Vragen van de leden Wiersma en Aukje de Vries (beiden VVD) aan de Minister van Onderwijs, Cultuur en Wetenschap en de Staatssecretaris van Economische Zaken en Klimaat over het bericht «Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins» (ingezonden 17 februari 2020).

Antwoord van Staatssecretaris Keijzer (Economische Zaken en Klimaat), mede namens de Minister van Onderwijs, Cultuur en Wetenschap (ontvangen 30 juni 2020). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 2296.

Vraag 1

Ben u bekend met het bericht «Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins»?1

Antwoord 1

Ja.

Vraag 2

Wat heeft er precies plaatsgevonden bij het onderzoeksinstituut Wetsus met betrekking tot de ransomeware-aanval?

Antwoord 2

Op maandag 3 februari heeft een niet geïdentificeerde hacker een ransomeware-aanval uitgevoerd op Wetsus. Door de cyberaanval was tot en met 11 februari het netwerk en de e-mailserver van Wetsus niet toegankelijk. Wetsus heeft op 3 februari direct actie ondernomen en het incident gemeld bij de aangewezen instanties: de politie, de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Center. Na overleg met cybersecurity experts heeft Wetsus de afweging gemaakt om losgeld te betalen.

Vraag 3

Worden er minimale veiligheidseisen gesteld op het gebied van cyberveiligheid bij onderzoeksinstituten die een financiering vanuit de overheid ontvangen? Zo ja, wat zijn die eisen? Zo nee, waarom niet?

Antwoord 3

Het borgen van de (cyber)veiligheid is primair een verantwoordelijkheid van onderzoeksinstituten zelf, uiteraard met inachtneming van de relevante wet- en regelgeving. Afhankelijk van het onderzoeksinstituut kunnen er specifieke aanvullende eisen aan de (cyber)veiligheid gesteld worden. Zo zijn de onderzoeksinstituten die onderzoek doen voor het Ministerie van Defensie onderworpen aan de Algemene Beveiligingseisen Defensieopdrachten 2019 (ABDO 2019), waarin een heel hoofdstuk is gewijd aan cyberveiligheid. Deze eisen gelden bijvoorbeeld voor de TO2-instellingen TNO, Marin en NLR.

Vraag 4

Ziet u aanleiding om voortaan minimale cyberveiligheidseisen te stellen aan onderzoeksinstituten die financiering ontvangen vanuit nationale of Europese instellingen? Zo nee, waarom niet?

Antwoord 4

Nee. Cyberveiligheid is een verantwoordelijkheid van de onderzoeksinstituten zelf en dient binnen de eigen bedrijfsvoering geregeld te worden. Defensie-gerelateerd onderzoek vormt hierop een uitzondering. Via de Algemene Beveiligingseisen Defensieopdrachten (ABDO) bestaat er een minimale set van eisen voor kennisinstellingen die onderzoek doen voor het Ministerie van Defensie. Mijn ministerie is naar aanleiding van de incidenten bij de Universiteit Maastricht en Wetsus in gesprek gegaan met de TO2-federatie en andere onderzoeksinstituten om het veiligheidsbewustzijn te vergroten en de samenwerking op het gebied van cyberveiligheid te verbeteren. Daarnaast zijn de gesprekken bedoeld om verder te bezien hoe de rijksoverheid kan faciliteren dat onderzoeksinstellingen ook in de toekomst beschermd blijven tegen cyberaanvallen en cybercriminaliteit.

Vraag 5

Heeft de ransomeware-aanval gevolgen voor de gelden die ontvangen worden uit Europese programma’s, zoals Horizon 2020? Kennen deze programma’s minimale eisen van cyberveiligheid die gevraagd worden aan ontvangers?

