Antwoord schriftelijke vragen : Antwoord op vragen van het lid Rajkowski over het bericht ‘Datalek gemeente Buren’

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties)
(ontvangen 20 mei 2022).

Vraag 1

Bent u bekend met het bericht «Datalek gemeente Buren»?1

Antwoord 1

Ja

Vraag 2

Klopt het bericht dat er 130 Gigabyte (GB) aan gegevens van de gemeente Buren en gemeente
Neder-Betuwe is aangeboden op het darkweb? Zo ja, om wat voor gegevens gaat het? Gaat
het hier ook om persoonsgegevens?

Antwoord 2

Ja, het gaat (ook) om persoonsgegevens en vertrouwelijke informatie. Zie ook: https://www.buren.nl/datalek. Ik vind het belangrijk om hierbij aan te geven dat er sprake is van datadiefstal
bij de gemeente Buren en niet bij de gemeente Neder-Betuwe. Aangezien de gemeente
Buren voor de gemeente Neder-Betuwe taken uitvoert in het kader van de Participatiewet
zijn er mogelijk ook persoonsgegevens van een beperkt deel van de inwoners van de
gemeente Neder-Betuwe gestolen.

Vraag 3

Kunt u delen welke criminelen deze ransomware-aanval hebben uitgevoerd? Zo ja, gaat
het hier om een crimineel netwerk? Zo nee, is de politie op de hoogte gesteld van
de cyberaanval?

Antwoord 3

Er is aangifte gedaan bij de Politie. Het is bekend om welke Ransomware-soort dit
gaat. Het is duidelijk dat het hier gaat om een groepering die internationaal veel
slachtoffers maakt. In overleg met Politie/OM en de Informatiebeveiligingsdienst van
de Vereniging van Nederlandse gemeenten (VNG/IBD) deel ik de naam van de groepering
niet.

Vraag 4

Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen
van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere
gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst
(IBD)?

Antwoord 4

De gemeente Buren heeft direct na ontdekking van de Ransomware-aanval forensisch onderzoek
laten opstarten door gespecialiseerde cybersecuritybedrijven. Deze bedrijven staan
in nauw contact met de IBD en het Nationaal Cyber Security Centrum (NCSC). Het onderzoek
is in volle gang en de resultaten zullen, zo meldt de gemeente Buren mij, in een publiek
rapport beschikbaar worden gesteld.

De IBD heeft de beveiligingsfunctionarissen van Nederlandse gemeenten geïnformeerd
over de Ransomware-aanval en de maatregelen die mogelijk zijn om dergelijke situaties
te voorkomen. Via de IBD is ook het NCSC betrokken die, waar nodig, andere sectoren
zal informeren.

Vraag 5

Welke stappen zijn genomen voor de personen waarvan de persoonsgegevens op het darkweb
staan? Bent u het ermee eens dat personen ingelicht moeten worden voor potentiele
identiteitsfraude? Zo ja, is dat ook gebeurd? Zo nee, waarom niet en beoogt de gemeente
dit nog te doen?

Antwoord 5

Inwoners en ondernemers en ook de medewerkers en raadsleden worden doorlopend door
de gemeente Buren geïnformeerd. Waar het gaat om het beperkte deel van de inwoners
in Neder-Betuwe die gebruik maken of hebben gemaakt van de Participatiewet, stemt
de gemeente Buren met de gemeente Neder-Betuwe af over de wijze van inlichten.

Daar waar individuele inwoners, medewerkers of raadsleden het risico lopen op fraude
als gevolg van deze datadiefstal worden zij geïnformeerd door de gemeente. Een gespecialiseerd
bedrijf brengt in kaart om welke personen dit gaat.

Vraag 6

Zijn er soortgelijke aanvallen bekend die recent bij andere gemeentes hebben plaatsgevonden?
Zo ja, om welke gemeentes gaat het hier?

Antwoord 6

Eerder werden de gemeenten Lochem (2019)2 en Hof van Twente (2020)3 getroffen door een Ransomware-aanval. Daarbij was geen sprake van datadiefstal. Deze
gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld.

