Ministerie van Economische Zaken
Berichtnaam: Beantwoording Kamervragen leden Van Dam en Boelhouwer inzake kwetsbaarheid van computersystemen voor aanvallen van buitenaf en de risico's daarvan voor de vitale infastructuren
Nummer: 383
Datum: 23-10-2003
De Minister van Economische Zaken, mr. L.J. Brinkhorst heeft deze vragen mede zijn ambtsgenoot van Binnenlandse Zaken als volgt beantwoord.
Hierbij doe ik u mede namens mijn ambtsgenoot van Binnenlandse Zaken en Koninkrijksrelaties, de antwoorden toekomen op de vragen die zijn ingezonden door de leden Van Dam en Boelhouwer, beiden van de Partij van de Arbeid, en mij werden toegestuurd onder nummer 2020316840. Deze vragen hebben betrekking op de kwetsbaarheid van computersystemen voor aanvallen van buitenaf en de risicos daarvan voor de vitale infrastructuren.
1. Bent u op de hoogte van de recente berichten over de kwetsbaarheid van
computersystemen door aanvallen van buitenaf (hackers en virussen, zie o.m. de
Volkskrant, 25 augustus jl.)?
Ja
2. Zijn de risicos van dergelijke aanvallen betrokken bij de analyses die worden
gemaakt in het kader van de bescherming van de vitale infrastructuur in
Nederland?
Gelet op de samenhang van de vragen 2 en 3 is een gecombineerde beantwoording voor deze twee vragen opgesteld.
3. Wat zijn de risicos van dergelijke aanvallen voor de Nederlandse vitale
infrastructuur?
Ten behoeve van het project Bescherming Vitale Infrastructuur (Vitaal) zijn drie trajecten benoemd. Met betrekking tot het project Vitaal wil ik u verwijzen naar de voortgangsrapportage die door de minister van Binnenlandse Zaken en Koninkrijksrelaties naar de Tweede Kamer op 17 september jl. is verzonden (TK, 2003-2004, 26 643, nr. 43). De uitwerking van dit project vindt plaats langs drie trajecten:
1. Het vaststellen van knooppunten tussen vitale producten en diensten en van geografische knooppunten;
2. Het in kaart brengen van de kwetsbaarheid van de vitale sectoren en van de knooppunten alsmede het verschaffen van inzicht in de reeds getroffen beschermingsmaatregelen;
3. Een voorstel voor een samenhangend pakket van beschermingsmaatregelen, inclusief eventuele aanvullende beschermingsmaatregelen, en voor de verankering van het pakket in de normale bedrijfsvoering ten behoeve van besluitvorming door het Kabinet.
Op dit moment wordt door het Ministerie van Economische Zaken gewerkt aan het eerste traject. De kwetsbaarheid van het internet en van andere vitale diensten via het Internet wordt in het tweede traject van project Vitaal betrokken.
Het antwoord op vraag 2 impliceert dat het antwoord op vraag 3 pas kan worden gegeven nadat traject 2 van het project Vitaal is afgerond. Echter, al eerder werd in de nota Kwetsbaarheid op Internet in juli 2001, o.a. aangegeven dat de huidige en de in de toekomst te verwachten omvang van de schade als gevolg van de kwetsbaarheden niet exact is aan te geven.
4. Bestaan er verbindingen tussen computersystemen die betrokken zijn bij het beheer van de vitale infrastructuur ( in het bijzonder elektriciteit, water, gas, telecommunicatie) en internet ?
In de eerste fase van het project Vitaal is een zogenaamde Quick scan uitgevoerd. Deze Quick scan diende om inzicht te verkrijgen in de vitale sectoren, producten en diensten en in hun onderlinge afhankelijkheden. Gebleken is o.a. dat de vitale bedrijfsprocessen afhankelijker zijn van andere vitale producten en diensten dan eerder door de sectoren werd gedacht. Ook vermeldt de Quick scan dat bij (ver)storing of uitval van een vitaal product of dienst keteneffecten kunnen ontstaan met aanzienlijke gevolgen voor de Nederlandse samenleving en die van de ons omliggende landen indien er geen back-up of andere beschermingsmaatregelen getroffen zijn. Over de bevindingen uit deze Quick scan is de Tweede Kamer bij brief van 3 maart 2003 geïnformeerd.
Deze vermelde Quick scan is niet uitgevoerd voor het verkrijgen van inhoudelijke informatie van het type afhankelijkheden. Voor het verkrijgen van deze informatie worden in het kader van traject 1 van het project Vitaal (zie mede hiervoor de gecombineerde beantwoording van de vragen 2 + 3) momenteel door het Ministerie van Economische Zaken onderzoeken uitgevoerd om te kunnen komen tot een overzicht van vitale knooppunten. Deze knooppunten kunnen naar verwachting nadere informatie geven over de verbindingen die betrokken zijn bij het beheer van de vitale infrastructuur.
5. Is de Nederlandse vitale infrastructuur voldoende beschermd tegen dergelijke aanvallen?
In het kader van het project Vitaal is het voor het beantwoorden van deze vraag nog te vroeg. De kwetsbaarheden in de diverse sectoren en de reeds aanwezige beschermingsmaatregelen moeten immers nog in kaart worden gebracht. In de tweede voortgangsrapportage en in de eindrapportage in april 2004 zal hierover meer duidelijkheid kunnen worden gegeven. Daarbij moet worden opgemerkt dat het beschermen van de vitale infrastructuren een continue beleidsproces is. Monitoring, actualisering en completering van de beschermingsmaatregelen zullen dus ook na de einddatum van het project moeten plaatsvinden.
6. Kunt u garanderen dat dergelijke aanvallen de leveringszekerheid van elektriciteit, water, gas, de universele telefoondienst en de televisie- en radiodistributie niet in gevaar brengen?
Nee. De overheid kan niet garanderen dat vitale infrastructuren niet zullen uitvallen of verstoord raken. Wel kunnen naar verwachting de gevolgen van uitval of verstoring minder ernstig worden door de opgedane kennis binnen het project Vitaal en de vertaling daarvan in praktische maatregelen.
Het is ook een taak van de overheid om in dit kader realistische verwachtingen te scheppen. De maatschappij zal moeten leren omgaan met imperfecties, met het onverwachte en met onzekerheden. Van de overheid en van het bedrijfsleven mag verwacht worden dat de risicos in kaart worden gebracht, deze voortdurend worden geanalyseerd en de overeengekomen beschermingsmaatregelen in stand worden gehouden, beoefend en geactualiseerd.
( w.g.) mr. L.J. Brinkhorst
Minister van Economische Zaken