Antwoord 5

Horizon 2020 kent geen specifieke eisen met betrekking tot cyberveiligheid. Wel kent het Kaderprogramma bepalingen rondom data-management (zoals de bescherming van persoonsgegevens) en ethiek. Subsidieontvangers zijn verplicht persoonlijke data te verwerken onder de geldende EU- en nationale databeschermingswetgeving. Een cyberaanval zelf heeft geen directe gevolgen voor de bijdragen verkregen uit Horizon 2020-projecten. In de projectrapportage zal de begunstigde moeten aangeven hoe is voldaan aan de geldende voorwaarden en bepalingen. Er wordt van begunstigden verwacht dat zij in de rapportage aan de Europese Commissie aangeven hoe zij met de gevolgen van een dergelijk incident zijn omgegaan, met name in de context van bescherming van persoonlijke data. Wanneer een beneficiant gebleken nalatigheid is te verwijten, heeft de Europese Commissie de mogelijkheid over te gaan tot vermindering van de subsidie en/of beëindiging van de Grant Agreement van de betrokken deelnemer.

Vraag 6

Wanneer en op welke manier bent u op de hoogte gesteld van de ransomeware-aanval van onderzoeksinstituut Wetsus?

Antwoord 6

Op woensdag 5 februari heeft de directie van Wetsus telefonisch contact gelegd met het Ministerie van Economische Zaken en Klimaat. Gedurende de cyberaanval is er regelmatig contact geweest.

Vraag 7

Op welke manier heeft u het onderzoeksinstituut Wetsus ondersteuning geboden bij het verhelpen van de ransomeware-aanval?

Antwoord 7

Mijn ministerie heeft de directie van Wetsus direct geïnformeerd over de instanties die kunnen adviseren in het geval van een cyberaanval. Wetsus heeft in dit gesprek aangegeven de verantwoordelijke instanties benaderd te hebben en met politie en cybersecurity experts reeds te werken aan een oplossing.

Vraag 8

Op welke manier heeft de ransomware-aanval van het onderzoeksinstituut Wetsus overeenkomsten met die van de Universiteit Maastricht eind vorig jaar?

Antwoord 8

In beide gevallen is het netwerk ontoegankelijk gemaakt door een onbekende hacker die het netwerk pas vrij gaf na betaling van losgeld.

Vraag 9

Hoeveel losgeld is er uiteindelijk aan de criminelen betaald? Hoe beoordeelt u de keuze dat dit heeft plaatsgevonden? Van welke geld wordt dit betaald? Komt dit geld direct uit de verstrekte subsidies?

Antwoord 9

Het kabinet is van mening dat er geen geld naar (cyber)criminelen toe moet vloeien. Het is echter een eigen afweging van Wetsus geweest om losgeld te betalen. In overleg met de politie heeft Wetsus verder geen details gegeven over de hoogte van het betaalde bedrag. Wetsus heeft het Ministerie van Economische Zaken en Klimaat geïnformeerd dat het losgeld is gefinancierd uit het eigen vermogen en niet uit ontvangen subsidies.

Vraag 10

Deelt u de mening dat het betalen van criminelen alleen maar hun businessmodel van ransomeware steunt en dat overheidsgeld niet gebruikt moet worden om criminelen te financieren? Zo ja, welke maatregelen gaat u nemen om herhaling te voorkomen? Hoe wordt hierbij rekening gehouden bij een eventuele aanvraag voor financiering van onderzoeksinstituut Wetsus voor het jaar 2021? Zo nee, welke maatregelen gaat u desondanks nemen om herhaling te voorkomen?

Antwoord 10

Het kabinet is van mening dat er geen losgeld aan (cyber)criminelen zou moeten vloeien. Het borgen van de cyberveiligheid is echter een verantwoordelijkheid van kennisinstellingen zelf. Desondanks zien we dat kennisinstellingen in toenemende mate worden geconfronteerd met geavanceerde cyberdreigingen. Na het incident bij de Universiteit Maastricht heeft het Ministerie van Onderwijs, Cultuur en Wetenschappen aangegeven te verwachten dat hoger onderwijsinstellingen zich bewust zijn van kwetsbaarheden en zo veel mogelijk kennis delen, periodiek hun eigen systemen door experts laten controleren en bij een effectieve aanpak van de digitale veiligheid rekenschap geven van de risico’s van hun aanpak, zoals de risico’s bij een vergaande decentralisatie van de ICT-systemen.

