Antwoord 1

Ja.

Antwoord 2

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals ransomware-aanvallen. Het beeld van de politie is dat ransomware-aanvallen met name gericht zijn op het MKB en grote bedrijven. Hierin zijn patronen te herkennen, waarbij ongerichte aanvallen met name binnen het MKB voorkomen door het gebruik van Ransomware-as-a-service.2 De meer gerichte aanvallen zien op grote organisaties, waarbij maatwerk wordt verricht om tot maximaal financieel gewin te komen.3 Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de 200 aangiftes van ransomware ontvangt. De aangiftebereidheid bij cybercrimedelicten is echter laag, wat met name geldt voor ransomware. Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland (CSBN) 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid. Indien uw Kamer verzoekt om een technische briefing kan daarin worden voorzien.

Voor meer inzicht in de acties van de politie omtrent het delen van de lijst met hosting-resellers verwijs ik u naar de beantwoording van de Kamervragen van het lid Rajkowski over hetzelfde artikel.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5

Antwoord 3

In het Cybersecurity Beeld Nederland (CSBN) 2021 zijn de verschillende fasen in het delictsproces van ransomware beschreven. Kortweg bestaat een ransomware-aanval uit het verkrijgen van initiële toegang tot een ICT-netwerk, het consolideren van de positie, het wegsluizen van informatie, het inzetten van ransomware en de financiële afhandeling. In het CSBN 2021 wordt hier dieper op ingegaan.6 Het effectief tegengaan van ransomware vraagt meerdere soorten maatregelen. Zo is het belangrijk om ransomware te voorkomen, doordat bedrijven en organisaties de juiste preventieve maatregelen nemen. Zie hiervoor ook vraag 5. Daarnaast heeft de politie de Ransomware Taskforce opgericht, die proactief onderzoek doet naar het hele criminele ecosysteem rondom ransomware. Het doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen.

Het opsporen van verdachten van cybercrime is echter complex, zie hierover ook de brief die eerder naar uw Kamer is gestuurd over de dilemma’s die de politie en het OM tegenkomen bij opsporing in het digitale domein.7 Daders hoeven zich niet in Nederland te bevinden, verdachten kunnen met technische mogelijkheden hun identiteit en locatie gemakkelijk afschermen en het internet is grenzeloos. Internationale samenwerking is daarom belangrijk, hetgeen ook blijkt uit de internationale actie waarbij een ransomware-bende is opgepakt.8 De politie neemt onder andere deel in de Joint Cybercrime Action Taskforce van Europol. Om de grensoverschrijdende opsporing in het digitale domein te versterken heeft Nederland de afgelopen jaren actief deelgenomen aan de gesprekken over de E-Evidence verordening van de EU en over het tweede protocol bij het Cybercrimeverdrag in het kader van de Raad van Europa. Het concept protocol is goedgekeurd in 2021. Na goedkeuring op politiek niveau en ratificatie zal snellere en meer efficiënte samenwerking in opsporingsonderzoeken mogelijk zijn.

Zoals eerder vermeld in de beantwoording van Kamervragen van het lid Van Raak, is het niet bekend hoeveel veroordelingen voor ransomware er precies zijn geweest.9 Ransomware aanvallen zijn niet onder één specifiek wetsartikel te scharen en worden niet als zodanig geregistreerd door het OM en de Raad voor de rechtspraak. Ook gaat het vaak om buitenlandse daders.

Antwoord 4

Nederlandse hostingdiensten worden inderdaad misbruikt voor het plegen van cybercrime en andere vormen van online criminaliteit, via malafide hostingbedrijven, maar ook via hostingbedrijven die zich daar niet van bewust zijn. De hostingsector heeft daarom zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief10 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Tot slot richten het OM en de politie zich binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Echter, hostingproviders zijn op basis van de huidige wet- en regelgeving onder voorwaarden niet strafrechtelijk aansprakelijk voor hetgeen zich op hun netwerken bevindt. Zie hiervoor ook de beantwoording van eerdere Kamervragen van het lid Van Nispen.11

In EU-verband is de triloog-fase van de Digital Services Act begonnen. Deze conceptverordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.

Het belang van een schoon en veilig internet en de rol die tussenpersonen zoals hostingproviders hierin spelen, is groot en zal steeds in EU-verband benadrukt worden.

Antwoord 5

Het is wenselijk om slachtofferschap van cybercriminaliteit, zoals ransomware-aanvallen, bij bedrijven te voorkomen. Bedrijven zijn verantwoordelijk voor hun eigen cybersecurity en moeten hiervoor de juiste maatregelen treffen. De overheid kan daarbij ondersteuning bieden. Daarom biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan om de cyberweerbaarheid van bedrijven te vergroten. Deze bevatten adviezen voor ondernemers om besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Het DTC biedt ook een basisscan aan, zodat bedrijven hun cyberweerbaarheid kunnen testen. Met het delen van verhalen van ondernemers die slachtoffer zijn geworden van ransomware probeert het DTC bedrijven en ondernemers te wijzen op de risico’s. Ook is het DTC begonnen met het waarschuwen van individuele bedrijven bij ernstige cyberdreigingen. Inmiddels zijn er al meer dan 300 bedrijven gewaarschuwd.

