Antwoord op kamervragen over ransomware Lockbit en c2000 portofoons

Uit de beantwoording van kamervragen (Aanhangsel Handelingen II, 2021/22 1570) blijkt dat een technologieleverancier van Defensie en politie is gehackt en losgeld is geëist voor vertrouwelijke informatie. Berichten hierover verschenen eerder in de Volkskrant.  Het zou dan gaan om de inkoop van onder meer C2000 portofoons en communicatietechnologie bij Abiom, tevens leverancier van zwaailichten en wettelijk voorgeschreven LED-signalering. Het Ministerie van Justitie vindt de zaak erg onwenselijk, en wil beter monitoren hoe toeleveranciers omgaan met data, zowel voor het nemen van beveiligingsmaatregelen als voor het inregelen van toezicht.

Onder meer wordt gevraagd welke diensten leveringen afnamen bij Abiom en dat zijn er nogal wat. “Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.”

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.

Op de vraag of er nog relevante veiligheidseisen zijn, antwoordt de Minister van Justitie dat dit de eigen verantwoordelijkheid is van de desbetreffende overheden. En onder wie valt de Politie tegenwoordig, Onder Justitie dus. Interessant dus, dit terugleggen naar het zelf en vooral daar dan ook mee weg te kunnen komen. Heb je de afwas gedaan, Aanbestedingsnieuws? Dit is een eigen verantwoordelijkheid van [mij]. Het is aan [mij] om dit op te pikken. Ons Ministerie van Afwaszaken houdt u op de hoogte van de voortgang, we verwachten u meer te kunnen berichten bij de bespreking van de Najaarsnota.

(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht “Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen” is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2 3 De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties (nadruk red AN). Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat ICT-producten en diensten van een leverancier worden
afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.

Er moeten dus meer eisen worden gesteld aan de leverancier en daar moet ook op worden toegezien. De ICO-wizard gaat dat doen. Dat roept ook weer associaties op bij onze redactie om het leven kleur te geven. De wizard of Oz?

Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in het geval van ICT-producten en –diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity Overheid.

Die inkoopeisen kunnen zomaar in meer aanbestedingen terugkomen, dus dat is wel iets voor ICT-leveranciers om in de gaten te houden.

Toch kunnen we ons niet aan de indruk onttrekken dat het uiteindelijk wel meevalt met wat er nu gebeurd is. De crux van de beantwoording blijkt uit vraag 6 waar vastgesteld wordt dat losgeld-eiser en Ransomware programma Lockbit onder meer de factuurinformatie van Abiom gepubliceerd heeft.

Abiom, meldde daar zelf op 6 december 2021 over op de eigen website:

Eind oktober is een ransomware aanval uitgevoerd op onze ICT systemen. Deze onregelmatigheden in de systemen werden direct opgemerkt en de potentieel geïnfecteerde servers werden geïsoleerd. Hierna is conform onze beveiligingsprotocollen een team van externe specialisten van FoxIT en het cybercrime team van politie ingeschakeld en er is een melding gedaan bij het autoriteit persoonsgegevens.

Uit het lopende onderzoek is gebleken dat er geen gevoelige gegevens van onze opdrachtgevers werden geraakt. Relaties waarvan potentieel gegevens onderdeel zijn van de ransomware aanval zijn geïnformeerd. Binnen 48 uur waren de belangrijkste systemen van Abiom weer operationeel na het terugzetten van back-ups. De hack heeft geen gevolgen gehad voor onze bedrijfsvoering.

Wij vinden het correct om te vermelden dat Abiom niet de leverancier/onderhoudspartner is van het C2000 netwerk en dermate dan ook niet in het bezit is van enige inloggegevens of encryptie codes voor het C2000 netwerk zoals vermeld in de media.

In overleg met de Politie is besloten niet in contact te treden met het hackerscollectief, misdaad loont niet. Hangende het onderzoek kunnen wij geen verdere mededelingen doen.

 

Over het incident verscheen eerder onder meer:

https://tweakers.net/nieuws/190358/criminelen-stelen-vertrouwelijke-info-bij-aanval-op-ict-leverancier-van-defensie.html

https://www.agconnect.nl/artikel/politie-leverancier-abiom-getroffen-door-ransomware

https://nltimes.nl/2021/12/06/dutch-military-police-tech-supplier-hacked-confidential-info-online

NDR

Terwijl Abiom op de eigen website zegt dat het niet de leverancier of onderhoudspartner is van het C2000 netwerk, zegt de Minister in deze beantwoording van vraag 2 van wel. Daarvoor moest dat contractregister dus dienen voor een Single source of Truth? Maar ja, de informatie kan wel single zijn, maar dan is het nog niet de Source.

