30 821 Nationale Veiligheid

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 109 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 maart 2020

Met deze brief informeer ik uw Kamer, mede namens de Minister van Justitie en Veiligheid, over de stand van zaken ten aanzien van de uitfasering van de antivirussoftware van Kaspersky bij de rijksoverheid.

Aanleiding

Bij brief van 14 mei 2018 is door de Minister van Justitie en Veiligheid (hierna: JenV) mededeling gedaan van het besluit van het kabinet om, vanwege de hieraan verbonden mogelijke risico’s voor de nationale veiligheid, als voorzorgsmaatregel de antivirussoftware van Kaspersky bij de rijksoverheid uit te faseren. Daarnaast is bedrijven en organisaties met vitale diensten en ABDO-bedrijven geadviseerd datzelfde te doen.1

Het lid Verhoeven heeft op 22 juli 2019 schriftelijke vragen gesteld aan de Minister van JenV over het gebruik van Kaspersky antivirussoftware binnen onder andere de rijksoverheid,2 naar aanleiding van het bericht «Ministerie onduidelijk over omstreden software»3. Op 24 september jl. heeft de Minister van JenV deze vragen, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, beantwoord.4 Als antwoord op de vraag «Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van de rijksoverheid?» is aangegeven dat er voor een volledig beeld een uitvraag door het Ministerie van BZK wordt gedaan en dat de Minister van BZK uw Kamer hierover zal informeren.

Uitvraag

Intussen is door het Ministerie van BZK de uitvraag gedaan binnen de rijksoverheid naar de stand van zaken rond de uitfasering van Kaspersky antivirussoftware. Op 30 augustus 2019 is aan alle ministeries de vraag gesteld: Is antivirussoftware van Kaspersky op dit moment in gebruik bij enig organisatieonderdeel, direct binnen uw departement of bij onderdelen onder de politieke verantwoordelijkheid van uw Minister? In reactie hierop is van de zijde van alle ministeries gemeld dat de betreffende software bij geen van de onder die ministeries ressorterende dienstonderdelen (meer) in gebruik is.

Aandachtspunten

Bij de constatering, naar aanleiding van bovengenoemde meldingen van de ministeries, dienen echter wel de volgende opmerkingen te worden geplaatst. Op basis hiervan kan nog niet met zekerheid worden geconcludeerd dat Kaspersky antivirussoftware niet (meer) wordt gebruikt binnen de rijksoverheid:

  • 1. Niet uitgesloten kan worden dat externe ICT-leveranciers nog gebruikmaken van Kaspersky antivirussoftware. Het Ministerie van BZK onderzoekt of binnen de bestaande ICT-inkoopvoorwaarden voor de rijksoverheid maatregelen kunnen worden genomen om dit externe risico te ondervangen.

  • 2. Er is een risico dat externe medewerkers de betreffende software gebruiken op hun eigen apparatuur. In één bepaald geval is de aanwezigheid van deze software daadwerkelijk geconstateerd. De verantwoordelijkheid voor toelating van externe apparatuur op eigen netwerken ligt primair bij de organisaties zelf. Zij dienen te bepalen hoe groot het risico van het toelaten van externe apparatuur voor hun organisatie is, en vervolgens een risicoafweging te maken of en onder welke randvoorwaarden dit acceptabel is. Die afweging kan gemaakt worden aan de hand van de Baseline Informatiebeveiliging Overheid (BIO) en het beleid omtrent externe apparatuur. Dit beleid, neergelegd in de Gedragsregeling voor de digitale werkomgeving, wordt in 2020 door het Ministerie van BZK geactualiseerd en betreft onder meer het gebruik van eigen apparatuur. Hierbij zullen de bepalingen rond informatiebeveiliging worden aangescherpt.

  • 3. Er is nog onvoldoende zicht op het eventuele gebruik van de software door ZBO’s en Hoge Colleges van Staat, die aangesloten zijn op Rijksnetwerken. Om het beeld compleet te krijgen wordt momenteel door alle departementen op verzoek van het Ministerie van BZK een extra uitvraag gedaan naar het gebruik van Kaspersky-antivirussoftware bij die ZBO’s. Het Ministerie van BZK doet deze uitvraag tevens bij de Hoge Colleges van Staat.

Ten slotte merk ik op dat er nog andere maatregelen genomen zijn om dergelijke veiligheidsrisico’s met betrekking tot de ICT-systemen binnen de rijksoverheid te verminderen. Zo stellen de ministeries extra beveiligingseisen bij toegang tot gevoelige delen van de Rijksnetwerken en monitoren zij deze netwerken structureel.

Ik zal, waar aangewezen in afstemming met mijn collega van JenV, nauwgezet blijven sturen op de uitfasering van Kaspersky antivirussoftware bij de rijksoverheid. Ik zal uw Kamer dan ook informeren over de uitkomsten van de extra uitvraag.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops


X Noot
1

Kamerstukken 30 821 en 26 643, nr. 46.

X Noot
2

Aanhangsel Handelingen II 2019/20, nr. 126.

X Noot
4

Aanhangsel Handelingen II 2019/20, nr. 126.

Naar boven