Duizenden bewakingscamera’s van Chinese makelij die worden gebruikt in bestaande en nieuwe treinen van NS zijn niet gekoppeld aan internet. De camera’s bevinden zich in een afgesloten en beveiligd intern netwerk. De beelden en besturing van de camera’s is niet van buitenaf benaderbaar.
Dat zegt staatssecretaris Heijnen van Infrastructuur en Waterstaat in antwoord op vragen van de VVD over het inzetten van bewakingscamera’s van Chinese fabrikanten door de NS. De nieuwe camera’s zijn onderdeel van een Europese aanbesteding voor de modernisering van bestaand materieel en een Europese aanbesteding van nieuw materieel. Deze aanbestedingen zijn volgens de staatssecretaris gegund aan Europese treinfabrikanten, die op hun beurt gebruik maken van Chinese onderleveranciers.
NS heeft geen camera’s van Chinese fabrikanten op stations. Wel worden dergelijke camera’s gebruikt in een aantal types treinen. In het Programma van Eisen wordt de beoogd concessiehouder gevraagd een rol te spelen op het gebied van terrorismebestrijding, onder andere door het beschikbaar hebben van cameratoezicht in treinen. De concessiehouder is vrij in de bedrijfsvoering. Dat betekent onder meer dat er geen specificaties voor het type te gebruiken camera’s worden opgelegd.
Volgens de staatssecretaris wordt bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden met eventuele risico’s in relatie tot de leverancier, zoals een offensief cyberprogramma gericht tegen Nederland. Dit geldt eveneens voor de risico’s die zich kunnen voordoen met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden.
Zorgplicht
Daarbij kunnen strenge eisen worden gesteld door de opdrachtgever aan de (informatie)beveiliging van producten en diensten. Vitale aanbieders hebben een zorgplicht. Zij zijn op basis van wetgeving, waaronder de Wbni, verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen. Ook dienen zij inzicht te hebben in de risico’s die hun dienstverlening ten aanzien van het vitale proces kunnen raken. Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het treffen van de juiste maatregelen. Sectorale toezichthouders houden toezicht op de wijze waarop de aanbieders invulling geven aan hun zorgplicht.
Kamerleden Rajkowski en Minhas (VVD) wilden van de staatssecretaris weten of het klopt dat het Nationaal Cyber Security Centrum (NCSC) nog geen negatief advies heeft gegeven over camera’s van een aantal fabrikanten uit China. Volgens Heijnen geeft het NCSC geen advies over individuele producten of diensten.
“De risico’s die verbonden zijn aan bepaalde producten of diensten zijn erg afhankelijk van hoe een product of dienst wordt ingezet bij een individuele organisatie. Om daar duidelijkheid over te krijgen adviseert het NCSC om een specifieke risicoanalyse uit te voeren. Hiermee kan op basis van dreigingen, de te beschermen belangen, nationale veiligheidsoverwegingen en mogelijke maatregelen een risicoafweging worden gemaakt. Daardoor kan een passend pakket aan weerbaarheidsmaatregelen geïmplementeerd worden. Vitale aanbieders zijn hier zelf verantwoordelijk voor.”
