Het kwijtmaken van het archief van het Nationale Cyber Security Centrum

Vragen

1. V1Bent u bekend met het bericht «Govcert kan niet bij eigen archief hackincidenten»? 1

2. V2Hoe kijkt u tegen het feit aan dat het Nationaal Cyber Security Centrum (NCSC) niet meer bij de registraties van incidenten vóór 2009 kan komen? Past dit binnen het profiel van een lerende organisatie? Vindt u het belangrijk dat er (trend)onderzoek gedaan kan worden naar eerdere incidenten? Zegt deze manier van werken iets over de zorgvuldigheid van werken en/of de technische competenties van het NCSC en voorloper Govcert? Hoe worden kennis en kunde rond cyber security momenteel geborgd?

3. V3Hebben zich vóór 2009 incidenten voorgedaan waarbij SCADA-systemen werden gehackt of misbruikt door onbevoegden? Zo ja, waarom is er niet eerder actie ondernomen om iets te doen aan de kwetsbaarheden die bijvoorbeeld in EenVandaag werden getoond? 2 Zo nee, waar baseert u dat op? Hoe weet u dat er geen SCADA-systemen werden gehackt of misbruikt door onbevoegden, aangezien het NCSC aangeeft niet over deze gegevens te beschikken?

4. V4Wat vindt u ervan dat Govcert/NCSC informatie die zij op basis van de Wet Openbaarheid van bestuur (Wob) zou moeten verstrekken, niet verstrekt omdat de informatie op dusdanige wijze is opgeslagen dat deze niet meer eenvoudig geraadpleegd kan worden? Gaat u vanuit de eigen verantwoordelijkheid van de overheid ervoor zorgen dat deze gegevens zo snel mogelijk toegankelijk worden gemaakt? Zo ja, doet u dit om aan de ene kant te leren van incidenten en aan de andere kant om de indiener van het Wob-verzoek alsnog tegemoet te komen? Zo nee, waarom bent u niet bereid dit te doen?

5. V5Hoe beoordeelt u de situatie dat een onderdeel van de overheid dat goed met techniek zou moeten kunnen omgaan, niet meer over de eigen historische gegevens kan beschikken? Had Govcert in uw beleving met open standaarden moeten werken? Had Govcert in uw beleving met het overgaan naar een nieuwe database de historische gegevens moeten migreren? Zo nee, waarom is er geen gebruik gemaakt van open standaarden? Waarom zijn er geen gegevens gemigreerd of is er geen virtualisatie toegepast om de gegevens alsnog te kunnen gebruiken?