Justitie zegt dus in de kamerbrief: “Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. ” Nu verwachten we dat Abiom toch wel zal weten wat het zoal levert en wat niet. In de zin erna legt het Ministerie uit dat er geen lijst is met welke leverancier nu wat levert. “Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.”

Nee dat klopt. Dat contractregister van Binnenlandse zaken is er nog niet. Moet je dat nu willen? Daar berichtte Aanbestedingsnieuws eerder al over:

Contractregister, beleidsreactie en reactie

Al met al veel woorden om erachter te komen dat Abiom niet c2000 levert of onderhoudt. Het doet ons steeds meer denken aan de grap van hoeveel filosofen er nodig zijn om een lamp op te hangen. Hoeveel ambtenaren zijn er nodig om werkende portofoons in te kopen? Even denken. Een ICO-wizard. Een openbaar contractregister. Iemand extra voor de helpdesk van Tenderned. Coolio’s paradijs zijn we nog niet uit?

Voor een volledig overzicht hieronder de complete beantwoording, de voetnoten zijn in de tekst verwerkt:

AH 1570
2021Z23377
Antwoord van minister Yeşilgöz-Zegerius (Justitie en Veiligheid), mede namens de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 4 februari 2022)
Zie ook Aanhangsel Handelingen, vergaderjaar 2021-2022, nr. 1242
Vraag 1
Bent u bekend met het bericht ‘Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie’?
(voetnoot 1: 1 https://www.volkskrant.nl/nieuws-achtergrond/technologieleverancier-van-defensie-enpolitie-gehackt-losgeld-geeist-voor-vertrouwelijkeinformatie~bcc2f42b/?utm_source=browser_push&utm_medium=push&utm_campaign=std
c_vk
Antwoord op vraag 1
Ja. Dit voorval is zeer onwenselijk. Onderdeel van ons beleid is beter te gaan monitoren hoe toeleveranciers van de overheid omgaan met onze data. Het gaat daarbij om een samenhang van de te treffen beveiligingsmaatregelen (in zowel de contracten van de overheid als van de ICT-leverancier) als om het inregelen van toezicht. Ook het beleid van ICT-leveranciers ten aanzien van ransomware moet
hierin worden meegenomen.
Vraag 2
Aan welke overheidsorganisaties levert Abiom communicatietechnologie?
Antwoord op vraag 2
Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.
Vraag 3
Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?
Antwoord op vraag 3
(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht “Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen” is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2 (2 Aanhangsel Handelingen, vergaderjaar 2021-2022, nr. 578. /  3 3 Stcrt. 2020, 7857 )De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen
uitvoeren voordat ICT-producten en diensten van een leverancier worden afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.
Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in hetgeval van ICT-producten en –diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity
Overheid.4  4 https://www.bio-overheid.nl/ico-wizard/
Tevens geldt in algemene zin dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden.
Bij elke casus wordt bezien hoe risico’s beheersbaar kunnen worden gemaakt. Het uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging
en de (huidige) weerbaarheid.5 (5 Aanhangsel Handelingen vergaderjaar 2021-2022, nr. 753.)
Uiteindelijk is het aan de opdrachtgever om deze risicoafweging te maken en mitigerende maatregelen te implementeren en te
monitoren. De term ‘kritieke toeleveranciers’ heeft geen specifieke status binnen de overheid.
In algemene zin biedt het wettelijk kader de mogelijkheid om bij inkoop en aanbestedingen specifieke (veiligheids)eisen als voorwaarden te stellen aan de (mogelijke) opdrachtnemer. Hier kan op worden gecontroleerd tijdens het aanbestedingsproces en gedurende de looptijd van het contract. Ook hier geldt dat de betreffende overheidsorganisatie hier zelf verantwoordelijk voor is.
Politie:
Bij alle Europese aanbestedingen betreffende door de Politie te verlenen opdrachten zijn eisen en contractuele bepalingen opgenomen die zich richten op geheimhouding en de verwerking van persoonsgegevens. Met de toeleveranciers van de politie worden – indien nodig – verwerkersovereenkomsten gesloten. In deze overeenkomsten staan de eisen met betrekking tot de omgang met informatie
opgenomen waaraan een toeleverancier moet voldoen om leverancier van de politie te kunnen zijn. Deze eisen neemt de politie al mee bij de (voor-)selectiekeuzen voor leveranciers. Daarnaast worden, wanneer relevant, bij aanbestedingen eisen opgenomen die betrekking hebben op het beschermen van (digitale) politiegegevens, het vernietigen na gebruik en de plicht tot het melden van datalekken. Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij
substantiële veiligheidsrisico’s zijn voorzien.

