Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 juni 2024

Op 4 juni 2024 is het Nationaal Cyber Security Centrum (NCSC) door een Duitse journalist op de hoogte gebracht van softwarekwetsbaarheden1 die gevonden zijn in de Cisco Webex dienst. Uw Kamer is op 5 juni 2024 hierover geïnformeerd.2 In de onderhavige brief wordt de huidige stand van zaken omtrent het incident weergegeven.

Naar aanleiding van de gemelde kwetsbaarheid is door BZK de crisisorganisatie opgestart om de impact van het incident op de Rijksoverheid te analyseren en handelingsperspectief uit te werken. Woensdag einde dag is besloten om donderdagochtend interdepartementaal overleg met de departementale Chief Information (Security) Officers (CIO’s, CISO’s), de AIVD, de NCTV en het NCSC te houden om het informatiebeeld te delen en tot een aanpak te komen.

Zoals in de eerdere Kamerbrief is aangekondigd, is op dondermiddag een gesprek met Cisco gevoerd, waarin zij is aangesproken op deze kwestie. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in dit gesprek zijn zorgen en bezwaren geuit over de gang van zaken. Cisco heeft in dit gesprek alle medewerking aangeboden en toegezegd de Rijksoverheid voortaan tijdig te informeren bij incidenten.

Cisco heeft aangegeven dat de kwetsbaarheid verholpen is per 28 mei jl. en zal hier vandaag documentatie over aanleveren. Inmiddels zijn door de Belastingdienst, die de Rijksvideovergadervoorziening Cisco Webex beheert, onafhankelijke onderzoekers ingeschakeld die inmiddels ook hebben bevestigd dat de kwetsbaarheid verholpen is.

Uit onderzoek van het NCSC bleek donderdag 6 juni dat er nog een afgeleide kwetsbaarheid in oude Webex-vergaderingen zit. Het gaat hier om vergaderingen die voor 28 mei jl. zijn aangemaakt, maar nog moeten plaatvinden. Vandaag is in samenwerking tussen de Belastingdienst en Cisco hiervoor een oplossing gevonden; deze is inmiddels uitgerold door de Belastingdienst, waardoor deze kwetsbaarheid nu ook verholpen is voor de Rijksoverheid. Het NCSC informeert binnen zijn primaire doelgroep van vitale organisaties andere afnemers van Cisco Webex vertrouwelijk over hoe deze kwetsbaarheid kan worden opgelost.

Op basis van het assessment van de crisisorganisatie is er op dit moment geen aanleiding om het gebruik van Cisco Webex te beëindigen. Wel zijn medewerkers via het Rijksportaal geïnformeerd over de situatie en het (mogelijk) lekken van persoonsgegevens (hostnaam). Tevens worden medewerkers opnieuw geïnformeerd over de juiste toepassing en het doel van Webex.

We blijven de situatie nauwgezet in de gaten houden en we nemen aanvullende maatregelen indien nodig. Uw Kamer zal nader geïnformeerd worden over de verdere ontwikkelingen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen