voor de beantwoording van deze vraag verwijs ik u graag naar de Kamerbrief «Initiatiefnota over veilig en betrouwbaar bankieren in de 21e eeuw» d.d. 18 december 2014.(Kamerstuk 34 033, nr. 3)
Vindt u dat banken genoeg investeren in het beveiligen van hun ICT-infrastructuur? In hoeverre werken banken samen op het gebied van digitale beveiliging? Zijn banken verplicht beveiligingsproblemen die zij ontdekken te delen met concurrerende banken? Zou dit de veiligheid van online bankomgevingen ten goede kunnen komen?
Banken en andere schakels in het betalingsverkeer investeren in het beveiligen van de interbancaire infrastructuur. DNB beoordeelt als toezichthouder op de bedrijfsvoering van banken in hoeverre deze investeringen afdoende zijn. Banken bewaken zelf continu de veiligheid van hun websites en gebruiken tevens het responsible disclosure beleid hiervoor.
Het delen van informatie en samenwerking tussen banken op dit terrein vindt al plaats. Banken hebben diverse overleggen, waarin ze onderling, maar ook samen met de overheid overleggen over potentiële beveiligingsproblemen en mogelijk te nemen maatregelen. Hier wordt ook informatie gedeeld over het responsible disclosure beleid en de ervaringen hiermee.
In het verleden heeft ook DigiD vergelijkbare beveiligingsproblemen gehad; in hoeverre zijn dit soort beveiligingsproblemen uit te sluiten? Hoe kwetsbaar zijn andere overheidsloketten, zoals van gemeentes, provincies en de politie?
Dergelijke beveiligingsproblemen zijn nooit helemaal uit te sluiten. Voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur kunnen partijen binnen maar ook buiten de overheid gebruik maken van de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Deze ICT- beveiligingsrichtlijnen voor webapplicaties van het NCSC zijn in samenwerking met de Auditdienst Rijk (ADR), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen tot stand gekomen.3
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20142015-1195.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.