Defensie:
Voor Defensie geldt dat de Algemene Beveiligingseisen Defensieopdrachten (ABDO) van toepassing is op gerubriceerde opdrachten die Defensie bij de industrie belegt. De ABDO voorziet in diverse maatregelen om gerubriceerde informatie te beveiligen tegen een dreiging van bijvoorbeeld statelijke actoren. Welke (beveiligings-)eisen van toepassing zijn wordt per opdracht bepaald. ABDO is ook van toepassing op subcontractors en heeft daarmee impact op de beveiliging van de hele keten waar een gerubriceerde opdracht wordt belegd. De MIVD houdt
toezicht op het naleven van de ABDO. Er worden in het openbaar geen uitspraken gedaan over welke bedrijven dit betreft.

Vraag 4
Deelt u de mening dat het goed is om de minimale veiligheidseisen voor ITleveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?
Antwoord op vraag 4
De minimale beveiligingseisen waar IT-leveranciers van overheden zich aan moeten houden liggen vast in de BIO. De uitdaging ligt in het toepassen van de BIO bij bijvoorbeeld inkooptrajecten. Die eisen zullen specifiek ingevuld moeten worden voor de verschillende in gebruik te nemen ICT-producten en -diensten. De inkooptool, de eerdergenoemde ICO-wizard, die ontwikkeld is voor tien inkoopsegmenten, ondersteunt de inkopende overheidsorganisaties bij het bepalen en/of uitwerken van deze beveiligingseisen. Dat ontheft de inkopende organisatie niet van de verantwoordelijkheid om zelf op basis van risicomanagement te bepalen welke eisen in relatie tot de inkoop van ICT-producten of –diensten moeten komen te gelden.
Daarnaast wijs ik er graag op dat er op dit moment binnen de EU wordt onderhandeld over de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn). Deze richtlijn regelt onder meer dat entiteiten in 16 sectoren,
waaronder de overheid, maatregelen moeten nemen om risico’s voor hun netwerken informatiesystemen die zij gebruiken bij het leveren van hun diensten te beheersen. Onderdeel van deze zorgplicht is dat zij rekening moeten houden met
risico’s die voortkomen uit de relatie met hun leveranciers en dienstverleners. Op de naleving van de bepalingen uit de richtlijn moet worden toegezien door de lidstaten via hun nationale toezichthouders.
Vraag 5
Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?
Antwoord op vraag 5
De BIO schrijft voor dat er na een incident een analyse moet worden gemaakt ter voorkoming van vergelijkbare incidenten in de toekomst. Dit voorschrift geldt voor zowel de proceseigenaar als voor de leverancier. Dergelijke analyses moeten worden gedeeld met relevante partners om herhaling van en toekomstige incidenten te voorkomen. De exacte invulling hiervan is afhankelijk van de aard en
het belang van het betreffende ICT-proces en zal voor elke organisatie per geval verschillen. Los hiervan moeten (overheids)organisaties inbreuken in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens melden, indien die inbreuk een risico vormt voor de rechten en vrijheden van personen.
Vraag 6
Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om
eventueel slachtoffer te worden van misbruik met hun gegevens?
Antwoord op vraag 6
Nee, burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens. In tegenstelling tot de genoemde berichtgeving heeft Abiom geen kopieën van paspoorten van de politieambtenaren, verdachten, verbalisanten en/of benadeelden ontvangen vanuit de politie. De informatie die door de ransomwaregroep LockBit is gepubliceerd betreft – in het geval van de politie –kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Deze informatie heeft Abiom tot zijn beschikking vanwege uitlevering van randapparatuur zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. Deze informatie stond op facturen van Abiom aan de politie. De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van
C2000. Ook de informatie ten behoeve van het primaire proces bij meldkamers en politiediensten is nog steeds beschikbaar en ongewijzigd.