Hogeronderwijsinstellingen zijn momenteel concreet bezig met maatregelen om dit te realiseren. Naar aanleiding van de incidenten bij de Universiteit Maastricht en Wetsus is mijn ministerie in gesprek gegaan met de TO2-federatie en andere kennisinstellingen om te bezien hoe de samenwerking tussen kennisinstellingen kan worden verbeterd en of er een rol ligt voor het ministerie om te faciliteren dat kennisinstellingen in de toekomst beter beschermd zijn tegen cyberaanvallen en cybercriminaliteit.

Vraag 11

In hoeverre kan de hack van het onderzoeksinstituut Wetsus worden gelieerd aan de waarschuwing van de AIVD dat het veiligheidsbewustzijn en de weerbaarheid van Nederlandse kennisinstellingen onvoldoende zijn tegen risico’s van diefstal van onderzoeksbevindingen vanuit landen zoals China?

Antwoord 11

Nederlandse kennisinstellingen zijn zich er van bewust dat naast de voordelen van internationale samenwerking er ook risico’s bestaan op ongewilde kennisoverdracht en de negatieve gevolgen hiervan. Het veiligheidsbewustzijn en de weerbaarheid van Nederlandse universiteiten en hogescholen wordt gestimuleerd in het platform Integraal Veilig Hoger Onderwijs. Dit platform is met steun van het Ministerie van Onderwijs, Cultuur en Wetenschappen ingericht door de Vereniging van Nederlandse Universiteiten en de Vereniging Hogescholen. Hierin werken bestuurders en veiligheidsexperts van hoger onderwijsinstellingen samen aan het stimuleren van veiligheidsbewustzijn door het uitwisselen van kennis en kunde en het ontwikkelen van tools en handreikingen.

Op verzoek van de ministeries van Onderwijs, Cultuur en Wetenschappen en Buitenlandse Zaken ontwikkelde het The Hague Centre for Strategic Studies de «Checklist voor Samenwerking met Chinese Academische en Kennisinstellingen». Daarnaast is het Ministerie van Buitenlandse Zaken een traject gestart om te onderzoeken in hoeverre aanvullende maatregelen gewenst zijn om ongewenste kennis- en technologieoverdracht in brede zin via academisch onderwijs en onderzoek te voorkomen. In dit traject wordt onder andere onderzocht of en zo ja op welke manier een brede kennisregeling kan worden opgezet. Verder is mijn ministerie in gesprek gegaan met de TO2-federatie en andere kennisinstellingen om te kijken hoe het veiligheidsbewustzijn en de samenwerking tussen kennisinstellingen kan worden verbeterd en of er een rol ligt voor het ministerie om te faciliteren dat kennisinstellingen in de toekomst beter beschermd zijn tegen cyberaanvallen en cybercriminaliteit.

Vraag 12

Is er volgens u binnen kennisinstituten voldoende bewustzijn over het plaatsvinden van spionage door China? Zo nee, wat gaat u doen om dit bewustzijn te vergroten? Zo ja, welke maatregelen worden binnen deze instituten genomen?

Antwoord 12

De TO2- en NWO-instituten zijn zich er van bewust dat naast de voordelen van internationale samenwerking er ook risico’s bestaan op ongewilde kennisoverdracht en de negatieve gevolgen hiervan. Zowel de TO2-instituten als NWO (en KNAW) volgen daarom actief de ontwikkelingen en de informatie van de rijksoverheid ten aanzien van kennisveiligheid. NWO-I, de institutenorganisatie van NWO, neemt bijvoorbeeld deel aan het overleg van het Ministerie van Onderwijs, Cultuur en Wetenschappen met het kennisveld over de kennisveiligheid en mogelijke maatregelen. De door het Ministerie van Buitenlandse Zaken en het The Hague Centre for Strategic Studies ontwikkelde Checklist voor Samenwerking met Chinese Academische en Kennisinstellingen is hierbij zeer behulpzaam.

