De kabinetsbrief Gemelde kwetsbaarheid Cisco Webex vergadervoorziening

Vragen

1. V1Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs? 1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

2. V2Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond? 3

3. V3Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

4. V4Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

5. V5Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

6. V6Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

7. V7Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?