Vraag 7

Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden?
Welke stappen worden vanuit de rijksoverheid genomen om gemeentes cyberweerbaar te
maken tegen ransomwareaanvallen en andere digitale aanvallen?

Antwoord 7

Het is niet te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. Ik kan
in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch
bij een gemeente, noch bij een andere organisatie in een geheel andere sector.

Er is nauw contact met de VNG/IBD om te zien of en welke extra ondersteuning vanuit
de rijksoverheid nodig is. Ik verwijs in dat verband naar de beantwoording op schriftelijke
vragen van de leden Rajkowski en Strolenberg4, waar mijn ambtsvoorganger Knops een aantal acties heeft uitgelicht, zoals de overheidsbrede
cyberoefening en het beschikbaar stellen van lessons learned van incidenten. Ik merk
verder op dat de VNG en de IBD ook zelfstandig stappen neemt. Zoals in de beantwoording
destijds is aangegeven is informatiebeveiliging een gezamenlijke verantwoordelijkheid
die om een gezamenlijke aanpak vraagt.

Vraag 8

Zijn er lessen te trekken uit de aanpak van de gemeente Buren nadat bekend werd dat
een ransomware-aanval is uitgevoerd? Zo ja, welke lessen kunnen hieruit getrokken
worden?

Antwoord 8

De gemeente Buren meldt mij dat voor dit doel een publieke onderzoeksrapportage en
een evaluatie beschikbaar zullen komen. Beide zijn er nog niet. Het is daarom nu nog
te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren
kunnen worden getrokken.

Vraag 9

In de beantwoording van eerdere schriftelijke vragen van de leden Rajkowski en Strolenberg
(Aanhangsel Handelingen II, vergaderjaar 2021–2022, nr. 887) is te lezen dat gemeentes geholpen worden met een ondersteuningspakket van de IBD
voor de processen en maatregelen uit de Baseline informatiebeveiliging Overheid (BIO)
met de hoogste prioriteit, in welke mate zijn de kaders en richtlijnen van dit ondersteuningspakket
geïmplementeerd bij de gemeente Buren? Wordt bovengenoemd ondersteuningspakket nu
als voldoende geacht voor het verhogen van de digitale weerbarheid van gemeentes?
Zo nee, waarom niet? Bent u het ermee eens dat het hebben van een cyberverdedigingsprotocol
handelingsperspectief biedt voor gemeentes en daarmee een goede aanvulling kan zijn
voor het instrumentarium van gemeentes om zo goed mogelijk om te gaan met cyberaanvallen
en de schade zo beperkt mogelijk te houden? Zo ja, hoe staat het met de uitvoering
van de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753)? Maken gemeentes hier al gebruik van? Zo ja welke? Zo nee, waarom niet?

Antwoord 9

In de reactiebrief5 van mijn ambtsvoorganger op de motie Yesilgöz-Zegerius6 en de eerdergenoemde beantwoording op Kamervragen van de leden Rajkowski en Strolenberg
is aangegeven hoe mijn ambtsvoorganger uitvoering heeft gegeven aan de motie.

Ik herhaal hier kort wat mijn ambtsvoorganger in zijn reactiebrief heeft gesteld en
waar ik mij bij aansluit. In het beleid wordt niet ingezet op één cyberverdedigingsprotocol
voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk
moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen.
Zoals ik heb aangegeven in de beantwoording van genoemde Kamervragen, stelt de Baseline
Informatiebeveiliging Overheid (BIO) eisen aan het afhandelen van informatiebeveiligingsincidenten
met inbegrip met vastgestelde procedures.

De gemeente Buren houdt zich aan de BIO en laat onderzoek doen hoe dit incident heeft
kunnen gebeuren; ik gaf dit al aan in mijn antwoord op de vorige vraag. Ik hecht eraan
te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het
belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten. Ook
merk ik op dat het college van burgemeester en Wethouders hierover primair verantwoording
zal afleggen aan de gemeenteraad.

Uit het onderzoek en de evaluatie moet blijken hoe een dergelijk incident in de toekomst
kan worden voorkomen. Dan zal ik ook bezien of het nodig is dat ik aanvullende maatregelen
tref.