Vraag 13

Hoe helpt de Nederlandse regering kennisinstituten met het beschermen van hun kennis, patenten, octrooien etc.? Wordt hier voorlichting over gegeven aan kennisinstituten? Bestaan er, net zoals hij het MKB, subsidies voor cyberweerbaarheid voor onderzoeksinstituten? Zo nee, waarom niet?

Antwoord 13

Kennisinstituten kunnen gebruik maken van het juridisch instrumentarium om kennis te beschermen en doen dat in de praktijk ook. Daarbij kan gedacht worden aan de octrooiwetgeving en de wetgeving voor de bescherming van bedrijfsgeheimen. Bij gelegenheid van het van kracht worden van de Wet bescherming bedrijfsgeheimen (2018) heeft ook een voorlichtingscampagne over het belang van een adequate bescherming van bedrijfsvertrouwelijke informatie plaatsgevonden. Momenteel worden er geen subsidies voor cyberweerbaarheid verstrekt aan kennisinstellingen. Uit de gesprekken met de kennisinstellingen zal moeten blijken of deze meerwaarde zouden kunnen hebben.

Vraag 14

Op welke manier ontvangt het onderzoeksinstituut Wetsus financiering van de lokale, nationale en Europese overheid? Hoe hoog zijn deze bedragen? Klopt het ook dat onderzoeksinstituut Wetsus nog opzoek is naar financiering voor het jaar 2021? Wat gaat u (daarmee) doen?

Antwoord 14

In de periode 2016–2020 ontving Wetsus financiering vanuit het bedrijfsleven (3,5 miljoen per jaar), universiteiten (3 miljoen per jaar), NWO (0,5 miljoen per jaar) en subsidies vanuit de rijkoverheid en de regio (6,5 miljoen per jaar, waarvan 4,75 uit de Zuiderzeelijnmiddelen). Daarnaast wordt jaarlijks ongeveer 1,5 miljoen aan Europese middelen ingezet.

Het klopt dat Wetsus op zoek is naar financiering vanaf 2021, omdat de financiering vanuit de zogenaamde Zuiderzeelijnmiddelen in 2021 ophoudt. Voor het bedrijfsleven, de universiteiten, de regio en het Rijk is Wetsus een belangrijk kennisinstituut dat toonaangevend onderzoek verricht op het gebied van watertechnologie en een belangrijke bijdrage kan leveren aan het missiegedreven innovatiebeleid, met name binnen het maatschappelijke thema Landbouw, Water Voedsel. In de in januari 2019 door NWO uitgevoerde evaluatie van Wetsus wordt dit bevestigd. Vanwege het belang van Wetsus heb ik een groep van experts en stakeholders ingesteld. Over hun advies heb ik uw Kamer op 4 juni jl. geïnformeerd.2 Ik heb hierin aangekondigd dat met de bij dit advies betrokken stakeholders afspraken zijn gemaakt over een overbruggingsfinanciering voor de jaren 2021 en 2022. Voor de jaren na 2021 wordt door de expertgroep een aantal kansrijke routes geschetst die de komende tijd door Wetsus verder uitgewerkt zullen worden.

Vraag 15

Klopt het dat uit onderzoek, dat is uitgevoerd in opdracht van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), is gebleken dat het financieringsmodel van onderzoeksinstituut Wetsus niet duurzaam is en dat een onafhankelijke commissie heeft geadviseerd om het financieringsmodel minder afhankelijk te maken overheidsfinanciën? Welke oplossing ziet u daarvoor, aangezien Wetsus is een belangrijk kennisinstituut is?

Antwoord 15

Zie antwoord op vraag 14.

Vraag 16

Kunt u deze vragen afzonderlijk beantwoorden?

Antwoord 16

Ja. Enkel de beantwoording van vragen 14 en 15 is samengenomen.

Naar boven