Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 7 juni 2024
Op 4 juni 2024 is het Nationaal Cyber Security Centrum (NCSC) door een Duitse journalist
op de hoogte gebracht van softwarekwetsbaarheden1 die gevonden zijn in de Cisco Webex dienst. Uw Kamer is op 5 juni 2024 hierover geïnformeerd.2 In de onderhavige brief wordt de huidige stand van zaken omtrent het incident weergegeven.
Naar aanleiding van de gemelde kwetsbaarheid is door BZK de crisisorganisatie opgestart
om de impact van het incident op de Rijksoverheid te analyseren en handelingsperspectief
uit te werken. Woensdag einde dag is besloten om donderdagochtend interdepartementaal
overleg met de departementale Chief Information (Security) Officers (CIO’s, CISO’s),
de AIVD, de NCTV en het NCSC te houden om het informatiebeeld te delen en tot een
aanpak te komen.
Zoals in de eerdere Kamerbrief is aangekondigd, is op dondermiddag een gesprek met
Cisco gevoerd, waarin zij is aangesproken op deze kwestie. Het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties (BZK) heeft in dit gesprek zijn zorgen en bezwaren geuit
over de gang van zaken. Cisco heeft in dit gesprek alle medewerking aangeboden en
toegezegd de Rijksoverheid voortaan tijdig te informeren bij incidenten.
Cisco heeft aangegeven dat de kwetsbaarheid verholpen is per 28 mei jl. en zal hier
vandaag documentatie over aanleveren. Inmiddels zijn door de Belastingdienst, die
de Rijksvideovergadervoorziening Cisco Webex beheert, onafhankelijke onderzoekers
ingeschakeld die inmiddels ook hebben bevestigd dat de kwetsbaarheid verholpen is.
Uit onderzoek van het NCSC bleek donderdag 6 juni dat er nog een afgeleide kwetsbaarheid
in oude Webex-vergaderingen zit. Het gaat hier om vergaderingen die voor 28 mei jl.
zijn aangemaakt, maar nog moeten plaatvinden. Vandaag is in samenwerking tussen de
Belastingdienst en Cisco hiervoor een oplossing gevonden; deze is inmiddels uitgerold
door de Belastingdienst, waardoor deze kwetsbaarheid nu ook verholpen is voor de Rijksoverheid.
Het NCSC informeert binnen zijn primaire doelgroep van vitale organisaties andere
afnemers van Cisco Webex vertrouwelijk over hoe deze kwetsbaarheid kan worden opgelost.
Op basis van het assessment van de crisisorganisatie is er op dit moment geen aanleiding
om het gebruik van Cisco Webex te beëindigen. Wel zijn medewerkers via het Rijksportaal
geïnformeerd over de situatie en het (mogelijk) lekken van persoonsgegevens (hostnaam).
Tevens worden medewerkers opnieuw geïnformeerd over de juiste toepassing en het doel
van Webex.
We blijven de situatie nauwgezet in de gaten houden en we nemen aanvullende maatregelen
indien nodig. Uw Kamer zal nader geïnformeerd worden over de verdere ontwikkelingen.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen