De kabinetsbrief Gemelde kwetsbaarheid Cisco Webex vergadervoorziening
Schriftelijke vragen
Nummer: 2024D24434, datum: 2024-06-12, bijgewerkt: 2024-09-11 09:43, versie: 2
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kv-tk-2024Z10292).
Gerelateerde personen:- Eerste ondertekenaar: J.J.T.M. Valize, Tweede Kamerlid (PVV)
- Mede ondertekenaar: Q.M. Rajkowski, Tweede Kamerlid (VVD)
- Mede ondertekenaar: J.P.S. Six Dijkstra, Tweede Kamerlid (Nieuw Sociaal Contract)
Onderdeel van zaak 2024Z10292:
- Gericht aan: A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Gericht aan: K.H. Ollongren, minister van Defensie
- Gericht aan: H.M. de Jonge, minister van Binnenlandse Zaken en Koninkrijksrelaties
- Indiener: J.J.T.M. Valize, Tweede Kamerlid
- Medeindiener: Q.M. Rajkowski, Tweede Kamerlid
- Medeindiener: J.P.S. Six Dijkstra, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
| Tweede Kamer der Staten-Generaal | 2 |
| Vergaderjaar 2023-2024 | Vragen gesteld door de leden der Kamer |
2024Z10292
Vragen van de leden Valize (PVV), Six Dijkstra (Nieuw Sociaal Contract) en Rajkowski (VVD) aan de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de kabinetsbrief Gemelde kwetsbaarheid Cisco Webex vergadervoorziening (ingezonden 12 juni 2024).
Vraag 1
Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?
Vraag 2
Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3
Vraag 3
Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?
Vraag 4
Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?
Vraag 5
Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?
Vraag 6
Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?
Vraag 7
Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?
Vraag 8
Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?
Vraag 9
Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?
Vraag 10
Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?
Vraag 11
Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?
Vraag 12
Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?
Vraag 13
Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?
Vraag 14
Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?
Vraag 15
Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?
Vraag 16
Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?
Kamerstuk 26 643, nr. 1181↩︎
NOS, 6 juni 2024, https://nos.nl/nieuwsuur/artikel/2523333-ambtenaren-gebruiken-onveilig-vergaderprogramma-data-waardevol-voor-spionnen↩︎
De Volkskrant, 6 juni 2024, https://www.volkskrant.nl/tech/lekke-vergadersoftware-toont-hoe-afhankelijk-nederlandse-overheid-is-van-amerikaanse-techbedrijven~b57bc007/↩︎