Naar huidig inzicht heeft de vrijgekomen informatie een beperkte impact gehad bij Defensie. Uit onderzoek is gebleken dat van enkele Defensiemedewerkers contactgegevens zijn gelekt en een beperkte hoeveelheid ongerubriceerde informatie. Deze informatie had geen betrekking op operationele eenheden. Ook zijn er geen missies in gevaar gekomen.

Vraag 7
Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?
Antwoord op vraag 7
Zoals aangegeven in een statement van Abiom over het incident is er in overleg met de politie door Abiom besloten om niet in contact te treden met de actor die verantwoordelijk is voor de ransomware-aanval.6
In verband met het lopende politieonderzoek kan er op dit moment niet nader in worden gegaan op de casus.
Vraag 8
Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?
Antwoord op vraag 8
Op basis van de beschikbare informatie wordt ervan uitgegaan dat LockBit informatie heeft gestolen met het doel om losgeld te verkrijgen voor het niet publiceren van vertrouwelijke informatie. Vanwege het lopende politieonderzoek kan geen nadere informatie worden gegeven over de casus.
Vraag 9
6 https://abiom.nl/statement-ransomware-aanval/
Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?
Antwoord op vraag 9
Nee, zoals genoemd in vraag 3, heeft de term ‘kritieke toeleveranciers’ geen specifieke status van de overheid. Hierop wordt als zodanig vanuit de overheid dus ook geen toezicht gehouden. Wel kan een incident aanleiding vormen voor andere toepasselijke toezichthoudende partijen om een onderzoek in te stellen. Wanneer bijvoorbeeld persoonsgegevens online komen te staan (een zogenaamde datalek)
als gevolg van een incident is het aan de Autoriteit Persoonsgegevens om te overwegen of nader onderzoek ingesteld moet worden.
Daarnaast eist de BIO in het algemeen dat overheidsorganisaties beveiligingseisen opnemen in hun contracten met leveranciers en dat ze jaarlijks de prestatie van leveranciers op het gebied van informatiebeveiliging beoordelen op basis van vooraf vastgestelde prestatie-indicatoren. Deze behoren onderdeel te zijn van het contract met de leveranciers. Met een toekomstige wettelijke verankering van de
BIO worden deze bepalingen van de BIO ook wettelijk verplicht.
Vraag 10
Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren?
Zo nee, waarom niet?
Antwoord op vraag 10
Het Nationaal Cyber Security Centrum (NCSC) van mijn ministerie heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Dit betekent onder andere dat het NCSC zich daartoe een zo goed mogelijk beeld vormt van
dergelijke dreigingen of incidenten en van de in die gevallen mogelijke mitigerende maatregelen. Het NCSC kan hiervoor informatie opvragen bij betrokken partijen, zoals de leverancier van kwetsbare softwareproducten. DTC heeft vooruitlopend op
het wetsvoorstel Bevordering digitale weerbaarheid bedrijven (Wbdwb) de bevoegdheid het als niet-vitaal aangemerkte bedrijfsleven te informeren over serieuze dreigingen indien deze bekend zijn bij het DTC. Daarnaast neemt het DTC in voorkomende gevallen contact op met bedrijven waarbij er sprake is geweest van een serieus incident en DTC hier weet van heeft. In sommige gevallen deelt het
DTC de verkregen informatie in meer algemene vorm zodat andere bedrijven hiervan kunnen leren en hun eigen cyberweerbaarheid kunnen vergroten. Het delen van informatie door bedrijven met het DTC over incidenten gebeurt op basis van vrijwilligheid. Het DTC heeft contact gezocht met Abiom om navraag te doen en is nog in afwachting van een reactie. Daarnaast hebben de getroffen overheidsorganisaties contact met Abiom gehad inzake aangifte, onderzoek en herstel, buitgemaakte gegevens, acties van Abiom en acties van de politie zelf.
Vraag 11
Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen
zoals ransomware-aanvallen?
Antwoord op vraag 11
Als een incident leidt tot de verstoring van een vitaal proces is er een risico op maatschappelijke ontwrichting. Zoals ik in het antwoord op vraag 5 heb vermeld, schrijft de BIO voor dat organisaties incidenten evalueren. Welke lessen er exact worden getrokken zal per organisatie verschillen, omdat iedere organisatie verschilt en ook omdat de verlening van diensten en producten van Abiom op verschillende
manieren is ingezet binnen de betrokken overheidsorganisaties. Die organisaties zullen daarbij zelf steeds een afweging moeten maken hoe risico’s gemitigeerd kunnen worden en welke eventuele restrisico’s blijven bestaan.