Het Nationaal Cyber Security Centrum (NCSC) informeert organisaties in de vitale sectoren en de rijksoverheid proactief over digitale dreigingen en levert hen bijstand bij incidenten. Ook deelt het NCSC informatie over digitale dreigingen en incidenten via aangewezen schakelorganisaties in het Landelijk Dekkend Stelsel van cybersecuritysamenwerkingsverbanden. Het NCSC werkt bovendien samen met vitale én niet-vitale organisaties die kunnen bijdragen aan het versterken van het actuele situationeel beeld, onder andere op het gebied van ransomware dreigingen. Zo wordt er samengewerkt met securityleveranciers, multinationals en onderzoekers zoals het Dutch Institute for Vulnerability Disclosure (DIVD). In dit kader werken het DTC en het NCSC nauw samen.

De moties Ephraim12 en Hermans13 verzoeken de regering om te komen met een voorlichtingsplan voor ondernemers ten aanzien van de risico's van cybercrime en concrete maatregelen om ondernemers beter te beschermen tegen digitale dreigingen en cybercriminelen. Bij de uitvoering van deze moties worden de behoeften die er op dit vlak bij organisaties zijn meegenomen.

Het Ministerie van BZK ziet het als haar taak kaderstellend, ondersteunend, en waar nodig aanjagend te zijn naar alle overheidslagen. Daartoe stelt het Ministerie van BZK randvoorwaarden op, zoals met de Baseline Informatieveiligheid Overheid (BIO). De BIO geldt overheidsbreed als het minimumkader voor informatieveiligheid. De individuele overheidsorganisaties moeten hun informatiebeveiliging primair zelf op orde hebben en houden, waarbij zij ondersteund worden door hun koepelorganisaties. Zo ondersteunt de VNG gemeentebestuurders met de Agenda Digitale Veiligheid. Begin 2021 werd de Resolutie Digitale Veiligheid 14 vastgesteld, waaraan gemeenten zich gecommitteerd hebben. Hierin wordt de noodzaak onderstreept dat gemeenten hun digitale weerbaarheid versterken. Daarnaast worden gemeenten ondersteund door de Informatiebeveiligingsdienst (IBD), die actuele producten en diensten ter ondersteuning van de BIO aanbiedt en het programma Verhogen Digitale Weerbaarheid verzorgt. Ook is de IBD de sectorale CERT/CSIRT15 voor Nederlandse gemeenten, die crisismanagementteams ondersteunt in het geval van incidenten. Het Ministerie van BZK werkt hierbij samen met de VNG en de IBD.

Ook ondersteunt het Ministerie van BZK het delen van informatie met alle overheden via een bijdrage aan het Centrum voor Informatiebeveiliging en Privacybescherming (CIP).16 Zie hiervoor ook de beantwoording van schriftelijke vragen van het lid Kathmann.17 Verder wordt jaarlijks in oktober–de maand van cybersecurity- de overheidsbrede cyberoefening georganiseerd.18 Deze oefening, die is bedoeld voor Rijks- en uitvoeringsorganisaties, provincies, gemeenten en waterschappen en laat zich ieder jaar inspireren door recente en actuele dreigingen en cyberaanvallen. Naast deze oefening zijn er webinars, die men ook kan terugkijken.19 Speciaal voor gemeenten zijn een drietal cyberoefenpakketten ontwikkeld door het Instituut voor Veiligheids- en Crisismanagement. Deze zijn online raadpleegbaar en gratis af te nemen voor alle gemeenten.20

Tot slot bevat de I-strategie 2021 – 2025 voor de rijksoverheid een stevige inzet op het thema digitale weerbaarheid, die ook de weerbaarheid tegen ransomware zal verhogen, onder meer via kennisproducten. De bijbehorende roadmap wordt voor de zomer aan uw Kamer gestuurd door de Staatssecretaris van BZK.

Antwoord 6

Het coalitieakkoord wordt nog uitgewerkt. De hoofdlijnenbrief Justitie en Veiligheid van 9 februari jl. toont een eerste overzicht van de maatregelen die voortvloeien uit het coalitieakkoord.22 Sinds 2018 is de Kamer jaarlijks geïnformeerd over de integrale aanpak van cybercrime.23 Deze aanpak bestaat uit vier pijlers, namelijk preventie, slachtofferondersteuning, wetenschappelijk onderzoek en opsporing, vervolging en verstoring. De mate waarin het beleid en de strafrechtsketen kan worden versterkt om cybercriminaliteit, waaronder ransomware, aan te pakken, is mede afhankelijk van de uitkomst van de uitwerking van het coalitieakkoord en het beschikbaar komen van middelen voor cybercrime.

Ten aanzien van de slagkracht van de inlichtingendiensten verwijs ik naar de brief van 24 februari 2022 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan uw Kamer over de impact van het coalitieakkoord en de stand van zaken wijziging Wiv 2017.

Tot slot zet de hoofdlijnenbrief digitalisering24 van 8 maart jl. van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering, de Minister van Justitie en Veiligheid, de Minister van Economische Zaken en Klimaat en de Minister voor Rechtsbescherming de ambities en doelen uiteen voor de digitale transitie van onze samenleving. Dit gebeurt langs vier thema’s, te weten: het digitale fundament, de digitale overheid, de digitale samenleving en de digitale economie. Deze brief benoemt ook de inzet op Europees verband op het gebied van digitalisering, zoals AI en digitale identiteit. De hoofdlijnenbrief is het startpunt voor de kabinetsbrede werkagenda digitalisering. Deze wordt de komende maanden geconcretiseerd met alle betrokken departementen, belanghebbenden uit de samenleving, wetenschap en bedrijfsleven, en medeoverheden. Ook wordt deze besproken met Europese partners.